« 2020年2月 | メイン | 2020年4月 »

2020年3月

2020年3月18日 (水)

■03/08(日)~03/14(土) のセキュリティ関連情報

目 次 

【1】複数の Microsoft 製品に脆弱性
【2】複数の Intel 製品に脆弱性
【3】複数の Mozilla 製品に脆弱性
【4】複数の VMware 製品に脆弱性
【5】GitLab に複数の脆弱性
【6】三菱電機製データ収集アナライザ MELQIC IU1 シリーズに複数の脆弱性
【7】TRR 機能を実装した DDR4 メモリシステムに Rowhammer 攻撃が可能な脆弱性
【今週のひとくちメモ】IPA が「情報セキュリティ10大脅威 2020」の解説書を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr201101.html
https://www.jpcert.or.jp/wr/2020/wr201101.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases March 2020 Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/03/10/microsoft-releases-march-2020-security-updates

US-CERT Current Activity
Microsoft Releases Out-of-Band Security Updates for SMB RCE Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/03/12/microsoft-releases-out-band-security-updates-smb-rce-vulnerability

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- ChakraCore
- Internet Explorer
- Microsoft Exchange Server
- Microsoft Office、Microsoft Office Services および Web Apps
- Azure DevOps
- Windows Defender
- Visual Studio
- オープン ソース ソフトウェア
- Azure
- Microsoft Dynamics
※マイクロソフトは、Microsoft Server Message Block 3.1.1 (SMBv3) にお
ける脆弱性情報 (CVE-2020-0796) および修正プログラムを公開しています。
詳細は Microsoft が提供する情報を参照してください。

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2020 年 3 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Mar

マイクロソフト株式会社
CVE-2020-0796 | Windows SMBv3 クライアント/サーバーのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0796

マイクロソフト株式会社
ADV200005 | SMBv3 の圧縮の無効化に関する Microsoft ガイダンス
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv200005

JPCERT/CC 注意喚起
2020年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200010.html

JPCERT/CC 注意喚起
Microsoft SMBv3 の脆弱性 (CVE-2020-0796) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200011.html

JPCERT/CC CyberNewsFlash
SMBv3 における脆弱性について (追加情報)
https://www.jpcert.or.jp/newsflash/2020031102.html

Vulnerability Notes JVNVU#91394194
Microsoft SMBv3 の接続処理にリモートコード実行の脆弱性
https://jvn.jp/vu/JVNVU91394194

関連文書 (英語)
US-CERT Current Activity
Microsoft Server Message Block RCE Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/03/11/microsoft-server-message-block-rce-vulnerability

US-CERT Current Activity
Unpatched Microsoft Exchange Servers Vulnerable to CVE-2020-0688
https://www.us-cert.gov/ncas/current-activity/2020/03/10/unpatched-microsoft-exchange-servers-vulnerable-cve-2020-0688

【2】複数の Intel 製品に脆弱性

情報源
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/03/10/intel-releases-security-updates

Japan Vulnerability Notes JVNVU#94445466
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU94445466/

概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が、権限を
昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ
ります。

影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel
が提供するアドバイザリ情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020031101.html

関連文書 (英語)
Intel
INTEL-SA-00315: Intel Graphics Drivers Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00315.html

Intel
INTEL-SA-00319: Intel FPGA Programmable Acceleration Card N3000 Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00319.html

Intel
INTEL-SA-00326: Intel Optane DC Persistent Memory Module Management Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00326.html

Intel
INTEL-SA-00330: Snoop Assisted L1D Sampling Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00330.html

Intel
INTEL-SA-00334: Intel Processors Load Value Injection Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00334.html

Intel
INTEL-SA-00343: Intel NUC Firmware Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00343.html

Intel
INTEL-SA-00349: Intel MAX 10 FPGA Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00349.html

Intel
INTEL-SA-00352: BlueZ Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00352.html

Intel
INTEL-SA-00354: Intel Smart Sound Technology Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00354.html

【3】複数の Mozilla 製品に脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2020/03/10/mozilla-releases-security-updates-firefox-and-firefox-esr

