目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】2020年 7月 Oracle Critical Patch Update について
【4】複数の Cisco 製品に脆弱性
【5】Google Chrome に複数の脆弱性
【6】複数の Apple 製品に脆弱性
【7】複数の SAP 製品に脆弱性
【8】Apache Tomcat に複数の脆弱性
【9】Mozilla Thunderbird に複数の脆弱性
【今週のひとくちメモ】ISOG-J が「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr202801.html
https://www.jpcert.or.jp/wr/2020/wr202801.xml
============================================================================
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases July 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/microsoft-releases-july-2020-security-updates
US-CERT Current Activity
Microsoft Addresses 'Wormable' RCE Vulnerability in Windows DNS Server
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/microsoft-addresses-wormable-rce-vulnerability-windows-dns-server
US-CERT Current Activity
CISA Releases Emergency Directive on Critical Microsoft Vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2020/07/16/cisa-releases-emergency-directive-critical-microsoft-vulnerability
US-CERT Current Activity
Microsoft Releases Security Update for Edge
https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/microsoft-releases-security-update-edge
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- Microsoft ChakraCore
- Internet Explorer
- Microsoft Office、Microsoft Office Services および Web Apps
- Windows Defender
- Skype for Business
- Visual Studio
- Microsoft OneDrive
- Azure Storage Explorer
- Bond
- TypeScript
- .NET Framework
- Azure DevOps
なお、マイクロソフトは、Windows DNS サーバーの脆弱性 (CVE-2020-1350)
について注意喚起を公開しています。現時点で本脆弱性の悪用は確認されてい
ないものの、影響を受ける Windows Server での早期の対策実施が推奨されて
います。
この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2020 年 7 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Jul
Microsoft Security Response Center
Windows DNS サーバーの脆弱性情報 CVE-2020-1350 に関する注意喚起
https://msrc-blog.microsoft.com/2020/07/14/20200715-dnsvulnerability/
JPCERT/CC 注意喚起
2020年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200029.html
マイクロソフト株式会社
CVE-2020-1341 | Microsoft Edge (Chromium ベース) の特権の昇格の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1341
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/adobe-releases-security-updates-multiple-products
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Creative Cloud デスクトップアプリケーション
- Adobe Media Encoder
- Adobe Genuine Service
- ColdFusion 2018
- ColdFusion 2016
- Adobe Download Manager
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020071501.html
Adobe
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB20-33
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb20-33.html
Adobe
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB20-36
https://helpx.adobe.com/jp/security/products/media-encoder/apsb20-36.html
Adobe
Adobe Genuine Service に関するセキュリティアップデート公開 | APSB20-42
https://helpx.adobe.com/jp/security/products/integrity_service/apsb20-42.html
Adobe
Adobe ColdFusion 用セキュリティアップデート公開 | APSB20-43
https://helpx.adobe.com/jp/security/products/coldfusion/apsb20-43.html
Adobe
Adobe Download Manager に関するセキュリティアップデート公開 | APSB20-49
https://helpx.adobe.com/jp/security/products/adm/apsb20-49.html
【3】2020年 7月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity
Oracle Releases July 2020 Security Bulletin
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/oracle-releases-july-2020-security-bulletin
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle
Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
2020年7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200030.html
関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - July 2020
https://www.oracle.com/security-alerts/cpujul2020.html
【4】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/07/15/cisco-releases-security-updates-multiple-products
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。
影響度 Critical の脆弱性情報の対象となる製品およびバージョンは次のとお
りです。
- Cisco Small Business RV110W Wireless-N VPN Firewall ファームウェア 1.2.2.8 より前のバージョン
- Cisco Small Business RV130 VPN Router ファームウェア 1.0.3.55 より前のバージョン
- Cisco Small Business RV130W Wireless-N Multifunction VPN Router ファームウェア 1.0.3.55 より前のバージョン
- Cisco Small Business RV215W Wireless-N VPN Router ファームウェア 1.3.1.7 より前のバージョン
- Cisco Prime License Manager Software 10.5(2)SU10 より前のバージョン
- Cisco Prime License Manager Software 11.5(1)SU7 より前のバージョン
※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 High および Medium の複数の脆弱性情報が公開されています。詳細
は、Cisco が提供する情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Small Business RV110W Wireless-N VPN Firewall Static Default Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv110w-static-cred-BMTWBWTy
Cisco Security Advisory
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-rce-AQKREqp
Cisco Security Advisory
Cisco RV110W, RV130, RV130W, and RV215W Routers Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-auth-bypass-cGv9EruZ
Cisco Security Advisory
Cisco RV110W and RV215W Series Routers Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-code-exec-wH3BNFb
