« 2020年1月 | メイン | 2020年3月 »

2020年2月

2020年2月27日 (木)

■02/16(日)~02/22(土) のセキュリティ関連情報

目 次 

【1】複数の Cisco 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】PHP に複数の脆弱性
【5】VMware vRealize Operations for Horizon Adapter に複数の脆弱性
【6】三菱電機製 MELSEC C言語コントローラユニットおよび MELIPC シリーズ MI5000 に複数の脆弱性
【7】WordPress 用プラグイン Easy Property Listings にクロスサイトリクエストフォージェリの脆弱性
【8】日本電気株式会社製無線 LAN ルータに複数の脆弱性
【今週のひとくちメモ】Japan Security Analyst Conference 2020 開催レポートを公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200801.html
https://www.jpcert.or.jp/wr/2020/wr200801.xml
============================================================================


【1】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/02/20/cisco-releases-security-updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能
性があります。

影響度 Critical および High の脆弱性情報に記載されている製品は次のとお
りです。

- Cisco Smart Software Manager On-Prem
- Cisco Unified Contact Center Express Software
- Firepower Management Center 1000
- Firepower Management Center 2500
- Firepower Management Center 4500
- Secure Network Server 3500 Series Appliances
- Secure Network Server 3600 Series Appliances
- Threat Grid 5504 Appliance
- Cisco AsyncOS Software for Cisco Email Security Appliance
- Cisco AsyncOS Software for Cisco Content Security Management Appliance
- Cisco Data Center Network Manager

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Smart Software Manager On-Prem Static Default Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-on-prem-static-cred-sL8rDs8

Cisco Security Advisory
Cisco Unified Contact Center Express Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-privesc-Zd7bvwyf#vp

Cisco Security Advisory
Multiple Cisco UCS-Based Products UEFI Secure Boot Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200219-ucs-boot-bypass

Cisco Security Advisory
Cisco Email Security Appliance and Cisco Content Security Management Appliance Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200219-esa-sma-dos

Cisco Security Advisory
Cisco Email Security Appliance Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200219-esa-dos

Cisco Security Advisory
Cisco Data Center Network Manager Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200219-dcnm-priv-esc

Cisco Security Advisory
Cisco Data Center Network Manager Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200219-dcnm-csrf

【2】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates for After Effects and Media Encoder
https://www.us-cert.gov/ncas/current-activity/2020/02/20/adobe-releases-security-updates-after-effects-and-media-encoder

概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が、該当す
る製品を実行しているユーザの権限で任意のコードを実行する可能性がありま
す。

対象となる製品は次のとおりです。

- Adobe After Effects
- Adobe Media Encoder

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。


関連文書 (英語)
Adobe
Security Updates Available for Adobe After Effects | APSB20-09
https://helpx.adobe.com/security/products/after_effects/apsb20-09.html

Adobe
Security Updates Available for Adobe Media Encoder | APSB20-10
https://helpx.adobe.com/security/products/media-encoder/apsb20-10.html

【3】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/02/21/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 80.0.3987.116 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。


関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_18.html

【4】PHP に複数の脆弱性

情報源
The PHP Group
PHP 7.4.3 released
https://www.php.net/archive/2020.php#2020-02-20-3

The PHP Group
PHP 7.3.15 Released
https://www.php.net/archive/2020.php#2020-02-20-2

The PHP Group
PHP 7.2.28 Released
https://www.php.net/archive/2020.php#2020-02-20-1

概要
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.4.3 より前のバージョン
- PHP 7.3.15 より前のバージョン
- PHP 7.2.28 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.4.3
https://www.php.net/ChangeLog-7.php#7.4.3

The PHP Group
PHP 7 ChangeLog Version 7.3.15
https://www.php.net/ChangeLog-7.php#7.3.15

The PHP Group
PHP 7 ChangeLog Version 7.2.28
https://www.php.net/ChangeLog-7.php#7.2.28

