« ■01/26(日)~02/01(土) のセキュリティ関連情報 | メイン | ■02/09(日)~02/15(土) のセキュリティ関連情報 »

2020年2月13日 (木)

■02/02(日)~02/08(土) のセキュリティ関連情報

目 次 

【1】複数の Cisco 製品に脆弱性
【2】Google Chrome に複数の脆弱性
【3】Ghostscript にアクセス制限回避の脆弱性
【4】Movable Type にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】「マルウエアEmotetへの対応FAQ」を更新

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200601.html
https://www.jpcert.or.jp/wr/2020/wr200601.xml
============================================================================


【1】複数の Cisco 製品に脆弱性

情報源
CERT/CC Vulnerability Note VU#261385
Cisco Discovery Protocol (CDP) enabled devices are vulnerable to denial-of-service and remote code execution
https://kb.cert.org/vuls/id/261385/

概要
複数の Cisco 製品には、脆弱性があります。結果として、第三者が、任意の
コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可
能性があります。

対象となる製品およびバージョンは、多岐に渡ります。詳細は Cisco が提供
するアドバイザリ情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95679983
Cisco Discovery Protocol (CDP) を使用する製品に複数の脆弱性
https://jvn.jp/vu/JVNVU95679983/

関連文書 (英語)
Cisco Security Advisory
Cisco FXOS, IOS XR, and NX-OS Software Cisco Discovery Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-fxnxos-iosxr-cdp-dos

Cisco Security Advisory
Cisco IOS XR Software Cisco Discovery Protocol Format String Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-iosxr-cdp-rce

Cisco Security Advisory
Cisco Video Surveillance 8000 Series IP Cameras Cisco Discovery Protocol Remote Code Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-ipcameras-rce-dos

Cisco Security Advisory
Cisco NX-OS Software Cisco Discovery Protocol Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-nxos-cdp-rce

Cisco Security Advisory
Cisco IP Phone Remote Code Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-voip-phones-rce-dos

【2】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/02/05/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となる製品およびバージョンは次のとおりです。

- Chrome 80.0.3987.87 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop.html

【3】Ghostscript にアクセス制限回避の脆弱性

情報源
Japan Vulnerability Notes JVN#52486659
Ghostscript におけるアクセス制限回避の脆弱性
https://jvn.jp/jp/JVN52486659/

概要
Ghostscript には、アクセス制限回避の脆弱性があります。結果として、遠隔
の第三者が、細工したファイルを Ghostscript で実行し、Ghostscript の権
限で任意のコマンドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Ghostscript 9.27 およびそれ以前のバージョン

この問題は、Ghostscript を Artifex Software, Inc. が提供する修正済みの
バージョンに更新することで解決します。詳細は、Artifex Software, Inc.
が提供する情報を参照してください。

関連文書 (英語)
Artifex Software, Inc.
Ghostscript
https://artifex.com/products/ghostscript/

Ghostscript and GhostPDL
git.ghostscript.com Git
https://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=485904772c5f

【4】Movable Type にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#94435544
Movable Type におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN94435544/

概要
Movable Type には、クロスサイトスクリプティングの脆弱性があります。結
果として、遠隔の第三者が、当該製品にログインしているユーザのウェブブラ
ウザ上で、任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Movable Type 7 r.4603 およびそれ以前 (Movable Type 7 系)
- Movable Type 6.5.2 およびそれ以前 (Movable Type 6.5 系)
- Movable Type Advanced 7 r.4603 およびそれ以前 (Movable Type Advanced 7 系)
- Movable Type Advanced 6.5.2 およびそれ以前 (Movable Type Advanced 6.5 系)
- Movable Type Premium 1.26 およびそれ以前
- Movable Type Premium Advanced 1.26 およびそれ以前

この問題は、Movable Type をシックス・アパート株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、シックス・アパート株
式会社が提供する情報を参照してください。

関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 6.5.3 / 6.3.11 / Movable Type 7 r.4605 / Movable Type Premium 1.27 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2020/02/06-1100.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「マルウエアEmotetへの対応FAQ」を更新

2020年2月3日に JPCERT/CC Eyes 「マルウエアEmotetへの対応FAQ」を更新し
ました。新型コロナウイルスを題材とした Emotet メール例や、Emotet の感
染有無を確認できる EmoCheck の情報を追加しています。

参考文献 (日本語)
JPCERT/CC
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

コメント

この記事へのコメントは終了しました。