■04/26(日)~05/09(土) のセキュリティ関連情報
目 次
【1】SaltStack Salt に複数の脆弱性
【2】Junos OS に複数の脆弱性
【3】VMware ESXi にクロスサイトスクリプティングの脆弱性
【4】複数の Cisco 製品に脆弱性
【5】WordPress に複数の脆弱性
【6】Samba に複数の脆弱性
【7】複数の Adobe 製品に脆弱性
【8】複数の Mozilla 製品に脆弱性
【9】Google Chrome に複数の脆弱性
【10】Gitlab に複数の脆弱性
【11】VLC media player に複数の脆弱性
【12】サイボウズ Garoon に複数の脆弱性
【13】Sales Force Assistant にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】JPCERT/CC Eyes「SysmonSearch v2.0 リリース」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr201801.html
https://www.jpcert.or.jp/wr/2020/wr201801.xml
============================================================================
【1】SaltStack Salt に複数の脆弱性
情報源
US-CERT Current Activity
SaltStack Patches Critical Vulnerabilities in Salt
https://www.us-cert.gov/ncas/current-activity/2020/05/01/saltstack-patches-critical-vulnerabilities-salt
概要
SaltStack Salt には、複数の脆弱性があります。 結果として、遠隔の第三者
が任意のコマンドを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Salt 2019.2.4 より前のバージョン
- Salt 3000.2 より前の 3000 系バージョン
なお、既にサポートが終了している SaltStack Salt 2015.8 系、2016.3 系、
2016.11 系、2017.7 系、2018.3 系のバージョンも影響を受けるとのことです。
この問題は、Salt を SaltStack が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SaltStack が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC
SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200020.html
関連文書 (英語)
SaltStack
Salt 2019.2.4 Release Notes
https://docs.saltstack.com/en/latest/topics/releases/2019.2.4.html
SaltStack
Salt 3000.2 Release Notes
https://docs.saltstack.com/en/latest/topics/releases/3000.2.html
SaltStack
Critical Vulnerabilities Update: CVE-2020-11651 and CVE-2020-11652
https://community.saltstack.com/blog/critical-vulnerabilities-update-cve-2020-11651-and-cve-2020-11652/
【2】Junos OS に複数の脆弱性
情報源
US-CERT Current Activity
Juniper Releases Security Updates for Junos OS
https://www.us-cert.gov/ncas/current-activity/2020/04/28/juniper-releases-security-updates-junos-os
概要
Junos OS には、脆弱性があります。結果として、遠隔の第三者が、設定情報
を窃取したり、任意のコマンドを実行したりするなどの可能性があります。
対象となるバージョンは次のとおりです。
- Junos OS 20.1
- Junos OS 19.4
- Junos OS 19.3
- Junos OS 19.2
- Junos OS 19.1
- Junos OS 18.4
- Junos OS 18.3
- Junos OS 18.2
- Junos OS 18.1
- Junos OS 17.4
- Junos OS 17.3
- Junos OS 17.2
- Junos OS 15.1X49
- Junos OS 15.1
- Junos OS 14.1X53
- Junos OS 12.3X48
- Junos OS 12.3
※この問題は、HTTP/HTTPS サービスが有効になっている Junos OS のみ影響
を受けます。
この問題は、Junos OS を Juniper が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Juniper が提供する情報を参照してください。
関連文書 (英語)
Juniper Networks
2020-04 Out of Cycle Security Advisory: Junos OS: Security vulnerability in J-Web and web based (HTTP/HTTPS) services (CVE-2020-1631)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11021
【3】VMware ESXi にクロスサイトスクリプティングの脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates for ESXi
https://www.us-cert.gov/ncas/current-activity/2020/04/29/vmware-releases-security-updates-esxi
概要
VMware ESXi には、クロスサイトスクリプティングの脆弱性があります。結果
として、ゲスト OS のユーザがホストクライアントのユーザのブラウザ上で細
工したスクリプトを実行する可能性があります。
対象となるバージョンは次のとおりです。
- VMware ESXi 6.7
- VMware ESXi 6.5
この問題は、VMware ESXi に VMware が提供するパッチを適用することで解決
します。詳細は、VMware が提供する情報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2020-0008
https://www.vmware.com/security/advisories/VMSA-2020-0008.html
【4】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates for IOS XE SD-WAN Solution Software
https://www.us-cert.gov/ncas/current-activity/2020/04/30/cisco-releases-security-updates-ios-xe-sd-wan-solution-software
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/05/07/cisco-releases-security-updates-multiple-products
概要
複数の Cisco 製品には、脆弱性があります。結果として、第三者が任意のコ
マンドを実行するなどの可能性があります。
影響度 High の脆弱性情報の対象となる製品は次のとおりです。
- Cisco IOS XE SD-WAN
- Cisco ASA Software
- Cisco FTD Software
※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
提供する情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す