【5】VMware vRealize Operations for Horizon Adapter に複数の脆弱性

情報源
US-CERT Current Activity
VMware Releases Security Updates for vRealize Operations for Horizon Adapter
https://www.us-cert.gov/ncas/current-activity/2020/02/19/vmware-releases-security-updates-vrealize-operations-horizon

概要
VMware vRealize Operations for Horizon Adapter には、複数の脆弱性があ
ります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性が
あります。

対象となる製品およびバージョンは以下の通りです。

- VMware vRealize Operations for Horizon Adapter 6.7 系のバージョン
- VMware vRealize Operations for Horizon Adapter 6.6 系のバージョン

この問題は、VMware vRealize Operations for Horizon Adapter を VMware
が提供する修正済みのバージョンに更新することで解決します。詳細は、
VMware が提供する情報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2020-0003
https://www.vmware.com/security/advisories/VMSA-2020-0003.html

【6】三菱電機製 MELSEC C言語コントローラユニットおよび MELIPC シリーズ MI5000 に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95424547
三菱電機製 MELSEC C言語コントローラユニットおよび MELIPC シリーズ MI5000 における複数の脆弱性
https://jvn.jp/vu/JVNVU95424547/

概要
三菱電機株式会社が提供する MELSEC C言語コントローラユニットおよび、
MELIPC シリーズ MI5000 には複数の脆弱性があります。結果として、遠隔の
第三者が、細工した TCP パケットを送信することで、サービス運用妨害
(DoS) などを行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- MELSEC-Q シリーズ C言語コントローラユニットのうち、下記の製品型番とバージョンのもの
- Q24DHCCPU-V、Q24DHCCPU-VG ユーザ Ethernet ポート (CH1、CH2) (シリアル番号の上 5桁が "21121" およびそれ以前)

- MELSEC iQ-R シリーズ C言語コントローラユニット、C言語インテリジェント機能ユニットのうち、下記の製品型番とバージョンのもの
- R12CCPU-V Ethernet ポート (CH1、CH2) (シリアル番号の上 2桁が "11" 以下)
- RD55UP06-V Ethernet ポート (シリアル番号の上 2桁が "08" 以下)

- MELIPC シリーズ MI5000のうち、下記の製品型番とバージョンのもの
- MI5122-VW Ethernet ポート(CH1) (シリアル番号の上 2桁が "03" 以下、もしくはファームウェアバージョンが "03" 以下)

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、三菱電機株式会社が提供する情報を参
照してください。

関連文書 (日本語)
三菱電機株式会社
MELSEC C言語コントローラユニット及びMELIPC シリーズMI5000のTCP/IP機能における複数の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2019-003.pdf

【7】WordPress 用プラグイン Easy Property Listings にクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#89259622
WordPress 用プラグイン Easy Property Listings におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN89259622/

概要
WordPress 用プラグイン Easy Property Listings には、クロスサイトリクエ
ストフォージェリの脆弱性があります。結果として、遠隔の第三者が、細工し
たページにユーザをアクセスさせることにより、該当する製品の管理画面にロ
グインしているユーザの権限で任意の操作を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Easy Property Listings 3.4 より前のバージョン

この問題は、Easy Property Listings を開発者が提供する修正済みのバージョン
に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。

関連文書 (英語)
Merv Barrett
Easy Property Listings
https://wordpress.org/plugins/easy-property-listings/#developers

【8】日本電気株式会社製無線 LAN ルータに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#49410695
Aterm WG2600HS における複数の脆弱性
https://jvn.jp/jp/JVN49410695/

Japan Vulnerability Notes JVN#25766797
Aterm WF1200CR 、WG1200CR および WG2600HS における複数の OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN25766797/

概要
日本電気株式会社製無線 LAN ルータには、複数の脆弱性があります。結果と
して、該当する製品にアクセス可能な第三者が、任意の OS コマンドを実行す
るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Aterm WG2600HS ファームウェア Ver1.3.2 およびそれ以前
- Aterm WG1200CR ファームウェア Ver1.2.1 およびそれ以前
- Aterm WF1200CR ファームウェア Ver1.2.1 およびそれ以前

