« 「パスワード期限切れ」不審なメールに注意!! | メイン | ■06/07(日)~06/13(土) のセキュリティ関連情報 »

2020年6月10日 (水)

■05/31(日)~06/06(土) のセキュリティ関連情報

目 次 

【1】IP-in-IP プロトコルによる IP トンネリングが悪用され任意の宛先にパケットが送信される問題
【2】複数の Mozilla 製品に脆弱性
【3】複数の Cisco 製品に脆弱性
【4】Google Chrome に複数の脆弱性
【5】Gitlab にアクセス制御の脆弱性
【6】XACK DNS にサービス運用妨害 (DoS) の脆弱性
【7】Microsoft SMBv3 の脆弱性 (CVE-2020-0796) への対策を
【今週のひとくちメモ】IPA が「サイバーセキュリティ経営ガイドライン Ver 2.0」のプラクティス集を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr202201.html
https://www.jpcert.or.jp/wr/2020/wr202201.xml
============================================================================


【1】IP-in-IP プロトコルによる IP トンネリングが悪用され任意の宛先にパケットが送信される問題

情報源
CERT/CC Vulnerability Note VU#636397
IP-in-IP protocol routes arbitrary traffic by default
https://kb.cert.org/vuls/id/636397

Japan Vulnerability Notes JVNTA#90492923
IP-in-IP プロトコルによる IP トンネリングが悪用され任意の宛先にパケットが送信される問題
https://jvn.jp/ta/JVNTA90492923

概要
IP-in-IP プロトコルをサポートしている機器において、認証されていない第
三者によって予期せぬ通信が行われてしまう問題があります。結果として、反
射型の DDoS 攻撃や情報漏えいなどにつながる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco NX-OS Software が稼働している次の製品
- Nexus 1000 Virtual Edge for VMware vSphere
- Nexus 1000V Switch for Microsoft Hyper-V
- Nexus 1000V Switch for VMware vSphere
- Nexus 3000 Series Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 9000 Series Switches in standalone NX-OS mode
- UCS 6200 Series Fabric Interconnects
- UCS 6300 Series Fabric Interconnects
- Digi International
- WR11 series cellular router (ファームウェア V8.1.0.1 より前のバージョン)
- WR21 series cellular router (ファームウェア V8.1.0.1 より前のバージョン)
- WR31 series cellular router (ファームウェア V8.1.0.1 より前のバージョン)
- WR41 series cellular router (ファームウェア V8.1.0.1 より前のバージョン)
- WR44 series cellular router (ファームウェア V8.1.0.1 より前のバージョン)
- HP
- Samsung X3220NR V3.00.09 から V3.00.11 までのバージョン
- Treck
- Treck embedded TCP/IP software 6.0.1.66 より前のバージョン

また、上記以外にも Japan Vulnerability Notes のベンダ情報や各ベンダが
提供する情報などを確認し、該当する製品がある場合は、対策の実施を検討し
てください。

関連文書 (英語)
Cisco Security Advisory
Cisco NX-OS Software Unexpected IP in IP Packet Processing Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ipip-dos-kCT9X4

Digi International
Digi Security Center
https://www.digi.com/resources/security

【2】複数の Mozilla 製品に脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2020/06/03/mozilla-releases-security-updates-firefox-and-firefox-esr

概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 77 より前のバージョン
- Mozilla Firefox ESR 68.9 より前のバージョン
- Thunderbird 68.9 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 77
https://www.mozilla.org/en-US/security/advisories/mfsa2020-20/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 68.9
https://www.mozilla.org/en-US/security/advisories/mfsa2020-21/

Mozilla
Security Vulnerabilities fixed in Thunderbird 68.9.0
https://www.mozilla.org/en-US/security/advisories/mfsa2020-22/

【3】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/06/04/cisco-releases-security-updates-multiple-products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコマンドを実行するなどの可能性があります。

影響度 Critical の脆弱性情報に記載されている製品およびバージョンは次の
とおりです。

- Cisco IOS XE Software 16.3.1 以降のバージョン
- Cisco IOS Software が稼働している次の製品
- Cisco 809 Industrial ISRs
- Cisco 829 Industrial ISRs
- CGR1000

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 High および Medium の複数の脆弱性情報が公開されています。詳細
は、Cisco が提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco IOx for IOS XE Software Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ioxPE-KgGvCAf9

