ミニ・いんふぉめーしょん

目 次 

【1】複数の Cisco 製品に脆弱性
【2】Samba に複数の脆弱性
【3】PHP に複数の脆弱性
【4】富士ゼロックス製の複数のスマートフォンアプリに SSL サーバ証明書の検証不備の脆弱性
【今週のひとくちメモ】サイバーセキュリティ月間について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200401.html
https://www.jpcert.or.jp/wr/2020/wr200401.xml
============================================================================

【1】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/23/cisco-releases-security-updates

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/24/cisco-releases-security-updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
などの可能性があります。

影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで
す。

- Cisco Firepower Management Center Software
- Cisco TelePresence Collaboration Endpoint Software
- Cisco TelePresence Codec Software
- Cisco RoomOS Software
- Cisco IOS XE SD-WAN Software
- Cisco SD-WAN Solution vManage Software
- Cisco Smart Software Manager On-Prem
- Cisco IOS XR Software
- Cisco Webex Meetings Suite sites
- Cisco Webex Meetings Online sites

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が提
供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Firepower Management Center Lightweight Directory Access Protocol Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-fmc-auth

Cisco Security Advisory
Cisco TelePresence Collaboration Endpoint, TelePresence Codec, and RoomOS Software Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-telepresence-path-tr-wdrnYEZZ

Cisco Security Advisory
Cisco IOS XE SD-WAN Software Default Credentials Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sd-wan-cred-EVGSF259

Cisco Security Advisory
Cisco SD-WAN Solution Local Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-sdwan-priv-esc

Cisco Security Advisory
Cisco Smart Software Manager On-Prem Web Interface Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-on-prem-dos

Cisco Security Advisory
Cisco IOS XR Software BGP EVPN Operational Routes Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-ios-xr-routes

Cisco Security Advisory
Cisco IOS XR Software BGP EVPN Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-ios-xr-evpn

Cisco Security Advisory
Cisco IOS XR Software Intermediate System-to-Intermediate System Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-ios-xr-dos

Cisco Security Advisory
Cisco Webex Meetings Suite and Cisco Webex Meetings Online Unauthenticated Meeting Join Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200124-webex-unauthjoin

【2】Samba に複数の脆弱性

情報源
US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/21/samba-releases-security-updates

概要
Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.11.5 より前の 4.11 系バージョン
- Samba 4.10.12 より前の 4.10 系バージョン
- Samba 4.9.18 より前の 4.9 系バージョン

なお、既にサポートが終了している Samba 4.9 系より前のバージョンも影響
を受けるとのことです。

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新することで解決します。詳細は、The Samba Team が提供する情報を参照し
てください。

関連文書 (英語)
The Samba Team
Samba Security Releases
https://www.samba.org/samba/history/security.html

The Samba Team
Replication of ACLs set to inherit down a subtree on AD Directory not automatic
https://www.samba.org/samba/security/CVE-2019-14902.html

The Samba Team
Crash after failed character conversion at log level 3 or above
https://www.samba.org/samba/security/CVE-2019-14907.html

The Samba Team
Use after free during DNS zone scavenging in Samba AD DC
https://www.samba.org/samba/security/CVE-2019-19344.html

【3】PHP に複数の脆弱性

情報源
The PHP Group
PHP 7.4.2 Released
https://www.php.net/archive/2020.php#2020-01-23-1

The PHP Group
PHP 7.3.14 Released
https://www.php.net/archive/2020.php#2020-01-23-3

The PHP Group
PHP 7.2.27 Released
https://www.php.net/archive/2020.php#2020-01-23-2

概要
PHP には、複数の脆弱性があります。結果として、第三者が任意のコードを実
行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.4.2 より前のバージョン
- PHP 7.3.14 より前のバージョン
- PHP 7.2.27 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.4.2
https://www.php.net/ChangeLog-7.php#7.4.2

The PHP Group
PHP 7 ChangeLog Version 7.3.14
https://www.php.net/ChangeLog-7.php#7.3.14

The PHP Group
PHP 7 ChangeLog Version 7.2.27
https://www.php.net/ChangeLog-7.php#7.2.27

【4】富士ゼロックス製の複数のスマートフォンアプリに SSL サーバ証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#66435380
富士ゼロックス製の複数のスマートフォンアプリにおける SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN66435380/