この問題は、該当する製品を日本電気株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、日本電気株式会社が提供する情報を参
照してください。

関連文書 (日本語)
日本電気株式会社
Aterm WG2600HSにおける複数の脆弱性
https://jpn.nec.com/security-info/secinfo/nv20-003.html

日本電気株式会社
Atermシリーズにおける複数のOSコマンドインジェクション
https://jpn.nec.com/security-info/secinfo/nv20-005.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Japan Security Analyst Conference 2020 開催レポートを公開

JPCERT/CC は、2020年1月17日に開催した Japan Security Analyst Conference
2020 (JSAC2020) の開催レポートを公開しました。本カンファレンスは、日々
セキュリティインシデントに対応する現場のセキュリティアナリストを対象と
し、高度化するサイバー攻撃に対抗するための技術情報を共有することを目的
に開催しております。

開催レポートでは、JSAC2020 の講演の様子を、前半と後半の 2回に分けて紹
介しています。講演資料も Web サイトで公開しています。(一部非公開)

参考文献 (日本語)
JPCERT/CC
Japan Security Analyst Conference 2020開催レポート 前編
https://blogs.jpcert.or.jp/ja/2020/02/japan-security-analyst-conference-2020-1.html

JPCERT/CC
Japan Security Analyst Conference 2020開催レポート 後編
https://blogs.jpcert.or.jp/ja/2020/02/japan-security-analyst-conference-2020-2.html

投稿時刻 09:45 セキュリティ | | コメント (0)

2020年2月19日 (水)

■02/09(日)~02/15(土) のセキュリティ関連情報

目 次 

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の Intel 製品に脆弱性
【4】複数の Mozilla 製品に脆弱性
【5】ウイルスバスター クラウド (Windows版) にサービス運用妨害 (DoS) 攻撃の脆弱性
【6】IBM ServeRAID Manager に任意のコード実行が可能な脆弱性
【7】HtmlUnit に任意のコード実行が可能な脆弱性
【8】スマートフォンアプリ「ilbo」に認証不備の脆弱性
【今週のひとくちメモ】NICT が「NICTER観測レポート2019」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200701.html
https://www.jpcert.or.jp/wr/2020/wr200701.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases February 2020 Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/02/11/microsoft-releases-february-2020-security-updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- ChakraCore
- Internet Explorer
- Microsoft Exchange Server
- Microsoft SQL Server
- Microsoft Office、Microsoft Office Services および Web Apps
- Windows 悪意のあるソフトウェアの削除ツール
- Windows Surface Hub

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2020 年 2 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Feb

JPCERT/CC 注意喚起
2020年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200008.html

【2】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/02/11/adobe-releases-security-updates-multiple-products

概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
情報を窃取したり、任意のコードを実行したりするなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Framemaker
- Adobe Acrobat DC Continuous
- Adobe Acrobat 2017 Classic 2017
- Adobe Acrobat 2015 Classic 2015
- Adobe Acrobat Reader DC Continuous
- Adobe Acrobat Reader 2017 Classic 2017
- Adobe Acrobat Reader 2015 Classic 2015
- Adobe Flash Player Desktop Runtime
- Adobe Flash Player for Google Chrome
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11
- Adobe Digital Editions
- Adobe Experience Manager

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB20-05) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200006.html

JPCERT/CC 注意喚起
Adobe Flash Player の脆弱性 (APSB20-06) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200007.html

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020021201.html

関連文書 (英語)
Adobe
Security Updates Available for Adobe Framemaker | APSB20-04
https://helpx.adobe.com/security/products/framemaker/apsb20-04.html

Adobe
Security update available for Adobe Acrobat and Reader | APSB20-05
https://helpx.adobe.com/security/products/acrobat/apsb20-05.html

Adobe
Security Bulletin for Adobe Flash Player | APSB20-06
https://helpx.adobe.com/security/products/flash-player/apsb20-06.html

Adobe
Security Updates Available for Adobe Digital Editions | APSB20-07
https://helpx.adobe.com/security/products/Digital-Editions/apsb20-07.html