概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 74 より前のバージョン
- Mozilla Firefox ESR 68.6 より前のバージョン
- Thunderbird 68.6 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 74
https://www.mozilla.org/en-US/security/advisories/mfsa2020-08/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 68.6
https://www.mozilla.org/en-US/security/advisories/mfsa2020-09/

Mozilla
Security Vulnerabilities fixed in Thunderbird 68.6
https://www.mozilla.org/en-US/security/advisories/mfsa2020-10/

【4】複数の VMware 製品に脆弱性

情報源
US-CERT Current Activity
VMware Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/03/16/vmware-releases-security-updates-multiple-products

概要
複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー
ザがホスト OS 上でコードを実行したり、サービス運用妨害 (DoS) 攻撃を行
ったりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware Workstation Pro / Player 15 系のバージョン
- VMware Fusion Pro / Fusion 11 系のバージョン (OSX)
- VMware Horizon Client for Windows 5 系のバージョンおよびそれ以前
- VMware Remote Console for Windows 10 系のバージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2020-0004.1
https://www.vmware.com/security/advisories/VMSA-2020-0004.html

【5】GitLab に複数の脆弱性

情報源
GitLab
GitLab Security Release: 12.8.2, 12.7.7, and 12.6.8
https://about.gitlab.com/releases/2020/03/04/gitlab-12-dot-8-dot-2-released/

概要
GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用
妨害 (DoS) 攻撃をするなどの可能性があります。

対象となるバージョンは次のとおりです。

- GitLab Community および Enterprise Edition 12.8.2 より前の 12.8 系バージョン
- GitLab Community および Enterprise Edition 12.7.7 より前の 12.7 系バージョン
- GitLab Community および Enterprise Edition 12.6.8 より前の 12.6 系バージョン

なお、上記に記載されていないバージョンも影響を受けるとのことです。詳細
は GitLab が提供する情報を参照してください。

この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新
することで解決します。詳細は、GitLab が提供する情報を参照してください。

【6】三菱電機製データ収集アナライザ MELQIC IU1 シリーズに複数の脆弱性

情報源
Vulnerability Note JVNVU#92370624
三菱電機製データ収集アナライザ MELQIC IU1 シリーズの TCP/IP 機能における複数の脆弱性
https://jvn.jp/vu/JVNVU92370624

概要
三菱電機株式会社が提供する MELQIC IU1 シリーズの TCP/IP 機能には、複数
の脆弱性があります。結果として、遠隔の第三者が、細工した TCP パケット
を送信することで、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- IU1-1M20-D (バージョン 1.07 およびそれ以前)

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、三菱電機株式会社が提供する情報を参
照してください。


関連文書 (日本語)
三菱電機株式会社
MELQIC IU1シリーズのTCP/IPスタックに複数の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2019-004.pdf

【7】TRR 機能を実装した DDR4 メモリシステムに Rowhammer 攻撃が可能な脆弱性

情報源
Vulnerability Note JVNVU#99239584
TRR 機能を実装した DDR4 メモリシステムに対する Rowhammer 攻撃手法
https://jvn.jp/vu/JVNVU99239584/

概要
TRR (Target Row Refresh) 機能を実装している DDR4 メモリシステムに対し
Rowhammer 攻撃が可能であるとする研究結果が公開されています。

対象となる製品は次のとおりです。

- TRR (Target Row Refresh) 機能を実装している DDR4 メモリシステム

2020年3月12日現在、この問題への対策方法は不明です。


関連文書 (日本語)
NCSC-NL
NCSC-2020-0180: Kwetsbaarheid ontdekt in DDR4-geheugen (TRRespass)
https://advisories.ncsc.nl/advisory?id=NCSC-2020-0180

VUSec
TRRESPASS
https://www.vusec.net/projects/trrespass/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPA が「情報セキュリティ10大脅威 2020」の解説書を公開

2020年3月10日、情報処理推進機構 (IPA) は、「情報セキュリティ10大脅威
2020」の解説書を公開しました。これは、IPA が昨年発生した情報セキュリティ
における事案から脅威候補を選出し、情報セキュリティ関連に携わるメンバー
で審議・投票を行い、順位を決定したものです。解説書では、選出された 10
大脅威について組織や個人が優先順位をつけて対策を講じられるよう、各脅威
に関する用語や事例、対策などが整理されています。

