目 次
【1】複数の Microsoft 製品に脆弱性
【2】2020年 4月 Oracle Critical Patch Update について
【3】複数の Intel 製品に脆弱性
【4】複数の Cisco 製品に脆弱性
【5】複数の Adobe 製品に脆弱性
【6】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性
【7】VMware vRealize Log Insight に複数の脆弱性
【8】PHP に領域外のメモリに対する読み込みが可能な脆弱性
【9】Apple Xcode に不適切な入力確認に起因する情報漏えいの脆弱性
【10】ICS-CERTが公開した制御システムの脆弱性
【11】Pulse Connect Secure の脆弱性への対策や侵害有無などの確認を
【今週のひとくちメモ】長期休暇に備えて 2020/04
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr201601.html
https://www.jpcert.or.jp/wr/2020/wr201601.xml
============================================================================
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases April 2020 Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/04/14/microsoft-releases-april-2020-security-updates
概要
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- ChakraCore
- Internet Explorer
- Microsoft Office、Microsoft Office Services および Web Apps
- Windows Defender
- Visual Studio
- Microsoft Dynamics
- Android 向け Microsoft アプリ
- Mac 向け Microsoft アプリ
この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2020 年 4 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Apr
JPCERT/CC 注意喚起
2020年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200016.html
【2】2020年 4月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity
Oracle Releases April 2020 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2020/04/15/oracle-releases-april-2020-security-bulletin
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
2020年4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200017.html
関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - April 2020
https://www.oracle.com/security-alerts/cpuapr2020.html
【3】複数の Intel 製品に脆弱性
情報源
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/04/14/intel-releases-security-updates
Japan Vulnerability Notes JVNVU#97303667
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU97303667/
概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が、権限を
昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel
が提供するアドバイザリ情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020041501.html
関連文書 (英語)
Intel
INTEL-SA-00327: Intel Data Migration Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00327.html
Intel
INTEL-SA-00338: Intel PROSet/Wireless WiFi Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00338.html
Intel
INTEL-SA-00344: Intel Driver and Support Assistant Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00344.html
Intel
INTEL-SA-00351: Intel Modular Server Compute Module Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00351.html
Intel
INTEL-SA-00359: Intel Binary Configuration Tool for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00359.html
Intel
INTEL-SA-00363: Intel NUC Firmware Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00363.html
【4】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/04/16/cisco-releases-security-updates-multiple-products
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
影響度 Critical および High の脆弱性情報に記載されている製品は次のとお
りです。
- IP Phone 7811, 7821, 7841, 7861
- IP Phone 8811, 8841, 8845, 8851, 8861, 8865
- Unified IP Conference Phone 8831
- Wireless IP Phone 8821 and 8821-EX
- UCS Director
- UCS Director Express for Big Data
- Wireless LAN Controller
- Webex Network Recording Player for Microsoft Windows
- Webex Player for Microsoft Windows
- Mobility Express Software が稼働する次の製品
- Aironet 1540 Series Access Points
- Aironet 1560 Series Access Points
- Aironet 1800 Series Access Points
- Aironet 2800 Series Access Points
- Aironet 3800 Series Access Points
- Aironet 4800 Series Access Points
- Catalyst IW6300 Access Points
- 6300 Embedded Services Access Points
- IoT Field Network Director
- Unified Communications Manager