Adobe
Security updates available for Adobe Experience Manager | APSB20-08
https://helpx.adobe.com/security/products/experience-manager/apsb20-08.html

【3】複数の Intel 製品に脆弱性

情報源
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/02/11/intel-releases-security-updates

Japan Vulnerability Notes JVNVU#96221887
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU96221887

概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が、権限を
昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ
ります。

影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel
が提供するアドバイザリ情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020021202.html

関連文書 (英語)
Intel
INTEL-SA-00273: Intel Renesas Electronics USB 3.0 Driver Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00273.html

Intel
INTEL-SA-00307: Intel CSME Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00307.html

Intel
INTEL-SA-00336: Intel SGX SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00336.html

Intel
INTEL-SA-00339: Intel RWC2 Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00339.html

Intel
INTEL-SA-00340: Intel MPSS Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00340.html

Intel
INTEL-SA-00341: Intel RWC3 Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00341.html

【4】複数の Mozilla 製品に脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/02/11/mozilla-releases-security-updates-multiple-products

概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 73 より前のバージョン
- Mozilla Firefox ESR 68.5 より前のバージョン
- Mozilla Thunderbird 68.5 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 73
https://www.mozilla.org/en-US/security/advisories/mfsa2020-05/

Mozilla
Security Vulnerabilities fixed in Firefox ESR68.5
https://www.mozilla.org/en-US/security/advisories/mfsa2020-06/

Mozilla
Security Vulnerabilities fixed in Thunderbird 68.5
https://www.mozilla.org/en-US/security/advisories/mfsa2020-07/

【5】ウイルスバスター クラウド (Windows版) にサービス運用妨害 (DoS) 攻撃の脆弱性

情報源
Japan Vulnerability Notes JVN#02921757
ウイルスバスター クラウド (Windows版) におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN02921757/

概要
ウイルスバスター クラウド (Windows版) には、サービス運用妨害 (DoS) 攻
撃の脆弱性があります。結果として、第三者が当該製品を無効化する可能性が
あります。

対象となるバージョンは次のとおりです。

- ウイルスバスター クラウド (Windows版) バージョン 15

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社
が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について (CVE-2019-19694)
https://esupport.trendmicro.com/support/vb/solution/ja-jp/1124058.aspx

【6】IBM ServeRAID Manager に任意のコード実行が可能な脆弱性

情報源
CERT/CC Vulnerability Note VU#597809
IBM ServeRAID Manager exposes unauthenticated Java Remote Method Invocation (RMI) service
https://www.kb.cert.org/vuls/id/597809/

概要
IBM ServeRAID Manager には、任意のコード実行が可能な脆弱性があります。
結果として、遠隔の第三者が、Microsoft Windows の SYSTEM 権限で任意のコー
ドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- IBM ServeRAID Manager 9.30-17006 およびそれ以前

2020年2月18日現在、IBM ServeRAID Manager 向けの修正バージョンは提供さ
れていません。また IBM ServeRAID Manager はサポートが終了しています。
IBM はこの問題に関する回避策の情報を提供しています。詳細は、IBM が提供
する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99571081
IBM ServeRAID Manager における任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU99571081/

関連文書 (英語)
IBM
IBM ServeRAID Application CD v9.30-17006 - IBM System x and BladeCenter
https://www.ibm.com/support/pages/ibm-serveraid-application-cd-v930-17006-ibm-system-x-and-bladecenter

【7】HtmlUnit に任意のコード実行が可能な脆弱性

情報源
Japan Vulnerability Notes JVN#34535327
HtmlUnit において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN34535327/

概要
HtmlUnit には、任意のコード実行が可能な脆弱性があります。結果として、
遠隔の第三者が、中間者攻撃などの方法により、任意の Java コードを実行す
る可能性があります。

対象となるバージョンは次のとおりです。

- HtmlUnit 2.37.0 より前のバージョン

この問題は、HtmlUnit を開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
RBRi
HtmlUnit-2.37.0
https://github.com/HtmlUnit/htmlunit/releases/tag/2.37.0