参考文献 (日本語)
情報処理推進機構 (IPA)
情報セキュリティ10大脅威 2020
https://www.ipa.go.jp/security/vuln/10threats2020.html

投稿時刻 09:56 セキュリティ | | コメント (0)

2020年3月11日 (水)

■03/01(日)~03/07(土) のセキュリティ関連情報

目 次 

【1】Google Chrome に脆弱性
【2】複数の Cisco 製品に脆弱性
【3】pppd にバッファオーバーフローの脆弱性
【4】オムロン製 PLC CJ シリーズにリソース枯渇の脆弱性
【5】GRANDIT にセッション管理不備の脆弱性
【6】OpenBlocks IoT VX2 に複数の脆弱性
【7】ManageEngine Desktop Central に任意のコード実行の脆弱性
【今週のひとくちメモ】NISC が「サイバーセキュリティ関係法令Q&Aハンドブック」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr201001.html
https://www.jpcert.or.jp/wr/2020/wr201001.xml
============================================================================


【1】Google Chrome に脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/03/04/google-releases-security-updates-chrome

概要
Google Chrome には、脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 80.0.3987.132 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/03/stable-channel-update-for-desktop.html

【2】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/03/05/cisco-releases-security-updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

影響度 High の脆弱性情報の対象となる製品は次のとおりです。

- Cisco Intelligent Proximity application
- Cisco Jabber
- Cisco Webex Teams
- Cisco Meeting App
- Cisco Webex Meetings
- Cisco Webex Meetings Online
- Cisco Webex Meetings Server
- Cisco Prime Network Registrar

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す
る情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Intelligent Proximity SSL Certificate Validation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-proximity-ssl-cert-gBBu3RB

Cisco Security Advisory
Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player

Cisco Security Advisory
Cisco Prime Network Registrar Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cpnr-csrf-WWTrDkyL

【3】pppd にバッファオーバーフローの脆弱性

情報源
Vulnerability Note VU#782301
pppd vulnerable to buffer overflow due to a flaw in EAP packet processing
https://www.kb.cert.org/vuls/id/782301/

概要
pppd (Point to Point Protocol Daemon) には、バッファオーバーフローの脆
弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは次のとおりです。

- pppd 2.4.2 から 2.4.8 までのバージョン

この問題は、pppd を開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。


関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99700555
pppd におけるバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU99700555/

関連文書 (英語)
US-CERT Current Activity
Point-to-Point Protocol Daemon Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/03/05/point-point-protocol-daemon-vulnerability

paulusmack/ppp
pppd: Fix bounds check in EAP code
https://github.com/paulusmack/ppp/commit/8d7970b8f3db727fe798b65f3377fe6787575426

lwIP
PPP, EAP: fix bounds check in EAP code
https://git.savannah.nongnu.org/cgit/lwip.git/commit/src/netif/ppp/eap.c?id=2ee3cbe69c6d2805e64e7cac2a1c1706e49ffd86

【4】オムロン製 PLC CJ シリーズにリソース枯渇の脆弱性

情報源
ICS Advisory (ICSA-20-063-03)
Omron PLC CJ Series
https://www.us-cert.gov/ics/advisories/icsa-20-063-03

Japan Vulnerability Notes JVNVU#91000130
オムロン製 PLC CJ シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU91000130/

概要
オムロン株式会社が提供する PLC CJ シリーズには、リソース枯渇の脆弱性が
あります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う
可能性があります。

対象となるバージョンは次のとおりです。

- Omron PLC CJ シリーズの全てのバージョン

2020年3月11日現在、この問題に対する修正済みのバージョンは提供されてい
ません。PLC CJ シリーズに回避策を適用することで影響を軽減できます。詳
細は、オムロン株式会社が提供する情報を参照してください。

関連文書 (日本語)
オムロン株式会社
弊社PLC(CJシリーズCPU)に対する外部機関からの脆弱性指摘について
http://www.omron-cxone.com/security/2020-02-28_PLC_JP.pdf