Cisco Security Advisory
Cisco Prime License Manager Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-prime-priv-esc-HyhwdzBA
Cisco Security Advisory
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
【5】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 84.0.4147.89 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html
【6】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/07/16/apple-releases-security-updates
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- iOS 13.6 より前のバージョン
- iPadOS 13.6 より前のバージョン
- macOS Catalina 10.15.6 より前のバージョン
- macOS Mojave (Security Update 2020-004 未適用)
- macOS High Sierra (Security Update 2020-004 未適用)
- tvOS 13.4.8 より前のバージョン
- watchOS 6.2.8 より前のバージョン
- Safari 13.1.2 より前のバージョン
この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94090210
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94090210/
Apple
iOS 13.6 および iPadOS 13.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211288
Apple
macOS Catalina 10.15.6、セキュリティアップデート 2020-004 Mojave、セキュリティアップデート 2020-004 High Sierra のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211289
Apple
tvOS 13.4.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211290
Apple
watchOS 6.2.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211291
Apple
Safari 13.1.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211292
【7】複数の SAP 製品に脆弱性
情報源
SAP
SAP Security Patch Day - July 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675
CISA Alert (AA20-195A)
Critical Vulnerability in SAP NetWeaver AS Java
https://us-cert.cisa.gov/ncas/alerts/aa20-195a
概要
複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該
製品を制御するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- SAP NetWeaver AS JAVA (LM Configuration Wizard) バージョン 7.30, 7.31, 7.40, 7.50
- SAP Business Client バージョン 6.5
- SAP NetWeaver (XML Toolkit for JAVA) バージョン ENGINEAPI 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Disclosure Management バージョン 10.1
- SAP Business Objects Business Intelligence Platform (BI Launchpad) バージョン 4.2
- SAP Business Objects Business Intelligence Platform (bipodata) バージョン 4.2
- SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE) バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS) バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Business Objects Business Intelligence Platform (BI Launchpad and CMC) バージョン 4.1, 4.2
- SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface) バージョン 4.1, 4.2
- SAP NetWeaver (ABAP Server) and ABAP Platform バージョン 731, 740, 750
なお、米 CISA は、SAP NetWeaver AS Java の脆弱性 (CVE-2020-6287) につ
いてアラートを公開しています。現時点で本脆弱性の悪用は確認されていない
ものの、影響を受ける SAP NetWeaver AS JAVA での早期の対策実施が推奨さ
れています。
この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
SAP NetWeaver Application Server Java の脆弱性 (CVE-2020-6287) について
https://www.jpcert.or.jp/newsflash/2020071401.html
【8】Apache Tomcat に複数の脆弱性
情報源
US-CERT Current Activity
Apache Releases Security Advisories for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/apache-releases-security-advisories-apache-tomcat
Japan Vulnerability Notes JVNVU#96390265
Apache Tomcat における複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU96390265/
概要
The Apache Software Foundation が提供する Apache Tomcat には複数の脆弱
性があります。結果として、サービス運用妨害 (DoS) 攻撃を行う可能性があ
ります。
対象となるバージョンは次のとおりです。
- Apache Tomcat 10.0.0-M1 から 10.0.0-M6 まで
- Apache Tomcat 9.0.0.M1 から 9.0.36 まで
- Apache Tomcat 8.5.0 から 8.5.56 まで
- Apache Tomcat 7.0.27 から 7.0.104 まで
この問題は、Apache Tomcat を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundation が提供する情報を参照してください。
関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M7
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M7
The Apache Software Foundation
Fixed in Apache Tomcat 9.0.37
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37
The Apache Software Foundation
Fixed in Apache Tomcat 8.5.57
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.57
The Apache Software Foundation
Fixed in Apache Tomcat 7.0.105
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.105
【9】Mozilla Thunderbird に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/mozilla-releases-security-update-thunderbird
概要
Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第
三者が、情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
対象となるバージョンは次のとおりです。
- Mozilla Thunderbird 78 より前のバージョン
この問題は、Mozilla が提供する修正済みのバージョンに更新することで解決
します。詳細は、Mozilla が提供する情報を参照してください。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Thunderbird 78
https://www.mozilla.org/en-US/security/advisories/mfsa2020-29/
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○ISOG-J が「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開
2020年7月13日、日本セキュリティオペレーション事業者協議会 (ISOG-J) は
「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開
しました。本ガイドラインでは、ユーザーがマネージドセキュリティサービス
(MSS) を選ぶ際のポイントや事前に検討しておくと選定がしやすいポイントに
ついて、導入企画から平時の運用、インシデント時の運用といったフェーズご
とに解説されています。
参考文献 (日本語)
日本セキュリティオペレーション事業者協議会 (ISOG-J)
マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0 (2020年7月)
https://isog-j.org/output/2020/MSS-Guideline_v200.html