概要
富士ゼロックス製の複数のスマートフォンアプリには、SSL サーバ証明書の検
証不備の脆弱性があります。結果として、遠隔の第三者が中間者攻撃によって
暗号通信の盗聴を行うなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS アプリ「netprint」 3.2.3 およびそれ以前のバージョン
- iOS アプリ「かんたんnetprint」 2.0.2 およびそれ以前のバージョン
- Android アプリ「かんたんnetprint」 2.0.3 およびそれ以前のバージョン

この問題は、該当する製品を富士ゼロックス株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、富士ゼロックス株式会社が提供
する情報を参照してください。

関連文書 (日本語)
富士ゼロックス株式会社
ネットプリントサービスのスマートフォンアプリの不具合(脆弱性)について
https://www.printing.ne.jp/support/information/AppVulnerability.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○サイバーセキュリティ月間について

2月1日から 3月18日は、「サイバーセキュリティ月間」です。昨今、不審メー
ルや情報漏えいなど、サイバーセキュリティに関する問題が多数報じられてい
ます。こうした問題に対応していくためにも、日本政府はサイバーセキュリティ
に関する普及啓発活動として、今年も日本全国各地で様々なイベントの開催や
ポスター掲示などの取り組みを行います。興味のある方は、是非参加をご検討
ください。

参考文献 (日本語)
内閣サイバーセキュリティセンター (NISC)
サイバーセキュリティ月間
https://www.nisc.go.jp/security-site/month/

目 次 

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】2020年 1月 Oracle Critical Patch Update について
【4】複数の Intel 製品に脆弱性
【5】Google Chrome に複数の脆弱性
【6】VMware Tools に権限昇格の脆弱性
【7】トレンドマイクロ製パスワードマネージャーに情報漏えいの脆弱性
【今週のひとくちメモ】JIPDEC が社内教育用参考資料「紛失・盗難を防ごう」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200301.html
https://www.jpcert.or.jp/wr/2020/wr200301.xml
============================================================================

【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases January 2020 Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/14/microsoft-releases-january-2020-security-updates

US-CERT Current Activity
Microsoft Releases Security Advisory on Internet Explorer Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/01/17/microsoft-releases-security-advisory-internet-explorer

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office、Microsoft Office Services および Web Apps
- ASP.NET Core
- .NET Core
- .NET Framework
- OneDrive for Android
- Microsoft Dynamics

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。なお、2020年1月17日 (米国時間) に公開された Microsoft
Internet Explorer の脆弱性 (CVE-2020-0674) については、2020年1月21日
時点で、解決策は提供されていません。Microsoft が提供する情報を参照し、
回避策の適用や別の Web ブラウザの使用を検討してください。詳細は、
Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2020 年 1 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Jan

JPCERT/CC 注意喚起
2020年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200001.html

JPCERT/CC 注意喚起
Microsoft Internet Explorer の未修正の脆弱性 (CVE-2020-0674) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200004.html

関連文書 (英語)
マイクロソフト株式会社
ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001

CERT/CC Vulnerability Note VU#338824
Microsoft Internet Explorer Scripting Engine memory corruption vulnerability
https://kb.cert.org/vuls/id/338824/

【2】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/14/adobe-releases-security-updates

概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が情報を窃
取したり、実行ユーザの権限で任意のコードを実行したりする可能性がありま
す。

対象となる製品およびバージョンは次のとおりです。

- Adobe Experience Manager 6.5、6.4、6.3
- Adobe Illustrator CC 2019 24.0 およびそれ以前のバージョン (Windows)

なお、既にコアサポート期間が終了している Adobe Experience Manager 6.2、
6.1、6.0 も本脆弱性の影響を受けるとのことです。該当のバージョンを使用
している場合は、サポート対象のバージョンをご使用ください。

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020011501.html

Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-01
https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-01.html

Adobe
Adobe Illustrator CC に関するセキュリティアップデート公開 | APSB20-03
https://helpx.adobe.com/jp/security/products/illustrator/apsb20-03.html

【3】2020年 1月 Oracle Critical Patch Update について

情報源
US-CERT Current Activity
Oracle Releases January 2020 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2020/01/14/oracle-releases-january-2020-security-bulletin

概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
2020年1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200002.html

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - January 2020
https://www.oracle.com/security-alerts/cpujan2020.html