【5】GRANDIT にセッション管理不備の脆弱性

情報源
Japan Vulnerability Notes JVN#73472345
GRANDIT におけるセッション管理不備の脆弱性
http://jvn.jp/jp/JVN73472345/

概要
GRANDIT株式会社が提供する GRANDIT には、セッション管理不備の脆弱性があ
ります。結果として、遠隔の第三者が、情報を窃取したり、情報を改ざんした
りするなどの可能性があります。

対象となるバージョンは次のとおりです。

- GRANDIT Ver.3.0
- GRANDIT Ver.2.3
- GRANDIT Ver.2.2
- GRANDIT Ver.2.1
- GRANDIT Ver.2.0
- GRANDIT Ver.1.6

この問題は、GRANDIT を GRANDIT株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、GRANDIT 株式会社が提供する情報を参照
してください。


関連文書 (日本語)
GRANDIT株式会社
GRANDITにおけるセッション管理不備の脆弱性について
https://www.grandit.jp/etc/20200228_letter.pdf

【6】OpenBlocks IoT VX2 に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#19666251
OpenBlocks IoT VX2 における複数の脆弱性
https://jvn.jp/jp/JVN19666251/

概要
OpenBlocks IoT VX2 には、複数の脆弱性があります。結果として、第三者が、
機器を初期化したり、任意のコマンドを実行したりするなどの可能性がありま
す。

対象となるバージョンは次のとおりです。

- OpenBlocks IoT VX2 Ver.4.0.0 より前のバージョン

この問題は、OpenBlocks IoT VX2 をぷらっとホーム株式会社が提供する修正
済みのバージョンに更新することで解決します。詳細は、ぷらっとホーム株式
会社が提供する情報を参照してください。

関連文書 (日本語)
ぷらっとホーム株式会社
OpenBlocks IoT VX2 ソフトウェアリリース情報|FW4.0.0
https://www.plathome.co.jp/software/vx2-v4-0-0/

【7】ManageEngine Desktop Central に任意のコード実行の脆弱性

情報源
US-CERT Current Activity
Zoho Releases Security Update on ManageEngine Desktop Central
https://www.us-cert.gov/ncas/current-activity/2020/03/06/zoho-releases-security-update-manageengine-desktop-central

概要
ManageEngine Desktop Central には、遠隔の第三者が任意のコードを実行可
能な脆弱性があります。

対象となるバージョンは次のとおりです。

- ManageEngine Desktop Central 10.0.473 およびそれ以前

この問題は、ManageEngine Desktop Central を Zoho が提供する修正済みの
バージョンに更新することで解決します。詳細は、Zoho が提供する情報を参
照してください。

関連文書 (英語)
Zoho
ManageEngine Desktop Central remote code execution vulnerability (CVE-2020-10189)
https://www.plathome.co.jp/software/vx2-v4-0-0/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○NISC が「サイバーセキュリティ関係法令Q&Aハンドブック」を公開

2020年3月2日、内閣サイバーセキュリティセンター (NISC) は、サイバーセキュ
リティ対策において参照すべき関係法令を解説する「サイバーセキュリティ関
係法令Q&Aハンドブック」を公開しました。企業におけるサイバーセキュリティ
対策やインシデント対応に関する法令上の事項や、情報の取扱いに関する法的
課題等をわかりやすくまとめたとのことです。法令上の課題解決や疑問点の解
消にご活用ください。

参考文献 (日本語)
内閣サイバーセキュリティセンター (NISC)
「サイバーセキュリティ関係法令Q&Aハンドブック 」について
https://www.nisc.go.jp/security-site/law_handbook/

投稿時刻 09:43 セキュリティ | | コメント (0)

2020年3月 4日 (水)