【8】スマートフォンアプリ「ilbo」に認証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#35496038
スマートフォンアプリ「ilbo」における認証不備の脆弱性
https://jvn.jp/jp/JVN35496038/

概要
株式会社エクストランが提供するスマートフォンアプリ「ilbo」には、認証不
備の脆弱性があります。結果として、当該製品にログイン可能な第三者が、他
のユーザの映像を閲覧する可能性があります。

対象となるバージョンは次のとおりです。

- Android アプリ「ilbo」 1.1.8 より前のバージョン
- iOS アプリ「ilbo」 1.2.0 より前のバージョン

この問題は、該当する製品を株式会社エクストランが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社エクストランが提供す
る情報を参照してください。

関連文書 (日本語)
Google Play
ilbo
https://play.google.com/store/apps/details?id=jp.extrun.ilbo&hl=ja

App Store
ilbo
https://apps.apple.com/jp/app/ilbo/id1116864683

投稿時刻 09:46 セキュリティ | | コメント (0)

2020年2月13日 (木)

■02/02(日)~02/08(土) のセキュリティ関連情報

目 次 

【1】複数の Cisco 製品に脆弱性
【2】Google Chrome に複数の脆弱性
【3】Ghostscript にアクセス制限回避の脆弱性
【4】Movable Type にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】「マルウエアEmotetへの対応FAQ」を更新

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200601.html
https://www.jpcert.or.jp/wr/2020/wr200601.xml
============================================================================


【1】複数の Cisco 製品に脆弱性

情報源
CERT/CC Vulnerability Note VU#261385
Cisco Discovery Protocol (CDP) enabled devices are vulnerable to denial-of-service and remote code execution
https://kb.cert.org/vuls/id/261385/

概要
複数の Cisco 製品には、脆弱性があります。結果として、第三者が、任意の
コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可
能性があります。

対象となる製品およびバージョンは、多岐に渡ります。詳細は Cisco が提供
するアドバイザリ情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95679983
Cisco Discovery Protocol (CDP) を使用する製品に複数の脆弱性
https://jvn.jp/vu/JVNVU95679983/

関連文書 (英語)
Cisco Security Advisory
Cisco FXOS, IOS XR, and NX-OS Software Cisco Discovery Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-fxnxos-iosxr-cdp-dos

Cisco Security Advisory
Cisco IOS XR Software Cisco Discovery Protocol Format String Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-iosxr-cdp-rce

Cisco Security Advisory
Cisco Video Surveillance 8000 Series IP Cameras Cisco Discovery Protocol Remote Code Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-ipcameras-rce-dos

Cisco Security Advisory
Cisco NX-OS Software Cisco Discovery Protocol Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-nxos-cdp-rce

Cisco Security Advisory
Cisco IP Phone Remote Code Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-voip-phones-rce-dos

【2】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/02/05/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となる製品およびバージョンは次のとおりです。

- Chrome 80.0.3987.87 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop.html

【3】Ghostscript にアクセス制限回避の脆弱性

情報源
Japan Vulnerability Notes JVN#52486659
Ghostscript におけるアクセス制限回避の脆弱性
https://jvn.jp/jp/JVN52486659/

概要
Ghostscript には、アクセス制限回避の脆弱性があります。結果として、遠隔
の第三者が、細工したファイルを Ghostscript で実行し、Ghostscript の権
限で任意のコマンドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Ghostscript 9.27 およびそれ以前のバージョン

この問題は、Ghostscript を Artifex Software, Inc. が提供する修正済みの
バージョンに更新することで解決します。詳細は、Artifex Software, Inc.
が提供する情報を参照してください。

関連文書 (英語)
Artifex Software, Inc.
Ghostscript
https://artifex.com/products/ghostscript/

Ghostscript and GhostPDL
git.ghostscript.com Git
https://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=485904772c5f

【4】Movable Type にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#94435544
Movable Type におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN94435544/

