« 2020年9月 | メイン | 2020年11月 »

2020年10月

2020年10月28日 (水)

■10/18(日)~10/24(土) のセキュリティ関連情報

目 次

【1】2020年 10月 Oracle Critical Patch Update について
【2】複数の Adobe 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】複数の VMware 製品に脆弱性
【5】複数の Mozilla 製品に脆弱性
【6】複数の Cisco 製品に脆弱性
【7】WordPress 用プラグイン Simple Download Monitor に複数の脆弱性
【8】Chocolatey Boxstarter に ACL 設定不備による脆弱性
【9】OneThird CMS にローカルファイルインクルージョンの脆弱性
【今週のひとくちメモ】IPA が「情報セキュリティ安心相談窓口の相談状況[ 2020年第3四半期 (7月~9月) ]」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204201.html
https://www.jpcert.or.jp/wr/2020/wr204201.xml
============================================================================


【1】2020年 10月 Oracle Critical Patch Update について

情報源
CISA Current Activity
Oracle Releases October 2020 Security Bulletin
https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/oracle-releases-october-2020-security-bulletin-0

概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200040.html

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - October 2020
https://www.oracle.com/security-alerts/cpuoct2020.html

【2】複数の Adobe 製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/adobe-releases-security-updates-multiple-products

概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Illustrator
- Adobe Dreamweaver
- Marketo
- Adobe Animate
- Adobe After Effects
- Adobe Photoshop
- Adobe Premiere Pro
- Adobe Media Encoder
- Adobe InDesign
- Adobe Creative Cloud Desktop Application

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020102101.html

Adobe
Adobe Illustrator に関するセキュリティアップデート公開 | APSB20-53
https://helpx.adobe.com/jp/security/products/illustrator/apsb20-53.html

Adobe
Adobe Dreamweaver に関するセキュリティアップデート公開 | APSB20-55
https://helpx.adobe.com/jp/security/products/dreamweaver/apsb20-55.html

Adobe
Marketo に関するセキュリティアップデート公開 | APSB20-60
https://helpx.adobe.com/jp/security/products/marketo/apsb20-60.html

Adobe
Adobe Animate に関するセキュリティアップデート公開 | APSB20-61
https://helpx.adobe.com/jp/security/products/animate/apsb20-61.html

Adobe
Adobe After Effects に関するセキュリティアップデート公開 | APSB20-62
https://helpx.adobe.com/jp/security/products/after_effects/apsb20-62.html

Adobe
Adobe Photoshop に関するセキュリティアップデート公開 | APSB20-63
https://helpx.adobe.com/jp/security/products/photoshop/apsb20-63.html

Adobe
Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB20-64
https://helpx.adobe.com/jp/security/products/premiere_pro/apsb20-64.html

Adobe
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB20-65
https://helpx.adobe.com/jp/security/products/media-encoder/apsb20-65.html

Adobe
Adobe InDesign に関するセキュリティアップデート公開 | APSB20-66
https://helpx.adobe.com/jp/security/products/indesign/apsb20-66.html

Adobe
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB20-68
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb20-68.html

【3】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 86.0.4240.111 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。


関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html

【4】複数の VMware 製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/vmware-releases-security-updates-multiple-products

概要
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
製品内の情報を窃取したり、任意のコードを実行したりするなどの可能性があ
ります。

対象となる製品は次のとおりです。

- VMware ESXi
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion Pro / Fusion (Fusion)
- NSX-T
- VMware Cloud Foundation
- VMware Horizon Server
- VMware Horizon Client for Windows

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2020-0023
https://www.vmware.com/security/advisories/VMSA-2020-0023.html

VMware Security Advisories
VMSA-0020-0024
https://www.vmware.com/security/advisories/VMSA-2020-0024.html

【5】複数の Mozilla 製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数の Mozilla 製品には、脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 82 より前のバージョン
- Mozilla Firefox ESR 78.4 より前のバージョン
- Mozilla Thunderbird 78.4 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 82
https://www.mozilla.org/en-US/security/advisories/mfsa2020-45/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-46/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-47/

【6】複数の Cisco 製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/22/cisco-releases-security-updates-multiple-products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が
サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【7】WordPress 用プラグイン Simple Download Monitor に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#31425618
WordPress 用プラグイン Simple Download Monitor における複数の脆弱性
https://jvn.jp/jp/JVN31425618/