■02/23(日)~02/29(土) のセキュリティ関連情報

目 次 

【1】複数の Cisco 製品に脆弱性
【2】Google Chrome に複数の脆弱性
【3】Apache Tomcat に複数の脆弱性
【4】OpenSMTPD に脆弱性
【5】株式会社リコー製プリンタに複数の脆弱性
【6】株式会社リコー製プリンタドライバに権限昇格の脆弱性
【7】複数の ZyXEL 製品にコマンドインジェクションの脆弱性
【今週のひとくちメモ】IPAが「「情報セキュリティ10大脅威 2020」各脅威の解説資料」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200901.html
https://www.jpcert.or.jp/wr/2020/wr200901.xml
============================================================================


【1】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/02/27/cisco-releases-security-updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

影響度 High の脆弱性情報に記載されている製品は次のとおりです。

- Firepower 1000 Series
- Firepower 2100 Series
- Firepower 4100 Series
- Firepower 9300 Security Appliances
- MDS 9000 Series Multilayer Switches
- Nexus 1000 Virtual Edge for VMware vSphere
- Nexus 1000V Switch for Microsoft Hyper-V
- Nexus 1000V Switch for VMware vSphere
- Nexus 3000 Series Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 9000 Series Fabric Switches in Application Centric Infrastructure mode
- Nexus 9000 Series Switches in standalone NX-OS mode
- UCS 6200 Series Fabric Interconnects
- UCS 6300 Series Fabric Interconnects
- UCS 6400 Series Fabric Interconnects

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco FXOS and NX-OS Software Cisco Discovery Protocol Arbitrary Code Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-nxos-cdp

Cisco Security Advisory
Cisco FXOS and UCS Manager Software Local Management CLI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cli-cmdinj

Cisco Security Advisory
Cisco FXOS and UCS Manager Software CLI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cmdinj

Cisco Security Advisory
Cisco MDS 9000 Series Multilayer Switches Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-mds-ovrld-dos

Cisco Security Advisory
Cisco Nexus 1000V Switch for VMware vSphere Secure Login Enhancements Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-nexus-1000v-dos

Cisco Security Advisory
Cisco UCS Manager Software Local Management CLI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-ucs-cli-cmdinj

【2】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/02/25/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Chrome 80.0.3987.122 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。


関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html

【3】Apache Tomcat に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#94679920
Apache Tomcat の複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU94679920

概要
The Apache Software Foundation が提供する Apache Tomcat には複数の脆弱
性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可
能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 9.0.0.M1 から 9.0.30 までのバージョン
- Apache Tomcat 8.5.0 から 8.5.50 までのバージョン
- Apache Tomcat 7.0.0 から 7.0.99 までのバージョン

この問題は、Apache Tomcat を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC
Apache Tomcat の脆弱性 (CVE-2020-1938) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200009.html

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 9.0.31
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.31

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.51
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.51

The Apache Software Foundation
Fixed in Apache Tomcat 7.0.100
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100

【4】OpenSMTPD に脆弱性

情報源
US-CERT Current Activity
OpenSMTPD Releases Version 6.6.4p1 to Address a Critical Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/02/25/opensmtpd-releases-version-664p1-address-critical-vulnerability

概要
OpenSMTPD には、脆弱性があります。

対象となるバージョンは次のとおりです。

- OpenSMTPD 6.6.4p1 より前のバージョン

この問題は、OpenSMTPD を開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。


関連文書 (英語)
The Mail Archive
OpenSMTPD 6.6.4p1 released: addresses CRITICAL vulnerability
https://www.mail-archive.com/misc@opensmtpd.org/msg04888.html

Github
OpenSMTPD 6.6.4p1 release
https://github.com/OpenSMTPD/OpenSMTPD/releases/tag/6.6.4p1

【5】株式会社リコー製プリンタに複数の脆弱性

情報源
Japan Vulnerability Notes JVN#52962201
リコー製プリンタにおける複数の脆弱性
http://jvn.jp/jp/JVN52962201