る情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Malformed OSPF Packets Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-ospf-dos-RhMQY8qx
Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-path-JE3azWw43
Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software SSL/TLS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ssl-vpn-dos-qY7BHpjN
Cisco Security Advisory
Cisco Adaptive Security Appliance Software Kerberos Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-asa-kerberos-bypass-96Gghe2sS
Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Media Gateway Control Protocol Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-mgcp-SUqB8VKH
Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software IPv6 DNS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ipv6-67pA658k
Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-info-disclose-9eJtycMB
Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software OSPF Packets Processing Memory Leak Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-ospf-memleak-DHpsgfnv
Cisco Security Advisory
Cisco Firepower 1000 Series SSL/TLS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-tls-dos-4v5nmWtZ
Cisco Security Advisory
Cisco Firepower Threat Defense Software VPN System Logging Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-Rdpe34sd8
Cisco Security Advisory
Cisco Firepower Threat Defense Software Packet Flood Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-N2vQZASR
Cisco Security Advisory
Cisco Firepower Threat Defense Software Generic Routing Encapsulation Tunnel IPv6 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-2-sS2h7aWe
Cisco Security Advisory
Cisco IOS XE SD-WAN Software Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-xesdwcinj-AcQ5MxCn
【5】WordPress に複数の脆弱性
情報源
US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2020/04/30/wordpress-releases-security-update
概要
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- WordPress 5.4.1 より前のバージョン
この問題は、WordPress を WordPress が提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。
関連文書 (英語)
WordPress
WordPress 5.4.1
https://wordpress.org/news/2020/04/wordpress-5-4-1/
【6】Samba に複数の脆弱性
情報源
US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/04/28/samba-releases-security-updates
概要
Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。
- Samba 4.12.2 より前の 4.12 系バージョン
- Samba 4.11.8 より前の 4.11 系バージョン
- Samba 4.10.15 より前の 4.10 系バージョン
なお、既にサポートが終了している Samba 4.00 系およびそれ以前のバージョン
も影響を受けるとのことです。
この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新することで解決します。詳細は、The Samba Team が提供する情報を参照し
てください。
関連文書 (英語)
The Samba Team
Use-after-free in Samba AD DC LDAP Server with ASQ
https://www.samba.org/samba/security/CVE-2020-10700.html
The Samba Team
LDAP Denial of Service (stack overflow) in Samba AD DC
https://www.samba.org/samba/security/CVE-2020-10704.html
【7】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/04/29/adobe-releases-security-updates-multiple-products
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Adobe Bridge 10.0.1 およびそれ以前のバージョン (Windows)
- Adobe Illustrator 2020 24.0.2 およびそれ以前のバージョン (Windows)
- Magento Commerce 2.3.4 およびそれ以前のバージョン
- Magento オープンソース 2.3.4 およびそれ以前のバージョン
- Magento Enterprise Edition 1.14.4.4 およびそれ以前のバージョン
- Magento Community Edition 1.9.4.4 およびそれ以前のバージョン
なお、既にサポートが終了している Magento Commerce および Magento オー
プンソース 2.2 系バージョンも影響を受けるとのことです。
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe
Adobe Bridge に関するセキュリティアップデート公開 | APSB20-19
https://helpx.adobe.com/jp/security/products/bridge/apsb20-19.html
Adobe
Adobe Illustrator に関するセキュリティアップデート公開 | APSB20-20
https://helpx.adobe.com/jp/security/products/illustrator/apsb20-20.html
Adobe
Magento に関するセキュリティアップデート公開 | APSB20-22
https://helpx.adobe.com/jp/security/products/magento/apsb20-22.html
JPCERT/CC