概要
WordPress 用プラグイン Simple Download Monitor には、複数の脆弱性があ
ります。結果として、遠隔の第三者が当該製品の管理画面にログインしている
ユーザのブラウザ上で任意のスクリプトを実行したり、細工した URL にアク
セスさせることで、任意の SQL コマンドを実行したりする可能性があります。

対象となるバージョンは次のとおりです。

- Simple Download Monitor バージョン 3.8.9 より前のバージョン

この問題は、Simple Download Monitor を開発者が提供する修正済みのバージ
ョンに更新することで解決します。詳細は、開発者が提供する情報を参照して
ださい。

関連文書 (英語)
WordPress
Simple Download Monitor
https://wordpress.org/plugins/simple-download-monitor/

【8】Chocolatey Boxstarter に ACL 設定不備による脆弱性

情報源
CERT/CC Current Activity
Chocolatey Boxstarter vulnerable to privilege escalation due to weak ACLs
https://kb.cert.org/vuls/id/208577

概要
Chocolatey が提供する Boxstarter には、ACL 設定不備による脆弱性があり
ます。結果として、第三者が管理者権限で任意のコードを実行する可能性があ
ります。

対象となるバージョンは次のとおりです。

- Chocolatey Boxstarter 2.13.0 より前のバージョン

この問題は、Chocolatey Boxstarter を修正済みのバージョンに更新すること
で解決します。詳細は Chocolatey が提供する情報を参照してください。


関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90267651
Chocolatey Boxstarter に DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU90267651/

【9】OneThird CMS にローカルファイルインクルージョンの脆弱性

情報源
Japan Vulnerability Notes JVNVU#99467898
OneThird CMS におけるローカルファイルインクルージョンの脆弱性
https://jvn.jp/vu/JVNVU99467898/

概要
SpiQeソフトウェアが提供する OneThird CMS には、ローカルファイルインク
ルージョンの脆弱性があります。結果として、遠隔の第三者が、機微な情報を
取得したり、任意のコードを実行したりする可能性があります。

対象となるバージョンは次のとおりです。

- OneThird CMS v1.96d より前のバージョン

この問題は、OneThird CMS を修正済みのバージョンに更新することで解決し
ます。詳細は SpiQeソフトウェアが提供する情報を参照してください。


関連文書 (日本語)
SpiQeソフトウェア
緊急リリース (v1.96d)について
https://onethird.net/p1340.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPA が「情報セキュリティ安心相談窓口の相談状況[ 2020年第3四半期 (7月~9月) ]」を公開

2020年10月21日、情報処理推進機構 (IPA) は「情報セキュリティ安心相談窓
口の相談状況[ 2020年第3四半期 (7月~9月) ]」を公開しました。
Emotet 関連の相談が 7月以降増えており、特に 9月に入ってから急増してい
るようです。多数の国内企業・組織で被害が発生している可能性があるため、
改めて対策状況の確認を行うことを推奨します。

参考文献 (日本語)
情報処理推進機構 (IPA)
情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]
https://www.ipa.go.jp/security/txt/2020/q3outline.html

投稿時刻 10:31 セキュリティ | | コメント (0)

2020年10月21日 (水)

■10/11(日)~10/17(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
【4】Acronis 製バックアップソフトウェアに複数の脆弱性
【5】複数の Juniper 製品に脆弱性
【6】Intel 製 BlueZ に複数の脆弱性
【7】複数の SAP 製品に脆弱性
【8】WordPress 用プラグイン Live Chat - Live support にクロスサイトリクエストフォージェリの脆弱性
【9】Internet Week 2020 開催のお知らせ
【今週のひとくちメモ】総務省が「特別定額給付金の給付を騙ったメールに対する注意喚起」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204101.html
https://www.jpcert.or.jp/wr/2020/wr204101.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases October 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/10/13/microsoft-releases-october-2020-security-updates

CISA Current Activity
Microsoft Addresses Windows TCP/IP RCE/DoS Vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/microsoft-addresses-windows-tcpip-rcedos-vulnerability

CISA Current Activity
Microsoft Releases Security Updates to Address Remote Code Execution Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2020/10/16/microsoft-releases-security-updates-address-remote-code-execution

