« ■12/08(日)~12/14(土) のセキュリティ関連情報 | メイン | ■12/22(日)~01/04(土) のセキュリティ関連情報 »

2019年12月25日 (水)

■12/15(日)~12/21(土) のセキュリティ関連情報

目 次 

【1】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性
【2】Drupal に複数の脆弱性
【3】Apache Tomcat に複数の脆弱性
【4】サイボウズ Office に複数の脆弱性
【5】複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
【6】a-blog cms に複数の脆弱性
【7】Android アプリ「日テレニュース24」に SSL サーバ証明書の検証不備の脆弱性
【8】Telos 製 Automated Message Handling System に複数の脆弱性
【今週のひとくちメモ】一般社団法人デジタルライフ協会が「ご家庭で、Wi-Fiルーターをより安全にお使い頂くために」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr195001.html
https://www.jpcert.or.jp/wr/2019/wr195001.xml
============================================================================


【1】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome for Windows, Mac, and Linux
https://www.us-cert.gov/ncas/current-activity/2019/12/18/google-releases-security-updates-chrome-windows-mac-and-linux

概要
Google Chrome には、解放済みメモリの使用に関する脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 79.0.3945.88 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/12/stable-channel-update-for-desktop_17.html

【2】Drupal に複数の脆弱性

情報源
US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/19/drupal-releases-security-updates

概要
Drupal には、複数の脆弱性があります。 結果として、遠隔の第三者がサービ
ス運用妨害 (DoS) 攻撃などを行う可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 8.8.1 より前の 8.8 系のバージョン
- Drupal 8.7.11 より前の 8.7 系のバージョン
- Drupal 7.69 より前の 7 系のバージョン

なお、Drupal 8.7 系より前の 8 系のバージョンは、サポートが終了しており、
今回のセキュリティに関する情報は提供されていません。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Denial of Service - SA-CORE-2019-009
https://www.drupal.org/sa-core-2019-009

Drupal
Drupal core - Moderately critical - Multiple vulnerabilities - SA-CORE-2019-010
https://www.drupal.org/sa-core-2019-010

Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2019-011
https://www.drupal.org/sa-core-2019-011

Drupal
Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2019-012
https://www.drupal.org/sa-core-2019-012

【3】Apache Tomcat に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#98104709
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98104709/

概要
Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が
中間者攻撃によって通信内容を窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 9.0.0.M1 から 9.0.29 までのバージョン
- Apache Tomcat 8.5.0 から 8.5.49 までのバージョン
- Apache Tomcat 7.0.0 から 7.0.98 までのバージョン

この問題は、Apache Tomcat を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundation が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 9.0.30
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.30

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.50
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.50

The Apache Software Foundation
Fixed in Apache Tomcat 7.0.99
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.99

【4】サイボウズ Office に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#79854355
サイボウズ Office における複数の脆弱性
https://jvn.jp/jp/JVN79854355/

概要
サイボウズ Office には、複数の脆弱性があります。結果として、カスタムア
プリ機能を使用可能なユーザがサーバ内の任意のファイルを書き換えるなどの
可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ Office 10.0.0 から 10.8.3 までのバージョン

この問題は、サイボウズ Office をサイボウズ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供
する情報を参照してください。

関連文書 (日本語)
サイボウズ株式会社
サイボウズ Office 10 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2019/006976.html

【5】複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95417700
複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU95417700/

概要
複数の Apple 製品で使用している SecureROM には、解放済みメモリ使用の脆
弱性があります。結果として、製品に物理的にアクセス可能な第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品は次の通りです。

プロセッサチップ A5 から A11 を搭載する製品
- iPhones 4s から iPhone X まで
- iPad 第 2 世代から 第 7 世代まで
- iPad Mini 第 2 世代および 第 3 世代
- iPad Air および iPad Air 2
- iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代
- Apple Watch Series 1 から Series 3 まで
- Apple TV 第 3 世代 および 4k
- iPod Touch 第 5 世代 から 第 7 世代

なお、脆弱性に該当するプロセッサチップを使用している製品であれば、上記
以外の製品も影響を受けます。

この問題は、読み取り専用の SecureROM にあるため、対策方法はありません。
脆弱性を含まない製品への移行を検討してください。

関連文書 (英語)
CERT/CC Vulnerability Note VU#941987
Apple devices vulnerable to arbitrary code execution in SecureROM
https://www.kb.cert.org/vuls/id/941987/

【6】a-blog cms に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#10377257
a-blog cms における複数の脆弱性
https://jvn.jp/jp/JVN10377257/

概要
有限会社アップルップルが提供する a-blog cms には、複数の脆弱性がありま
す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実
行する可能性があります。

対象となるバージョンは次のとおりです。

- a-blog cms Ver.2.10.23 より前の 2.10 系のバージョン
- a-blog cms Ver.2.9.26 より前の 2.9 系のバージョン
- a-blog cms Ver.2.8.64 より前の 2.8 系のバージョン

この問題は、a-blog cms を有限会社アップルップルが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、有限会社アップルップルが提供
する情報を参照してください。

関連文書 (日本語)
有限会社アップルップル
a-blog cms Ver. 2.11.0 リリースしました!
https://developer.a-blogcms.jp/blog/changelog/release211.html

有限会社アップルップル
過去バージョンのダウンロード
https://developer.a-blogcms.jp/download/legacy.html

【7】Android アプリ「日テレニュース24」に SSL サーバ証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#01236065
Android アプリ「日テレニュース24」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN01236065/

概要
日本テレビ放送網株式会社が提供する Android アプリ「日テレニュース24」
には、SSL サーバ証明書の検証不備の脆弱性があります。結果として、遠隔の
第三者が、中間者攻撃によって通信内容を窃取したり、改ざんしたりするなど
の可能性があります。

対象となるバージョンは次の通りです。

- Android アプリ「日テレニュース24」 Ver3.0.0 より前のバージョン

この問題は、Android アプリ「日テレニュース24」 を 日本テレビ放送網株式
会社が提供する修正済みのバージョンに更新することで解決します。詳細は、
日本テレビ放送網株式会社が提供する情報を参照してください。

関連文書 (日本語)
日本テレビ放送網株式会社
日テレニュース24 - Google Play の Android アプリ
https://play.google.com/store/apps/details?id=jp.co.ntv.news24&hl=ja

【8】Telos 製 Automated Message Handling System に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#92353788
Telos 製 Automated Message Handling System に複数の脆弱性
https://jvn.jp/vu/JVNVU92353788/

概要
Telos 製 Automated Message Handling System には複数の脆弱性があります。
結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行す
るなどの可能性があります。

対象となるバージョンは次のとおりです。

- Automated Message Handling System version 4.1.5.5 より前のバージョン

この問題は、Automated Message Handling System を Telos Corporation が
提供する修正済みのバージョンに更新することで解決します。詳細は、Telos
Corporation が提供する情報を参照してください。

関連文書 (英語)
CERT/CC Vulnerability Note VU#873161
Telos Automated Message Handling System contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/873161/

Telos Corporation
Telos Automated Message Handling System (AMHS) Standard Maintenance Agreement
https://www.telos.com/enterprise/organizational-messaging/support/

コメント

この記事へのコメントは終了しました。