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020043001.html
【8】複数の Mozilla 製品に脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2020/05/06/mozilla-releases-security-updates-firefox-and-firefox-esr
概要
複数の Mozilla 製品には、脆弱性があります。 結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 76 より前のバージョン
- Mozilla Firefox ESR 68.8 より前のバージョン
- Mozilla Thunderbird 68.8 より前のバージョン
この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 76
https://www.mozilla.org/en-US/security/advisories/mfsa2020-16/
Mozilla
Security Vulnerabilities fixed in Firefox ESR 68.8
https://www.mozilla.org/en-US/security/advisories/mfsa2020-17/
Mozilla
Security Vulnerabilities fixed in Thunderbird 68.8.0
https://www.mozilla.org/en-US/security/advisories/mfsa2020-18/
【9】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/04/28/google-releases-security-updates-chrome
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/05/06/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 81.0.4044.138 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_27.html
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/05/stable-channel-update-for-desktop.html
【10】Gitlab に複数の脆弱性
情報源
GitLab
GitLab Security Release: 12.10.2, 12.9.5, 12.8.10
https://about.gitlab.com/releases/2020/04/30/security-release-12-10-2-released/
概要
GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用
妨害 (DoS) 攻撃をするなどの可能性があります。
対象となるバージョンは次のとおりです。
- GitLab Community および Enterprise Edition 12.10.2 より前の 12.10 系バージョン
- GitLab Community および Enterprise Edition 12.9.5 より前の 12.9 系バージョン
- GitLab Community および Enterprise Edition 12.8.10 より前の 12.8 系バージョン
なお、上記に記載されていないバージョンも影響を受けるとのことです。詳細
は GitLab が提供する情報を参照してください。
この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新
することで解決します。詳細は、GitLab が提供する情報を参照してください。
【11】VLC media player に複数の脆弱性
情報源
Video LAN
Security Bulletin VLC 3.0.9
https://www.videolan.org/security/sb-vlc309.html
概要
Video LAN が提供する VLC media player には、複数の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- VLC media player 3.0.0 から 3.0.8 までのバージョン
この問題は、VLC media player を Video LAN が提供する修正済みのバージョン
に更新することで解決します。詳細は、Video LAN が提供する情報を参照して
ください。
【12】サイボウズ Garoon に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#35649781
サイボウズ Garoon における複数の脆弱性
https://jvn.jp/jp/JVN35649781/
概要
サイボウズ Garoon には、複数の脆弱性があります。結果として、遠隔の第三
者が、ユーザのブラウザ上で任意のスクリプトを実行したり、情報を窃取した
りするなどの可能性があります。
対象となるバージョンは次のとおりです。
- サイボウズ Garoon 4.6.0 から 5.0.0 までのバージョン (CVE-2020-5568)
- サイボウズ Garoon 4.0.0 から 4.10.3 までのバージョン
(CVE-2020-5563, CVE-2020-5564, CVE-2020-5565, CVE-2020-5566, CVE-2020-5567)
この問題は、サイボウズ Garoon をサイボウズ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供
する情報を参照してください。
関連文書 (日本語)
サイボウズ株式会社
パッケージ版 Garoon 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2020/006874.html
【13】Sales Force Assistant にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#47668991
Sales Force Assistant におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN47668991/
概要
株式会社NIコンサルティングが提供する Sales Force Assistant には、クロ
スサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が
ユーザのブラウザ上で任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Sales Force Assistant 11.2.48 およびそれ以前のバージョン
この問題は、Sales Force Assistant を株式会社NIコンサルティングが提供す
る修正済みのバージョンに更新することで解決します。詳細は、株式会社NIコン
サルティングが提供する情報を参照してください。
関連文書 (日本語)
株式会社NIコンサルティング
【ご報告】Sales Force Assistantアシスタント機能の脆弱性について
http://ni-consul.jp/support/info/2020/20200424_ge.html
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○JPCERT/CC Eyes「SysmonSearch v2.0 リリース」を公開
2020年4月30日、JPCERT/CC は、公式ブログ JPCERT/CC Eyes にて「SysmonSearch
v2.0 リリース」を公開しました。SysmonSearch は、マイクロソフト社が提供
している Sysmon が生成するイベントログの分析のために JPCERT/CC が作成
したツールです。本記事では、SysmonSearch の以前のバージョンからの変更
点や、新たな機能について紹介しています。
参考文献 (日本語)
JPCERT/CC Eyes
SysmonSearch v2.0 リリース
https://blogs.jpcert.or.jp/ja/2020/04/sysmonsearch-v20.html
コメント