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Jet データベース エンジン
- Azure Functions
- オープン ソース ソフトウェア
- Microsoft Exchange Server
- Visual Studio
- PowerShellGet
- Microsoft .NET Framework
- Microsoft Dynamics
- Adobe Flash Player
- Microsoft Windows Codecs Library
- Visual Studio Code

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2020 年 10 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Oct

マイクロソフト株式会社
CVE-2020-17022 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-17022

マイクロソフト株式会社
CVE-2020-17023 | Visual Studio JSON のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-17023

JPCERT/CC 注意喚起
2020年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200038.html

【2】複数の Adobe 製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Flash Player
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/adobe-releases-security-updates-flash-player

CISA Current Activity
Adobe Releases Security Updates for Magento
https://us-cert.cisa.gov/ncas/current-activity/2020/10/16/adobe-releases-security-updates-magento

概要
複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、機密情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player Desktop Runtime (32.0.0.433) およびそれ以前のバージョン (Windows, macOS および Linux)
- Adobe Flash Player for Google Chrome (32.0.0.433) およびそれ以前のバージョン (Windows, macOS, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.387) およびそれ以前のバージョン (Windows 10 および Windows 8.1)
- Magento Commerce 2.3.5-p1 およびそれ以前のバージョン
- Magento Commerce 2.3.5-p2 およびそれ以前のバージョン
- Magento Commerce 2.4.0 およびそれ以前のバージョン
- Magento Open Source 2.3.5-p1 およびそれ以前のバージョン
- Magento Open Source 2.3.5-p2 およびそれ以前のバージョン
- Magento Open Source 2.4.0 およびそれ以前のバージョン

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe Flash Player の脆弱性 (APSB20-58) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200039.html

JPCERT/CC CyberNewsFlash
Magento に関するアップデート (APSB20-59) について
https://www.jpcert.or.jp/newsflash/2020101601.html

関連文書 (英語)
Adobe
Security updates available for Adobe Flash Player | APSB20-58
https://helpx.adobe.com/security/products/flash-player/apsb20-58.html

Adobe
Security Updates Available for Magento | APSB20-59
https://helpx.adobe.com/security/products/magento/apsb20-59.html

Magento
Magento Commerce 2.4.1 Release Notes
https://devdocs.magento.com/guides/v2.4/release-notes/commerce-2-4-1.html

Magento
Magento Commerce 2.3.6 Release Notes
https://devdocs.magento.com/guides/v2.3/release-notes/commerce-2-3-6.html

【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

情報源
CISA Current Activity
Apache Releases Security Updates for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/apache-releases-security-updates-apache-tomcat

Japan Vulnerability Notes JVNVU#97307781
Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU97307781/

概要
Apache Software Foundation が提供する Apache Tomcat には、HTTP/2 リク
エスト処理の不備に起因する情報漏えいの脆弱性が存在します。結果として、
遠隔の第三者が細工された HTTP/2 リクエストを送信し、予期しないリソース
への応答を誘発することで、情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.0.0-M1 から 10.0.0-M7 まで
- Apache Tomcat 9.0.0.M1 から 9.0.37 まで
- Apache Tomcat 8.5.0 から 8.5.57 まで

この問題は、Apache Tomcat を Apache Software Foundation が提供する修正
済みのバージョンに更新することで解決します。詳細は Apache Software
Foundation が提供する情報を参照してください。

関連文書 (英語)
Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M8
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M8

Apache Software Foundation
Fixed in Apache Tomcat 9.0.38
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.38

Apache Software Foundation
Fixed in Apache Tomcat 8.5.58
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.58

【4】Acronis 製バックアップソフトウェアに複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#114757
Acronis backup software contains multiple privilege escalation vulnerabilities
https://kb.cert.org/vuls/id/114757

概要
Acronis が提供する バックアップソフトウェアには、複数の脆弱性がありま
す。結果として、第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Acronis True Image 2021 ビルド番号 32010 より前のバージョン
- Acronis Cyber Backup 12.5 ビルド番号 16363 より前のバージョン
- Acronis Cyber Protect 15 ビルド番号 24600 より前のバージョン

この問題は、該当する製品を Acronis が提供する修正済みのバージョンに更
新することで解決します。詳細は Acronis が提供する情報を参照してくださ
い。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92288299
Acronis 製の複数のバックアップソフトウェアに DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU92288299/

JPCERT/CC CyberNewsFlash
Acronis製バックアップソフトウェアの複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020101301.html