概要
Movable Type には、クロスサイトスクリプティングの脆弱性があります。結
果として、遠隔の第三者が、当該製品にログインしているユーザのウェブブラ
ウザ上で、任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Movable Type 7 r.4603 およびそれ以前 (Movable Type 7 系)
- Movable Type 6.5.2 およびそれ以前 (Movable Type 6.5 系)
- Movable Type Advanced 7 r.4603 およびそれ以前 (Movable Type Advanced 7 系)
- Movable Type Advanced 6.5.2 およびそれ以前 (Movable Type Advanced 6.5 系)
- Movable Type Premium 1.26 およびそれ以前
- Movable Type Premium Advanced 1.26 およびそれ以前

この問題は、Movable Type をシックス・アパート株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、シックス・アパート株
式会社が提供する情報を参照してください。

関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 6.5.3 / 6.3.11 / Movable Type 7 r.4605 / Movable Type Premium 1.27 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2020/02/06-1100.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「マルウエアEmotetへの対応FAQ」を更新

2020年2月3日に JPCERT/CC Eyes 「マルウエアEmotetへの対応FAQ」を更新し
ました。新型コロナウイルスを題材とした Emotet メール例や、Emotet の感
染有無を確認できる EmoCheck の情報を追加しています。

参考文献 (日本語)
JPCERT/CC
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

投稿時刻 09:31 セキュリティ | | コメント (0)

2020年2月 5日 (水)

■01/26(日)~02/01(土) のセキュリティ関連情報

目 次 

【1】複数の Apple 製品に脆弱性
【2】Magento に複数の脆弱性
【3】複数の Cisco 製品に脆弱性
【4】複数の Intel 製品に脆弱性
【5】OpenSMTPD に権限昇格と任意コード実行の脆弱性
【6】Android アプリ「MyPallete」にサーバ証明書検証不備の脆弱性
【7】スマートフォンアプリ「AWMS Mobile」にサーバ証明書の検証不備の脆弱性
【今週のひとくちメモ】警察庁が「複数のIoT機器等の脆弱性を標的としたアクセスの増加等について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200501.html
https://www.jpcert.or.jp/wr/2020/wr200501.xml
============================================================================


【1】複数の Apple 製品に脆弱性

情報源
US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/28/apple-releases-multiple-security-updates

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS Catalina 10.15.3 より前のバージョン
- macOS Mojave 10.14.6 (Security Update 2020-001 未適用)
- macOS High Sierra 10.13.6 (Security Update 2020-001 未適用)
- iOS 13.3.1 より前のバージョン
- iPadOS 13.3.1 より前のバージョン
- Safari 13.0.5 より前のバージョン
- tvOS 13.3.1 より前のバージョン
- iTunes 12.10.4 for Windows より前のバージョン
- watchOS 6.1.2 より前のバージョン
- iCloud for Windows 10.9.2 より前のバージョン
- iCloud for Windows 7.17 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95678717
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95678717/

Apple
iOS 13.3.1 および iPadOS 13.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210918

Apple
macOS Catalina 10.15.3、セキュリティアップデート 2020-001 Mojave、セキュリティアップデート 2020-001 High Sierra のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210919

Apple
tvOS 13.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210920

Apple
watchOS 6.1.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210921

Apple
Safari 13.0.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210922

Apple
iTunes for Windows 12.10.4 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210923

Apple
Windows 用 iCloud 10.9.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210947

Apple
Windows 用 iCloud 7.17 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210948

【2】Magento に複数の脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates for Magento
https://www.us-cert.gov/ncas/current-activity/2020/01/31/adobe-releases-security-updates-magento

概要
Magento には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
のコードを実行したり、情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Magento Commerce 2.3.3 およびそれ以前のバージョン
- Magento Commerce 2.2.10 およびそれ以前のバージョン
- Magento Open Source 2.3.3 およびそれ以前のバージョン
- Magento Open Source 2.2.10 およびそれ以前のバージョン
- Magento Enterprise Edition 1.14.4.3 およびそれ以前のバージョン
- Magento Community Edition 1.9.4.3 およびそれ以前のバージョン