【4】複数の Intel 製品に脆弱性

情報源
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/14/intel-releases-security-updates

Japan Vulnerability Notes JVNVU#98694410
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98694410/

概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が、権限を
昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ
ります。

影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel
が提供するアドバイザリ情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020011502.html

関連文書 (英語)
Intel
INTEL-SA-00300: Intel SNMP Subagent Stand-Alone Advisory for Windows
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00300.html

Intel
INTEL-SA-00306: Intel Chipset Device Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00306.html

Intel
INTEL-SA-00308: Intel RWC 3 for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00308.html

Intel
INTEL-SA-00314: Intel Processor Graphics Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00314.html

Intel
INTEL-SA-00325: Intel VTune Amplifier for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00325.html

Intel
INTEL-SA-00332: Intel DAAL Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00332.html

【5】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/01/17/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 79.0.3945.130 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop_16.html

【6】VMware Tools に権限昇格の脆弱性

情報源
US-CERT Current Activity
VMware Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2020/01/14/vmware-releases-security-update

概要
VMware Tools には、権限昇格の脆弱性があります。結果として、ゲスト OS
のユーザが権限を昇格する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware Tools 10 系のバージョン (Windows)

この問題は、VMware Tools を VMware が提供する脆弱性の影響を受けないバー
ジョンに更新することで解決します。詳細は、VMware が提供する情報を参照
してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2020-0002
https://www.vmware.com/security/advisories/VMSA-2020-0002.html

【7】トレンドマイクロ製パスワードマネージャーに情報漏えいの脆弱性

情報源
Japan Vulnerability Notes JVN#37183636
トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN37183636/

Japan Vulnerability Notes JVN#49593434
トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN49593434/

概要
トレンドマイクロ製パスワードマネージャーには、情報漏えいの脆弱性があり
ます。結果として、第三者が秘密鍵や機微な情報を取得する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- パスワードマネージャー Windows 版 5.0.0.1076 およびそれ以前のバージョン
- パスワードマネージャー Windows 版 3.8.0.1103 およびそれ以前のバージョン
- パスワードマネージャー Mac 版 5.0.1047 およびそれ以前のバージョン
- パスワードマネージャー Mac 版 3.8.0.1052 およびそれ以前のバージョン

この問題は、トレンドマイクロ製パスワードマネージャーをトレンドマイクロ
株式会社が提供する修正済みのバージョンに更新することで解決します。詳細
は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：パスワードマネージャーのセキュリティ情報（CVE-2019-19696)
https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1124091.aspx

トレンドマイクロ株式会社
アラート/アドバイザリ：パスワードマネージャーのセキュリティ情報（CVE-2019-15625)
https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1123614.aspx

目 次 

【1】複数の Mozilla 製品に脆弱性
【2】複数の Citrix 製品に脆弱性
【3】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性
【4】複数の Cisco 製品に脆弱性
【5】複数の Juniper 製品に脆弱性
【6】F-RevoCRM にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Windows 7 および Windows Server 2008 / 2008 R2 のサポートが終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200201.html
https://www.jpcert.or.jp/wr/2020/wr200201.xml
============================================================================

【1】複数の Mozilla 製品に脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-releases-security-updates-firefox-and-firefox-esr

US-CERT Current Activity
Mozilla Patches Critical Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-patches-critical-vulnerability

概要
複数の Mozilla 製品には、脆弱性があります。 結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 72.0.1 より前のバージョン
- Mozilla Firefox ESR 68.4.1 より前のバージョン
- Mozilla Thunderbird 68.4.1 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 72
https://www.mozilla.org/en-US/security/advisories/mfsa2020-01

Mozilla
Security Vulnerabilities fixed in Firefox ESR 68.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-02

Mozilla
Security Vulnerabilities fixed in Firefox 72.0.1 and Firefox ESR 68.4.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03

Mozilla
Security Vulnerabilities fixed in Thunderbird 68.4.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-04

【2】複数の Citrix 製品に脆弱性

情報源
CERT/CC Vulnerability Note VU#619785
Citrix Application Delivery Controller and Citrix Gateway web server vulnerability
https://www.kb.cert.org/vuls/id/619785/

概要
複数の Citrix 製品には、脆弱性があります。結果として、遠隔の第三者が認
証無しで任意のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Citrix Application Delivery Controller
- Citrix Gateway
- NetScaler Application Delivery Controller
- NetScaler Gateway

