■03/01(日)~03/07(土) のセキュリティ関連情報
目 次
【1】Google Chrome に脆弱性
【2】複数の Cisco 製品に脆弱性
【3】pppd にバッファオーバーフローの脆弱性
【4】オムロン製 PLC CJ シリーズにリソース枯渇の脆弱性
【5】GRANDIT にセッション管理不備の脆弱性
【6】OpenBlocks IoT VX2 に複数の脆弱性
【7】ManageEngine Desktop Central に任意のコード実行の脆弱性
【今週のひとくちメモ】NISC が「サイバーセキュリティ関係法令Q&Aハンドブック」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr201001.html
https://www.jpcert.or.jp/wr/2020/wr201001.xml
============================================================================
【1】Google Chrome に脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/03/04/google-releases-security-updates-chrome
概要
Google Chrome には、脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 80.0.3987.132 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/03/stable-channel-update-for-desktop.html
【2】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/03/05/cisco-releases-security-updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
影響度 High の脆弱性情報の対象となる製品は次のとおりです。
- Cisco Intelligent Proximity application
- Cisco Jabber
- Cisco Webex Teams
- Cisco Meeting App
- Cisco Webex Meetings
- Cisco Webex Meetings Online
- Cisco Webex Meetings Server
- Cisco Prime Network Registrar
※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
提供する情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す
る情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Intelligent Proximity SSL Certificate Validation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-proximity-ssl-cert-gBBu3RB
Cisco Security Advisory
Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player
Cisco Security Advisory
Cisco Prime Network Registrar Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cpnr-csrf-WWTrDkyL
【3】pppd にバッファオーバーフローの脆弱性
情報源
Vulnerability Note VU#782301
pppd vulnerable to buffer overflow due to a flaw in EAP packet processing
https://www.kb.cert.org/vuls/id/782301/
概要
pppd (Point to Point Protocol Daemon) には、バッファオーバーフローの脆
弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは次のとおりです。
- pppd 2.4.2 から 2.4.8 までのバージョン
この問題は、pppd を開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99700555
pppd におけるバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU99700555/
関連文書 (英語)
US-CERT Current Activity
Point-to-Point Protocol Daemon Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/03/05/point-point-protocol-daemon-vulnerability
paulusmack/ppp
pppd: Fix bounds check in EAP code
https://github.com/paulusmack/ppp/commit/8d7970b8f3db727fe798b65f3377fe6787575426
lwIP
PPP, EAP: fix bounds check in EAP code
https://git.savannah.nongnu.org/cgit/lwip.git/commit/src/netif/ppp/eap.c?id=2ee3cbe69c6d2805e64e7cac2a1c1706e49ffd86
【4】オムロン製 PLC CJ シリーズにリソース枯渇の脆弱性
情報源
ICS Advisory (ICSA-20-063-03)
Omron PLC CJ Series
https://www.us-cert.gov/ics/advisories/icsa-20-063-03
Japan Vulnerability Notes JVNVU#91000130
オムロン製 PLC CJ シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU91000130/
概要
オムロン株式会社が提供する PLC CJ シリーズには、リソース枯渇の脆弱性が
あります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う
可能性があります。
対象となるバージョンは次のとおりです。
- Omron PLC CJ シリーズの全てのバージョン
2020年3月11日現在、この問題に対する修正済みのバージョンは提供されてい
ません。PLC CJ シリーズに回避策を適用することで影響を軽減できます。詳
細は、オムロン株式会社が提供する情報を参照してください。
関連文書 (日本語)
オムロン株式会社
弊社PLC(CJシリーズCPU)に対する外部機関からの脆弱性指摘について
http://www.omron-cxone.com/security/2020-02-28_PLC_JP.pdf
【5】GRANDIT にセッション管理不備の脆弱性
情報源
Japan Vulnerability Notes JVN#73472345
GRANDIT におけるセッション管理不備の脆弱性
http://jvn.jp/jp/JVN73472345/
概要
GRANDIT株式会社が提供する GRANDIT には、セッション管理不備の脆弱性があ
ります。結果として、遠隔の第三者が、情報を窃取したり、情報を改ざんした
りするなどの可能性があります。
対象となるバージョンは次のとおりです。
- GRANDIT Ver.3.0
- GRANDIT Ver.2.3
- GRANDIT Ver.2.2
- GRANDIT Ver.2.1
- GRANDIT Ver.2.0
- GRANDIT Ver.1.6
この問題は、GRANDIT を GRANDIT株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、GRANDIT 株式会社が提供する情報を参照
してください。
関連文書 (日本語)
GRANDIT株式会社
GRANDITにおけるセッション管理不備の脆弱性について
https://www.grandit.jp/etc/20200228_letter.pdf
【6】OpenBlocks IoT VX2 に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#19666251
OpenBlocks IoT VX2 における複数の脆弱性
https://jvn.jp/jp/JVN19666251/
概要
OpenBlocks IoT VX2 には、複数の脆弱性があります。結果として、第三者が、
機器を初期化したり、任意のコマンドを実行したりするなどの可能性がありま
す。
対象となるバージョンは次のとおりです。
- OpenBlocks IoT VX2 Ver.4.0.0 より前のバージョン
この問題は、OpenBlocks IoT VX2 をぷらっとホーム株式会社が提供する修正
済みのバージョンに更新することで解決します。詳細は、ぷらっとホーム株式
会社が提供する情報を参照してください。
関連文書 (日本語)
ぷらっとホーム株式会社
OpenBlocks IoT VX2 ソフトウェアリリース情報|FW4.0.0
https://www.plathome.co.jp/software/vx2-v4-0-0/
【7】ManageEngine Desktop Central に任意のコード実行の脆弱性
情報源
US-CERT Current Activity
Zoho Releases Security Update on ManageEngine Desktop Central
https://www.us-cert.gov/ncas/current-activity/2020/03/06/zoho-releases-security-update-manageengine-desktop-central
概要
ManageEngine Desktop Central には、遠隔の第三者が任意のコードを実行可
能な脆弱性があります。
対象となるバージョンは次のとおりです。
- ManageEngine Desktop Central 10.0.473 およびそれ以前
この問題は、ManageEngine Desktop Central を Zoho が提供する修正済みの
バージョンに更新することで解決します。詳細は、Zoho が提供する情報を参
照してください。
関連文書 (英語)
Zoho
ManageEngine Desktop Central remote code execution vulnerability (CVE-2020-10189)
https://www.plathome.co.jp/software/vx2-v4-0-0/
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○NISC が「サイバーセキュリティ関係法令Q&Aハンドブック」を公開
2020年3月2日、内閣サイバーセキュリティセンター (NISC) は、サイバーセキュ
リティ対策において参照すべき関係法令を解説する「サイバーセキュリティ関
係法令Q&Aハンドブック」を公開しました。企業におけるサイバーセキュリティ
対策やインシデント対応に関する法令上の事項や、情報の取扱いに関する法的
課題等をわかりやすくまとめたとのことです。法令上の課題解決や疑問点の解
消にご活用ください。
参考文献 (日本語)
内閣サイバーセキュリティセンター (NISC)
「サイバーセキュリティ関係法令Q&Aハンドブック 」について
https://www.nisc.go.jp/security-site/law_handbook/
コメント