Cisco Security Advisory
Cisco IOS Software for Cisco Industrial Routers Virtual Device Server Inter-VM Channel Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-iot-udp-vds-inj-f2D5Jzrt

Cisco Security Advisory
Cisco IOS Software for Cisco Industrial Routers Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-iot-rce-xYRSeMNH

【4】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/06/04/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となる製品およびバージョンは次のとおりです。

- Google Chrome 83.0.4103.97 より前のバージョン
- Google Chrome for IOS 83.0.4103.88 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに更新することで解決
します。詳細は、Google が提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/06/stable-channel-update-for-desktop.html

【5】Gitlab にアクセス制御の脆弱性

情報源
GitLab
GitLab Critical Security Release: 13.0.4, 12.10.9, 12.9.9
https://about.gitlab.com/releases/2020/06/03/critical-security-release-13-0-4-released/

概要
GitLab には、アクセス制御の脆弱性があります。結果として、許可されてい
ない第三者がリポジトリへアクセスする可能性があります。

対象となるバージョンは次のとおりです。

- GitLab EE 10.6+ 以降のバージョン

この問題は、GitLab が提供する修正済みのバージョンに更新することで解決
します。詳細は、GitLab が提供する情報を参照してください。

【6】XACK DNS にサービス運用妨害 (DoS) の脆弱性

情報源
Japan Vulnerability Notes JVN#40208370
XACK DNS におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN40208370

概要
XACK DNS には、NXNSAttack と呼ばれる問題に起因する脆弱性があります。結
果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性
があります。

対象となるバージョンは次のとおりです。

- XACK DNS 1.11.0 から 1.11.4 までのバージョン
- XACK DNS 1.10.0 から 1.10.8 までのバージョン
- XACK DNS 1.8.0 から 1.8.23 までのバージョン
- XACK DNS 1.7.0 から 1.7.18 までのバージョン
- XACK DNS 1.7.0 より前のすべてのバージョン

この問題は、株式会社 XACK が提供する修正済みのバージョンに更新すること
で解決します。詳細は、株式会社 XACK が提供する情報を参照してください。

関連文書 (日本語)
株式会社 XACK
CVE-2020-8616 (NXNSAttack) について
https://xack.co.jp/info/?ID=622

【7】Microsoft SMBv3 の脆弱性 (CVE-2020-0796) への対策を

情報源
US-CERT Current Activity
Unpatched Microsoft Systems Vulnerable to CVE-2020-0796
https://www.us-cert.gov/ncas/current-activity/2020/06/05/unpatched-microsoft-systems-vulnerable-cve-2020-0796

概要
2020年6月5日、CISA (US-CERT) は 3月に公開された Microsoft SMBv3 の脆弱
性 (CVE-2020-0796) について、本脆弱性を悪用可能な実証 (PoC) コードを新
たに確認しており、セキュリティ更新プログラムが未適用のシステムが攻撃を
受ける可能性があるとして、改めて注意を呼び掛けています。CISA は、ユー
ザに向けて、早急にセキュリティ更新プログラムを適用することや、必要な回
避策を適用することを推奨しています。今一度対策状況をご確認ください。

関連文書 (日本語)
マイクロソフト株式会社
CVE-2020-0796 | Windows SMBv3 クライアント/サーバーのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0796

マイクロソフト株式会社
ADV200005 | SMBv3 の圧縮の無効化に関する Microsoft ガイダンス
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv200005

JPCERT/CC 注意喚起
Microsoft SMBv3 の脆弱性 (CVE-2020-0796) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200011.html

関連文書 (英語)
CERT/CC Vulnerability Note VU#872016
Microsoft SMBv3 compression remote code execution vulnerability
https://kb.cert.org/vuls/id/872016/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPA が「サイバーセキュリティ経営ガイドライン Ver 2.0」のプラクティス集を公開

2020年6月3日、経済産業省と情報処理推進機構 (IPA) は、「サイバーセキュ
リティ経営ガイドライン Ver 2.0実践のためのプラクティス集」を公開しまし
た。本プラクティス集では、2017年11月に公開された「サイバーセキュリティ
経営ガイドライン Ver 2.0」に記載されている、サイバーセキュリティ強化の
ための「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、
実践事例が紹介されています。

参考文献 (日本語)
情報処理推進機構 (IPA)
サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集
https://www.ipa.go.jp/security/fy30/reports/ciso/

コメント

この記事へのコメントは終了しました。