« ■11/10(日)~11/16(土) のセキュリティ関連情報 | メイン | ■11/24(日)~11/30(土) のセキュリティ関連情報 »

2019年11月27日 (水)

■11/17(日)~11/23(土) のセキュリティ関連情報

目 次 

【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
【2】Google Chrome に複数の脆弱性
【3】Android 版 Microsoft Outlook にメールスプーフィングによる攻撃が可能な脆弱性
【今週のひとくちメモ】「第11回TCG日本支部公開ワークショップ」、「SecurityDay2019」開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194601.html
https://www.jpcert.or.jp/wr/2019/wr194601.xml
============================================================================


【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

情報源
US-CERT Current Activity
ISC Releases Security Advisory for BIND
https://www.us-cert.gov/ncas/current-activity/2019/11/21/isc-releases-security-advisory-bind

概要
ISC BIND には、TCP クライアントの同時接続数の制限を迂回し、システムリ
ソースを過度に消費できる脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.14.1 から 9.14.7 まで
- BIND 9.12.4-P1 から 9.12.4-P2 まで
- BIND 9.11.6-P1 から 9.11.12 まで
- BIND Supported Preview Edition 9.11.5-S6 から 9.11.12-S1 まで

なお、ISC によると開発版の BIND 9.15 系についても影響を受けます。また
BIND 9.11.0 より前のバージョンは、本脆弱性の検証対象外とのことです。

この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(システムリソースの過度な消費)について(CVE-2019-6477) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2019-11-21-bind9-vuln-tcp-pipelining.html

Japan Vulnerability Notes JVNVU#98706074
ISC BIND にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU98706074/

JPCERT/CC 注意喚起
ISC BIND 9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190043.html

関連文書 (英語)
Internet Systems Consortium, Inc. (ISC)
CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit
https://kb.isc.org/docs/cve-2019-6477

【2】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/11/19/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 78.0.3904.108 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/11/stable-channel-update-for-desktop_18.html

【3】Android 版 Microsoft Outlook にメールスプーフィングによる攻撃が可能な脆弱性

情報源
US-CERT Current Activity
Microsoft Releases Outlook for Android Security Update
https://www.us-cert.gov/ncas/current-activity/2019/11/21/microsoft-releases-outlook-android-security-update

概要
Android 版 Microsoft Outlook には、メールスプーフィングによる攻撃が可
能な脆弱性があります。結果として、遠隔の第三者が細工したメールを送信す
ることで、メールの受信者の security context 上でスクリプトを実行する可
能性があります。

この問題は、Android 版 Microsoft Outlook を Microsoft が提供する修正済
みのバージョンに更新することで解決します。詳細は、Microsoft が提供する
情報を参照してください。

関連文書 (英語)
Microsoft
CVE-2019-1460 | Outlook for Android Spoofing Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1460

投稿時刻 10:59 セキュリティ |

コメント

この記事へのコメントは終了しました。