関連文書 (英語)
Acronis
Acronis True Image 2021 Update 1 for Windows
https://www.acronis.com/ja-jp/support/updates/changes.html?p=42226

Acronis
Release notes for Acronis Cyber Backup 12.5 Update 5
https://dl.managed-protection.com/u/backup/rn/12.5/user/en-US/AcronisBackup12.5_relnotes.htm

Acronis
Release notes for Acronis Cyber Protect 15
https://dl.managed-protection.com/u/cyberprotect/rn/15/user/en-US/AcronisCyberProtect15_relnotes.htm

【5】複数の Juniper 製品に脆弱性

情報源
CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/15/juniper-networks-releases-security-updates-multiple-products

概要
複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品は次のとおりです。

- Junos OS
- Junos OS Evolved
- Junos Space and Junos Space Security Director
- Juniper Secure Analytics
- Mist Cloud User Interface
- SBR Carrier
- Juniper Identity Management System
- Contrail Networking

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、Juniper が提供する情報を参照してくださ
い。

関連文書 (英語)
Juniper Networks
Security Advisories (2020-10 Security Bulletin)
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

【6】Intel 製 BlueZ に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90263580
Intel 製 BlueZ に複数の脆弱性
https://jvn.jp/vu/JVNVU90263580/

概要
Intel が提供する BlueZ には、複数の脆弱性があります。結果として、隣接
するネットワークの第三者が権限昇格を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BlueZ をサポートする Linux Kernel 5.9 より前のすべてのバージョン

この問題は、BlueZ を Intel が提供する修正済みのバージョンに更新することで解決し
ます。詳細は Intel が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020101401.html

関連文書 (英語)
Intel
INTEL-SA-00435: BlueZ Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html

【7】複数の SAP 製品に脆弱性

情報源
CISA Current Activity
SAP Releases October 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/10/13/sap-releases-october-2020-security-updates

概要
複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該
製品を制御するなどの可能性があります。

対象となる製品は次のとおりです。

- SAP Solution Manager (CA Introscope Enterprise Manager) および SAP Focused Run (CA Introscope Enterprise Manager)
- SAP NetWeaver Enterprise Portal (Fiori Framework Page)
- SAP NetWeaver Composite Application Framework
- SAP NetWeaver AS JAVA (ENGINEAPI および J2EE-FRMW)
- SAP NetWeaver Application Server Java
- SAP NetWeaver Application Server ABAP (POWL test application)
- SAP NetWeaver (DI Design Time Repository)
- SAP NetWeaver (Compare Systems)
- SAP NetWeaver (ABAP Server) および ABAP Platform
- SAP Landscape Management
- SAP ERP (HCM Travel Management)
- SAP Commerce Cloud
- SAP BusinessObjects Business Intelligence Platform (Web Services)
- SAP Business Planning および Consolidation
- SAP Business Objects Business Intelligence Platform
- SAP Business Client
- SAP Banking Services
- SAP Adaptive Extensions
- SAP 3D Visual Enterprise Viewer
- CA Introscope Enterprise Manager (Affected products: SAP Solution Manager および SAP Focused Run)

この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day - October 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196

【8】WordPress 用プラグイン Live Chat - Live support にクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#92404841
WordPress 用プラグイン Live Chat - Live support におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN92404841/

概要
WordPress 用プラグイン Live Chat - Live support には、クロスサイトリクエ
ストフォージェリの脆弱性があります。結果として、遠隔の第三者が、細工し
たページにユーザをアクセスさせることにより、該当する製品の管理画面にロ
グインしているユーザの権限で任意の操作を行う可能性があります。

対象となるバージョンは次のとおりです。

- Live Chat - Live support バージョン 3.1.0 およびそれ以前のバージョン

この問題は、Live Chat - Live support を開発者が提供する修正済みのバージ
ョンに更新することで解決します。詳細は、開発者が提供する情報を参照して
ださい。

関連文書 (英語)
WordPress
Live Chat - Live support
https://wordpress.org/plugins/onwebchat/

Social Rocket
Products
https://wpsocialrocket.com/products/

【9】Internet Week 2020 開催のお知らせ

情報源
一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
Internet Week 2020
https://www.nic.ad.jp/iw2020/

一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
参加申込
https://www.nic.ad.jp/iw2020/apply/main/