概要
株式会社リコー製プリンタには、複数の脆弱性があります。結果として、第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- RICOH SP C250SFL・RICOH SP C251SF ファームウェア ver.1.13より前のバージョン
- RICOH SP C250L・RICOH SP C251 ファームウェア ver.1.07より前のバージョン
- RICOH P C301SF ファームウェア ver.1.02より前のバージョン
- RICOH P C301 ファームウェア ver.1.02より前のバージョン
- RICOH SP 3700SF・RICOH SP 2300SFL ファームウェア ver.1.07より前のバージョン
- RICOH SP 3700・RICOH SP 2300L ファームウェア ver.1.07より前のバージョン
- RICOH SP C260SFL・RICOH SP C261SF ファームウェア ver.1.15より前のバージョン
- RICOH SP C260L・RICOH SP C261 ファームウェア ver.1.12より前のバージョン
- RICOH SP 2200SFL ファームウェア ver.1.20より前のバージョン
- RICOH SP 2200L ファームウェア ver.1.13より前のバージョン
- RICOH SP 2100L ファームウェア ver.1.13より前のバージョン
- IPSiO SP 3510SF ファームウェア ver.2.16より前のバージョン
- IPSiO SP 3510 ファームウェア ver.2.13より前のバージョン
- IPSiO SP C241SF・IPSiO SP C230SFL ファームウェア ver.1.18より前のバージョン
- IPSiO SP C241・IPSiO SP C230L ファームウェア ver.1.08より前のバージョン
- IPSiO SP 3410SF ファームウェア ver.2.13より前のバージョン
- IPSiO SP 3410・IPSiO SP 3410L ファームウェア ver.2.10より前のバージョン
- IPSiO SP C301SF ファームウェア ver.1.32より前のバージョン
- IPSiO SP C221SF・IPSiO SP C221SFL ファームウェア ver.1.72より前のバージョン

※海外機種についても影響があるとのことです。詳細は株式会社リコーが提供
 する情報を参照してください。

この問題は、該当する製品を株式会社リコーが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社リコーが提供する情報を参照
してください。

関連文書 (日本語)
株式会社リコー
リコー プリンター/複合機製品を安全にご利用いただくために
https://jp.ricoh.com/info/notice/2019/0918_1.html

【6】株式会社リコー製プリンタドライバに権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVN#15697526
リコー製プリンタドライバにおける権限昇格の脆弱性
http://jvn.jp/jp/JVN15697526

概要
株式会社リコーが提供するプリンタドライバには、権限昇格の脆弱性がありま
す。結果として、第三者が細工したプリンタドライバをユーザに使用させるこ
とで管理者権限を取得する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- RPCSドライバー すべてのバージョン
- PSドライバー すべてのバージョン
- PCL6(PCL XL)ドライバー すべてのバージョン
- RPCSラスタードライバー すべてのバージョン
- PC-FAXドライバー すべてのバージョン

※海外機種についても影響があるとのことです。詳細は株式会社リコーが提供
 する情報を参照してください。

この問題は、該当する製品を株式会社リコーが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社リコーが提供する情報を参照
してください。

関連文書 (日本語)
株式会社リコー
リコー プリンタードライバー/PC FAXドライバーを安全にご利用いただくために
https://jp.ricoh.com/info/notice/2020/0221_1/

【7】複数の ZyXEL 製品にコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVNVU#97748968
複数の ZyXEL 製品に含まれる weblogin.cgi にコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU97748968

概要
ZyXEL が提供する複数の製品で使用されている weblogin.cgi にはコマンドイ
ンジェクションの脆弱性があります。結果として、遠隔の第三者が任意の OS
コマンドを実行する可能性があります。

対象となる製品は次のとおりです。

- NAS326
- NAS520
- NAS540
- NAS542
- ATP100
- ATP200
- ATP500
- ATP800
- USG20-VPN
- USG20W-VPN
- USG40
- USG40W
- USG60
- USG60W
- USG110
- USG210
- USG310
- USG1100
- USG1900
- USG2200
- VPN50
- VPN100
- VPN300
- VPN1000
- ZyWALL110
- ZyWALL310
- ZyWALL1100

この問題は、該当する製品を ZyXEL が提供する修正済みのバージョンに更新
することで解決します。詳細は、ZyXEL が提供する情報を参照してください。

関連文書 (英語)
ZYXEL
Zyxel security advisory for the remote code execution vulnerability of NAS and firewall products
https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml

投稿時刻 15:44 セキュリティ | | コメント (0)