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (英語)
Adobe
Security Updates Available for Magento | APSB20-02
https://helpx.adobe.com/security/products/magento/apsb20-02.html

【3】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/24/cisco-releases-security-updates

US-CERT Current Activity
Cisco Releases Security Updates for Cisco Small Business Switches
https://www.us-cert.gov/ncas/current-activity/2020/01/30/cisco-releases-security-updates-cisco-small-business-switches

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が情
報を窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Webex Meetings Suite sites 40.1.3 より前のバージョン
- Cisco Webex Meetings Suite sites 39.11.5 より前のバージョン
- Cisco Webex Meetings Online sites 40.1.3 より前のバージョン
- Cisco Webex Meetings Online sites 39.11.5 より前のバージョン
2.5.0.92 より前のファームウエアが稼働する次の製品
- 250 Series Smart Switches
- 350 Series Managed Switches
- 350X Series Stackable Managed Switches
- 550X Series Stackable Managed Switches
1.4.11.4 より前のファームウエアが稼働する次の製品
- 200 Series Smart Switches
- 300 Series Managed Switches
- 500 Series Stackable Managed Switches
1.3.7.18 より前のファームウエアが稼働する次の製品
- 200 Series Smart Switches
- 300 Series Managed Switches
- 500 Series Stackable Managed Switches

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Webex Meetings Suite and Cisco Webex Meetings Online Unauthenticated Meeting Join Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200124-webex-unauthjoin

Cisco Security Advisory
Cisco Small Business Switches Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smlbus-switch-dos-R6VquS2u

Cisco Security Advisory
Cisco Small Business Switches Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200129-smlbus-switch-disclos

【4】複数の Intel 製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#97139173
Intel 製 CPU の投機的実行機能に対するサイドチャネル攻撃 (Vector Register Sampling、L1D Eviction Sampling)
https://jvn.jp/vu/JVNVU97139173/

概要
複数の Intel 製品には、脆弱性があります。結果として、第三者がサイドチャ
ネル攻撃によってベクトルレジスタ値や L1 データキャッシュの値を推測する
可能性があります。

影響を受ける製品は多岐に渡ります。対象製品の詳細は、Intel が提供するア
ドバイザリ情報を参照してください。

関連文書 (英語)
Intel
Intel Processors Data Leakage Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00329.html

Intel
IPAS: INTEL-SA-00329
https://blogs.intel.com/technology/2020/01/ipas-intel-sa-00329/#gs.viev5k

Intel
Vector Register Sampling / CVE-2020-0548 / INTEL-SA-00329
https://software.intel.com/security-software-guidance/software-guidance/vector-register-sampling

Intel
L1D Eviction Sampling / CVE-2020-0549 / INTEL-SA-00329
https://software.intel.com/security-software-guidance/software-guidance/l1d-eviction-sampling

Intel
Microcode Update Guidance
https://www.intel.com/content/dam/www/public/us/en/security-advisory/documents/sa00329-microcode-update-guidance.pdf

【5】OpenSMTPD に権限昇格と任意コード実行の脆弱性

情報源
CERT/CC Vulnerability Note VU#390745
OpenSMTPD vulnerable to local privilege escalation and remote code execution
https://kb.cert.org/vuls/id/390745/

概要
OpenSMTPD には、脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- OpenSMTPD 6.4.0 から 6.6.1 までのバージョン

この問題は、OpenSMTPD を開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90495537
OpenSMTPD に権限昇格と任意コード実行の脆弱性
https://jvn.jp/vu/JVNVU90495537/

関連文書 (英語)
US-CERT Current Activity
OpenSMTPD Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/02/03/opensmtpd-vulnerability

【6】Android アプリ「MyPallete」にサーバ証明書検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#28845872
Android アプリ「MyPallete」におけるサーバ証明書検証不備の脆弱性
https://jvn.jp/jp/JVN28845872/