2020年1月15日現在、この問題に対する修正済みのバージョンは提供されてい
ません。Citrix が本脆弱性に関する回避策のページを公開しています。また
Citrix によると、2020年1月下旬に修正バージョンを提供予定とのことです。
詳細は、Citrix の情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92281641
Citrix Application Delivery Controller および Citrix Gateway web server における任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU92281641/

関連文書 (英語)
Citrix Systems, Inc.
CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway
https://support.citrix.com/article/CTX267027

Citrix Systems, Inc.
Mitigation Steps for CVE-2019-19781
https://support.citrix.com/article/CTX267679

【3】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/01/08/google-releases-security-updates-chrome

概要
Google Chrome には、解放済みメモリの使用が可能な脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 79.0.3945.117 より前のバージョン (Windows, Mac, Linux)

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop.html

【4】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/01/09/cisco-releases-security-updates-multiple-products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコマンドを実行するなどの可能性があります。

影響度 High の脆弱性情報に記載されている製品は次のとおりです。

- Cisco Webex Video Mesh Software
- Cisco IOS Software
- Cisco IOS XE Software

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Webex Video Mesh Node Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-webex-video

Cisco Security Advisory
Cisco IOS and Cisco IOS XE Software Web UI Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-ios-csrf

【5】複数の Juniper 製品に脆弱性

情報源
US-CERT Current Activity
Juniper Networks Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/09/juniper-networks-releases-security-updates

概要
複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
などの可能性があります。

対象となる製品は次のとおりです。

- Junos OS
- SBR Carrier
- Contrail Networking
- Junos Space

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、Juniper が提供する情報を参照してくださ
い。

関連文書 (日本語)
Japan Vulnerability Notes JVN#07375820
Junos OS におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN07375820/

Japan Vulnerability Notes JVN#21753370
Junos OS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN21753370/

関連文書 (英語)
Juniper Networks
Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

Juniper Networks
2020-01 Security Bulletin: Junos OS: A specific SNMP command can trigger a high CPU usage Denial of Service in the RPD daemon. (CVE-2020-1600)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10979

Juniper Networks
2020-01 Security Bulletin: Junos OS: Upon receipt of certain types of malformed PCEP packets the pccd process may crash. (CVE-2020-1601)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10980

Juniper Networks
2020-01 Security Bulletin: Junos OS and Junos OS Evolved: Multiple vulnerabilities in JDHCPD allow for OS command injection and code execution of JDHCPD.
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10981

Juniper Networks

2020-01 Security Bulletin: Junos OS: Improper handling of specific IPv6 packets sent by clients eventually kernel crash (vmcore) the device. (CVE-2020-1603)

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10982

Juniper Networks
2020-01 Security Bulletin: Junos OS: EX4300/EX4600/QFX3500/QFX5100 Series: Stateless IP firewall filter may fail to evaluate certain packets (CVE-2020-1604)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10983

Juniper Networks
2020-01 Security Bulletin: Junos OS: Path traversal vulnerability in J-Web (CVE-2020-1606)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10985

Juniper Networks
2020-01 Security Bulletin: Junos OS: Cross-Site Scripting (XSS) in J-Web (CVE-2020-1607)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10986

Juniper Networks
2020-01 Security Bulletin: Junos OS: MX Series: In BBE configurations, receipt of a specific MPLS or IPv6 packet causes a Denial of Service (CVE-2020-1608)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10987

Juniper Networks
2020-01 Security Bulletin: SBR Carrier: Multiple Vulnerabilities in OpenSSL
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10990

Juniper Networks
2020-01 Security Bulletin: SBR Carrier: Multiple Vulnerabilities in Net-SNMP
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10991

Juniper Networks
2020-01 Security Bulletin: Contrail Networking: Multiple Vulnerabilities have been resolved in release R1912
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10992

Juniper Networks
2020-01 Security Bulletin: Junos Space: Multiple vulnerabilities resolved in 19.4R1 release.
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10993

【6】F-RevoCRM にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#97325754
F-RevoCRM におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97325754/

概要
シンキングリード株式会社が提供する F-RevoCRM には、クロスサイトスクリ
プティングの脆弱性があります。結果として、遠隔の第三者が、当該製品を使
用しているユーザのブラウザ上で、任意のスクリプトを実行する可能性があり
ます。