概要
2020年11月17日 (火) から27日 (金) まで、一般社団法人日本ネットワークイン
フォメーションセンター (JPNIC) は、「Internet Week 2020」をオンライン
で開催します。インターネットに関する技術の研究・開発、 構築・運用・サ
ービスに関わる人々が、主にインターネットの基盤技術の基礎知識や最新動向
を学び、議論し、理解と交流を深めるためのイベントです。JPCERT/CC は本カ
ンファレンスを後援しています。

事前申込みの締め切りは 11月13日 (金) 17:00 までとなっております。詳細
は、JPNIC が提供する情報を確認してください。


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○総務省が「特別定額給付金の給付を騙ったメールに対する注意喚起」を公開

2020年10月15日、総務省は、「特別定額給付金の給付を騙ったメールに対する
注意喚起」を公開しました。総務省を騙るメールアドレスから、「二回目特別
定額給付金の特設サイトを開設しました。」といった旨及び偽の特設サイトに
誘導するリンクが含まれたメールが送信されているといった情報が寄せられて
いるとのことです。情報の詐取を目的としたものと考えられますのでご注意く
ださい。

参考文献 (日本語)
総務省
特別定額給付金の給付を騙ったメールに対する注意喚起
https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000438.html

フィッシング対策協議会
特別定額給付金に関する通知を装うフィッシング (2020/10/15)
https://www.antiphishing.jp/news/alert/kyufukin_20201015.html

投稿時刻 15:15 セキュリティ | | コメント (0)

2020年10月14日 (水)

■10/04(日)~10/10(土) のセキュリティ関連情報

目 次

【1】Google Chrome に複数の脆弱性
【2】複数のエレコム製 LAN ルーターに OS コマンドインジェクションの脆弱性
【3】トレンドマイクロ株式会社製ウイルスバスター for Mac に権限昇格の脆弱性
【4】複数の Cisco 製品に脆弱性
【5】QNAP Helpdesk に複数の脆弱性
【今週のひとくちメモ】警察庁が「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204001.html
https://www.jpcert.or.jp/wr/2020/wr204001.xml
============================================================================


【1】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/10/07/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 86.0.4240.75 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop.html

【2】複数のエレコム製 LAN ルーターに OS コマンドインジェクションの脆弱性

情報源
Japan Vulnerability Note JVN#82892096
複数のエレコム製 LAN ルーターにおける OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN82892096/

概要
複数のエレコム製 LAN ルーターには、OS コマンドインジェクションの脆弱性
があります。結果として、管理画面にアクセス可能な第三者が、root 権限で
任意の OS コマンドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- WRC-2533GST2 ファームウェア v1.14 より前のバージョン
- WRC-1900GST2 ファームウェア v1.14 より前のバージョン
- WRC-1750GST2 ファームウェア v1.14 より前のバージョン
- WRC-1167GST2 ファームウェア v1.10 より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
エレコム株式会社
一部無線LANルーターにおけるOSコマンドインジェクションの脆弱性に関して
https://www.elecom.co.jp/news/security/20201005-01/

【3】トレンドマイクロ株式会社製ウイルスバスター for Mac に権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95014999
トレンドマイクロ株式会社製ウイルスバスター for Mac に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU95014999/

概要
トレンドマイクロ株式会社製のウイルスバスター for Mac には、権限昇格の
脆弱性があります。結果として、当該製品にアクセス可能な第三者が、不正な
シンボリックリンクを作成し、任意のファイルやフォルダを削除する可能性が
あります。

対象となるバージョンは次のとおりです。

- ウイルスバスター for Mac バージョン 9.0
- ウイルスバスター for Mac バージョン 10.0

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新することで解決します。なお、9.0 系バージョンへのアップ
デートは提供されていないため、トレンドマイクロ株式会社は最新の 11.0 系
のバージョンへのアップグレードを推奨しています。詳細は、トレンドマイク
ロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-25776)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09912

【4】複数の Cisco 製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/10/08/cisco-releases-security-updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、認証された遠隔の
第三者が設定の一部を変更するなどの可能性があります。

対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】QNAP Helpdesk に複数の脆弱性

情報源
CISA Current Activity
QNAP Releases Security Updates for QNAP Helpdesk
https://us-cert.cisa.gov/ncas/current-activity/2020/10/08/qnap-releases-security-updates-qnap-helpdesk