- Unified Communications Manager Session Management Edition
- Cisco Aironet Series Access Points Software が稼働する次の製品
- Aironet 1540 Series Access Points
- Aironet 1800 Series Access Points
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco IP Phones Web Server Remote Code Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voip-phones-rce-dos-rB6EeRXs
Cisco Security Advisory
Multiple Vulnerabilities in Cisco UCS Director and Cisco UCS Director Express for Big Data
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucsd-mult-vulns-UNfpdW4E
Cisco Security Advisory
Cisco Wireless LAN Controller 802.11 Generic Advertisement Service Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-gas-dos-8FsE3AWH
Cisco Security Advisory
Cisco Wireless LAN Controller CAPWAP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-capwap-dos-Y2sD9uEw
Cisco Security Advisory
Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-player-Q7Rtgvby
Cisco Security Advisory
Cisco Mobility Express Software Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mob-exp-csrf-b8tFec24
Cisco Security Advisory
Cisco IoT Field Network Director Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iot-coap-dos-WTBu6YTq
Cisco Security Advisory
Cisco Unified Communications Manager Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-taps-path-trav-pfsFO93r
Cisco Security Advisory
Cisco Aironet Series Access Points Client Packet Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-airo-wpa-dos-5ZLs6ESz
【5】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/04/14/adobe-releases-security-updates-multiple-products
概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が、権限を
昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ
ります。
対象となる製品およびバージョンは次のとおりです。
- Adobe ColdFusion 2016 Update 14 およびそれ以前
- Adobe ColdFusion 2018 Update 8 およびそれ以前
- Adobe After Effects 17.0.1 およびそれ以前 (Windows)
- Adobe Digital Editions 4.5.11.187212 およびそれ以前 (Windows)
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020041502.html
Adobe
ColdFusion に関するセキュリティアップデート公開 | APSB20-18
https://helpx.adobe.com/jp/security/products/coldfusion/apsb20-18.html
Adobe
Adobe After Effects に関するセキュリティアップデート公開 | APSB20-21
https://helpx.adobe.com/jp/security/products/after_effects/apsb20-21.html
Adobe
Adobe Digital Editions に関するセキュリティアップデート公開 | APSB20-23
https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb20-23.html
【6】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/04/16/google-releases-security-updates
概要
Google Chrome には、解放済みメモリ使用 (use-after-free) に関する脆弱性
があります。
対象となるバージョンは次のとおりです。
- Google Chrome 81.0.4044.113 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_15.html
【7】VMware vRealize Log Insight に複数の脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates for vRealize Log Insight
https://www.us-cert.gov/ncas/current-activity/2020/04/14/vmware-releases-security-updates-vrealize-log-insight
概要
VMware vRealize Log Insight には、複数の脆弱性があります。結果として、
遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行するなどの可
能性があります。
対象となるバージョンは次のとおりです。
- VMware vRealize Log Insight 8.0.0
- VMware vRealize Log Insight 4.x.y 系のバージョン
この問題は、 VMware vRealize Log Insight を VMware が提供する修正済み
のバージョンに更新することで解決します。詳細は、VMware が提供する情報
を参照してください。
関連文書 (英語)
VMware
VMSA-2020-0007
https://www.vmware.com/security/advisories/VMSA-2020-0007.html
【8】PHP に領域外のメモリに対する読み込みが可能な脆弱性
情報源
The PHP Group
PHP 7.2.30 Release Announcement
https://www.php.net/archive/2020.php#2020-04-17-1
The PHP Group
PHP 7.3.17 Released
https://www.php.net/archive/2020.php#2020-04-16-1
The PHP Group
PHP 7.4.5 Released
https://www.php.net/archive/2020.php#2020-04-16-2
概要
PHP には、領域外のメモリに対する読み込みが可能な脆弱性があります。結果
として、第三者が情報を窃取する可能性があります。
対象となるバージョンは次のとおりです。
- PHP 7.2.30 より前のバージョン
- PHP 7.3.17 より前のバージョン