対象となるバージョンは次のとおりです。

- F-RevoCRM 6.0 から F-RevoCRM 6.5 patch6 までの 6 系のバージョン

この問題は、F-RevoCRM にシンキングリード株式会社が提供するパッチを適用
することで解決します。詳細は、シンキングリード株式会社が提供する情報を
参照してください。

関連文書 (日本語)
シンキングリード株式会社
F-RevoCRMバージョン6系の脆弱性と対応について
https://f-revocrm.jp/2019/12/9393

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Windows 7 および Windows Server 2008 / 2008 R2 のサポートが終了

2020年1月14日をもって、Microsoft が提供する Windows 7 および Windows
Server 2008 / 2008 R2 のサポートが終了しました。以降は、Windows 7 およ
び Windows Server 2008 / 2008 R2 を実行している PC およびサーバに対し、
セキュリティ更新プログラムが提供されません。Windows 10 および Windows
Server 2019 などの最新の OS にアップグレードすることを検討してください。

参考文献 (日本語)
マイクロソフト株式会社
Windows 7 のサポートを本日で終了致します
https://blogs.windows.com/japan/2020/01/14/0114_windows7eos/

マイクロソフト株式会社
2020 年 1 月 14 日に、Windows 7 のサポートが終了します
https://support.microsoft.com/ja-jp/help/4057281/windows-7-support-will-end-on-january-14-2020

マイクロソフト株式会社
Windows Server 2008 および Windows Server 2008 R2 のサポート終了
https://support.microsoft.com/ja-jp/help/4456235/end-of-support-for-windows-server-2008-and-windows-server-2008-r2

JPCERT/CC
Windows 7 および Windows Server 2008 R2 の延長サポート終了について
https://www.jpcert.or.jp/newsflash/2019101801.html

目 次 

【1】Cisco Data Center Network Manager に認証回避の脆弱性
【今週のひとくちメモ】警察庁が「DockerAPI を標的とした探索行為の増加等について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200101.html
https://www.jpcert.or.jp/wr/2020/wr200101.xml
============================================================================

【1】Cisco Data Center Network Manager に認証回避の脆弱性

情報源
Cisco Security Advisory
Cisco Data Center Network Manager Authentication Bypass Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-auth-bypass

概要
Cisco Data Center Network Manager には、認証回避の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Cisco Data Center Network Manager ソフトウエア 11.3(1) より前のバージョン (Microsoft Windows, Linux, virtual appliance platforms)

※影響度 Critical 以外にも、影響度 High および Medium の脆弱性情報、ア
　ドバイザリが公開されています。詳細は、Cisco が提供する情報を参照して
　ください。

この問題は、Cisco Data Center Network Manager を Cisco が提供する修正
済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情
報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Data Center Network Manager SQL Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-sql-inject

Cisco Security Advisory
Cisco Data Center Network Manager Path Traversal Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-path-trav

Cisco Security Advisory
Cisco Data Center Network Manager Command Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject

Cisco Security Advisory
Cisco Data Center Network Manager XML External Entity Read Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-xml-ext-entity

Cisco Security Advisory
Cisco Data Center Network Manager JBoss EAP Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-unauth-access

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○警察庁が「DockerAPI を標的とした探索行為の増加等について」を公開

警察庁は 2019年12月25日、「DockerAPI を標的とした探索行為の増加等につ
いて」と題したレポートを公開しました。2019年11月上旬から、Docker API
を標的とした宛先ポート 2375/TCP 2376/TCP 2377/TCP 4243/TCP に対する探
索行為の増加が観測されており、警察庁は同製品の利用者に注意を呼び掛けて
います。

また、リモートデスクトップの脆弱性 (CVE-2019-0708) を標的としたアクセ
スの増加や、宛先ポート 26/TCP に対する Mirai ボットの特徴を有するアク
セスの増加も観測されており、同じく注意が呼びかけられています。リモート
デスクトップ製品や IoT 機器を利用している場合は、警察庁や各ベンダなど
が提供する情報を確認し、バージョンアップやアクセス制御などの対策の実施
を検討してください。

参考文献 (日本語)
警察庁
DockerAPI を標的とした探索行為の増加等について
https://www.npa.go.jp/cyberpolice/important/2019/201912251.html