概要
株式会社 NTTデータが提供する Android アプリ「MyPallete」には、サーバ証
明書の検証不備の脆弱性があります。結果として、遠隔の第三者が中間者攻撃
によって暗号通信の盗聴を行うなどの可能性があります。

対象となる製品は次のとおりです。

- Android アプリ「MyPallete」
- 「MyPallete」を使用して作成されている一部の金融機関の Android アプリ

この問題は、該当する製品を株式会社 NTTデータや各金融機関が提供する修正
済みのバージョンに更新することで解決します。詳細は、株式会社 NTTデータ
や各金融機関が提供する情報を参照してください。

関連文書 (日本語)
株式会社 NTTデータ
Androidアプリ「My Pallete」におけるSSL通信時の脆弱性に関するお知らせ
http://www.dokodemobank.ne.jp/info_20200128_bankingapp.html

株式会社足利銀行
あしぎんアプリにおけるSSL通信時の脆弱性に関するお知らせ
https://www.ashikagabank.co.jp/appbanking/pdf/oshirase.pdf

株式会社池田泉州銀行
当行バンキングアプリにおける脆弱性に関するお知らせ
https://www.sihd-bk.jp/common_v2/pdf/20200127.pdf

株式会社四国銀行
四国銀行アプリにおけるSSL通信時の複数の脆弱性に関するお知らせ
https://www.shikokubank.co.jp/info/apps20200128.html

株式会社東北銀行
とうぎんアプリにおけるSSL通信時の複数の脆弱性に関するお知らせ
https://www.tohoku-bank.co.jp/news/topics/200128_applissl.html

株式会社長野銀行
ながぎんアプリにおけるSSL通信時の複数の脆弱性に関するお知らせ
https://www.naganobank.co.jp/soshiki/2/app-ssl.html

株式会社七十七銀行
【重要】七十七銀行アプリにおける脆弱性に関するお知らせ
https://www.77bank.co.jp/pdf/oshirase/20012801_appvulnerability.pdf

株式会社北海道銀行
『どうぎんアプリ』における SSL 通信時の脆弱性の修正に関するお知らせ
https://www.hokkaidobank.co.jp/common/dat/2020/0120/15795047141946146699.pdf

株式会社北陸銀行
『北陸銀行ポータルアプリ』におけるSSL通信時の脆弱性の修正に関するお知らせ
https://www.hokugin.co.jp/info/archives/personal/2020/1913.html

【7】スマートフォンアプリ「AWMS Mobile」にサーバ証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#00014057
スマートフォンアプリ「AWMS Mobile」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN00014057/

概要
富士ゼロックス株式会社が提供するスマートフォンアプリ「AWMS Mobile」に
は、サーバ証明書の検証不備の脆弱性があります。結果として、遠隔の第三者
が中間者攻撃によって暗号通信の盗聴を行うなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS アプリ「AWMS Mobile」 2.0.0 から 2.0.8 までのバージョン
- Android アプリ「AWMS Mobile」 2.0.0 から 2.0.5 までのバージョン

この問題は、該当する製品を富士ゼロックス株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、富士ゼロックス株式会社が提供
する情報を参照してください。

関連文書 (日本語)
富士ゼロックス株式会社
AWMS Mobile における証明書検証不備およびホスト名検証不備の脆弱性について
https://www.fujixerox.co.jp/support/software/aw_manage_suite/contents/awms2_notice01


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○警察庁が「複数のIoT機器等の脆弱性を標的としたアクセスの増加等について」を公開

警察庁は 2020年1月30日、「複数のIoT機器等の脆弱性を標的としたアクセス
の増加等について」と題したレポートを公開しました。2019年11月以降から、
複数の IoT 機器の脆弱性を標的としたアクセスの増加が観測されており、Mirai
亜種の感染を狙った11種類のアクセスなどの観測状況をまとめています。

参考文献 (日本語)
警察庁
複数のIoT機器等の脆弱性を標的としたアクセスの増加等について
https://www.npa.go.jp/cyberpolice/detect/pdf/20200130.pdf

投稿時刻 10:00 セキュリティ | | コメント (0)