- PHP 7.4.5 より前のバージョン
この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。
関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.2.30
https://www.php.net/ChangeLog-7.php#7.2.30
The PHP Group
PHP 7 ChangeLog Version 7.3.17
https://www.php.net/ChangeLog-7.php#7.3.17
The PHP Group
PHP 7 ChangeLog Version 7.4.5
https://www.php.net/ChangeLog-7.php#7.4.5
【9】Apple Xcode に不適切な入力確認に起因する情報漏えいの脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Update for Xcode
https://www.us-cert.gov/ncas/current-activity/2020/04/17/apple-releases-security-update-xcode
Japan Vulnerability Notes JVNVU#95670817
Apple Xcode における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95670817/
概要
Apple の Xcode には、Xcode に内包された git が使用している credential
helper プログラムの脆弱性に起因する問題があります。結果として、第三者
が改行文字を含む特別に細工した URL を処理することで、git の認証情報を
窃取する可能性があります。
対象となるバージョンは次のとおりです。
- Xcode 11.4.1 より前のバージョン
この問題は、Xcode を Apple が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (英語)
Apple
About the security content of Xcode 11.4.1
https://support.apple.com/en-us/HT211141
【10】ICS-CERTが公開した制御システムの脆弱性
情報源
Industrial Control Systems
ICS-CERT Alerts
https://www.us-cert.gov/ics/alerts
概要
ICS-CERT は、制御システムの脆弱性情報を公開しました。
対象となる製品は次のとおりです。
- Eaton
- HMiSoft VU3
- Triangle MicroWorks
- DNP3 Outstation Libraries
- SCADA Data Gateway
- Siemens
- Climatix
- IE/PB-Link
- RUGGEDCOM
- SCALANCE
- SIMATIC
- SINEMA
- SIMOTICS
- Desigo
- APOGEE
- TALON
- KTK
- SIDOOR
- SINAMICS
- TIM 3V-IE
- TIM 4R-IE
影響を受ける製品のバージョンや脆弱性の詳細は、ICS-CERT が提供するアド
バイザリ情報や開発者の情報を参照してください。
関連文書 (英語)
ICS Advisory (ICSA-20-105-01)
Eaton HMiSoft VU3
https://www.us-cert.gov/ics/advisories/icsa-20-105-01
ICS Advisory (ICSA-20-105-02)
Triangle MicroWorks DNP3 Outstation Libraries
https://www.us-cert.gov/ics/advisories/icsa-20-105-02
ICS Advisory (ICSA-20-105-03)
Triangle MicroWorks SCADA Data Gateway
https://www.us-cert.gov/ics/advisories/icsa-20-105-03
ICS Advisory (ICSA-20-105-04)
Siemens Climatix
https://www.us-cert.gov/ics/advisories/icsa-20-105-04
ICS Advisory (ICSA-20-105-05)
Siemens IE/PB-Link, RUGGEDCOM, SCALANCE, SIMATIC, SINEMA
https://www.us-cert.gov/ics/advisories/icsa-20-105-05
ICS Advisory (ICSA-20-105-06)
Siemens SIMOTICS, Desigo, APOGEE, and TALON
https://www.us-cert.gov/ics/advisories/icsa-20-105-06
ICS Advisory (ICSA-20-105-07)
Siemens SCALANCE & SIMATIC
https://www.us-cert.gov/ics/advisories/icsa-20-105-07
ICS Advisory (ICSA-20-105-08)
Siemens KTK, SIDOOR, SIMATIC, and SINAMICS
https://www.us-cert.gov/ics/advisories/icsa-20-105-08
ICS Advisory (ICSA-20-105-09)
Siemens TIM 3V-IE and 4R-IE Family Devices
https://www.us-cert.gov/ics/advisories/icsa-20-105-09
【11】Pulse Connect Secure の脆弱性への対策や侵害有無などの確認を
情報源
US-CERT Alert (AA20-107A)
Continued Threat Actor Exploitation Post Pulse Secure VPN Patching
https://www.us-cert.gov/ncas/alerts/aa20-107a
概要
2020年4月16日 (米国時間)、US-CERT (CISA) は Pulse Connect Secure の脆
弱性 (CVE-2019-11510) を悪用した攻撃について、脆弱性の悪用方法や対策方
法をまとめた注意喚起 (AA20-107A) を発行しました。本注意喚起では、同脆
弱性を悪用してシステムからユーザや管理者アカウントのパスワード情報を窃
取する事例などを紹介しています。また、CISA が観測している事案における、
侵害後の悪用内容や IoC が公開されており、利用者に対し、アップデートや
侵害有無の確認などを行うことが呼びかけられています。
新型コロナウイルス感染症 (COVID-19) の感染拡大防止のため、テレワークの
必要性が増す一方、脆弱な状態のままテレワーク環境を運用していると、情報
セキュリティ上のリスクも増加します。今一度対策状況をご確認ください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Pulse Connect Secure の脆弱性への対策や侵害有無などの確認を
https://www.jpcert.or.jp/newsflash/2020041701.html
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○長期休暇に備えて 2020/04
2020年4月14日、JPCERT/CC は「長期休暇に備えて 2020/04」を公開しました。
この呼びかけでは、JPCERT/CC が報告を受けた複数のインシデントを例に挙げ、
インシデント発生の予防および緊急時の対応に関して、対策などの要点をまと
めて記載しています。休暇期間中のインシデント発生に備え、自組織のセキュ
リティ対策や対応を今一度ご確認ください。
参考文献 (日本語)
JPCERT/CC CyberNewsFlash
長期休暇に備えて 2020/04
https://www.jpcert.or.jp/newsflash/2020041401.html