概要
QNAP に搭載されているアプリ Helpdesk には、複数の脆弱性があります。結
果として、第三者が当該アプリを搭載する機器を制御する可能性があります。

対象となるバージョンは次のとおりです。

- Helpdesk 3.0.3 より前のバージョン

この問題は、Helpdesk を QNAP Systems が提供する修正済みのバージョンに
更新することで解決します。詳細は、QNAP Systems が提供する情報を参照し
てください。

関連文書 (英語)
QNAP Systems
Multiple Vulnerabilities in Helpdesk
https://www.qnap.com/en/security-advisory/QSA-20-08

QNAP Systems
Helpdesk 3.0.3
https://www.qnap.com/en/app_releasenotes/list.php?app_choose=helpdesk


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○警察庁が「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開

2020年10月1日、警察庁は、「令和2年上半期におけるサイバー空間をめぐる
脅威の情勢等について」と題してレポートを公開しました。新型コロナウイル
ス感染症の発生に乗じたものを含め、令和2年上半期のサイバー攻撃の事例に
ついて解説しています。

参考文献 (日本語)
警察庁
令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_kami_cyber_jousei.pdf

投稿時刻 10:00 セキュリティ | | コメント (0) | トラックバック (0)

2020年10月 7日 (水)

■09/27(日)~10/03(土) のセキュリティ関連情報

目 次

【1】PHP に複数の脆弱性
【2】GitLab に複数の脆弱性
【3】InfoCage SiteShell にサービス実行ファイルが書き換え可能な脆弱性
【4】横河電機製 WideField3 にバッファオーバーフローの脆弱性
【5】ServerProtect for Linux に OS コマンドインジェクションの脆弱性
【今週のひとくちメモ】経済産業省が『サイバーセキュリティ体制構築・人材確保の手引き』(第1版)を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr203901.html
https://www.jpcert.or.jp/wr/2020/wr203901.xml
============================================================================


【1】PHP に複数の脆弱性

情報源
The PHP Group
PHP 7.4.11 Released!
https://www.php.net/archive/2020.php#2020-10-01-2

The PHP Group
PHP 7.3.23 Released!
https://www.php.net/archive/2020.php#2020-10-01-3

The PHP Group
PHP 7.2.34 Released!
https://www.php.net/archive/2020.php#2020-10-01-1

概要
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が Cookie を
偽造するなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.4.11 より前のバージョン
- PHP 7.3.23 より前のバージョン
- PHP 7.2.34 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.4.11
https://www.php.net/ChangeLog-7.php#7.4.11

The PHP Group
PHP 7 ChangeLog Version 7.3.23
https://www.php.net/ChangeLog-7.php#7.3.23

The PHP Group
PHP 7 ChangeLog Version 7.2.34
https://www.php.net/ChangeLog-7.php#7.2.34

【2】GitLab に複数の脆弱性

情報源
GitLab
GitLab Security Release: 13.4.2, 13.3.7 and 13.2.10
https://about.gitlab.com/releases/2020/10/01/security-release-13-4-2-release/

概要
GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用
妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- GitLab Community および Enterprise Edition 13.4.2 より前の 13.4 系バージョン
- GitLab Community および Enterprise Edition 13.3.7 より前の 13.3 系バージョン
- GitLab Community および Enterprise Edition 13.2.10 より前の 13.2 系バージョン

なお、GitLab によると、サポートが終了したバージョンも影響を受けるとの
ことです。詳細は GitLab が提供する情報を参照してください。

この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新
することで解決します。詳細は、GitLab が提供する情報を参照してください。

【3】InfoCage SiteShell にサービス実行ファイルが書き換え可能な脆弱性

情報源
Japan Vulnerability Notes JVN#07426151
InfoCage SiteShell においてサービス実行ファイルが書き換え可能な脆弱性
https://jvn.jp/jp/JVN07426151/

概要
日本電気株式会社が提供する InfoCage SiteShell には、サービス実行ファイ
ルが書き換え可能な脆弱性があります。結果として、ローカルユーザが権限を
昇格して、サービスを実行する可能性があります。

対象となるバージョンは、多岐にわたります。詳細は日本電気株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、該当する製品を日本電気株式会社が提供する修正パッチを適用す
ることで解決します。また、サポートが終了しているバージョンは、バージョン
アップが推奨されています。詳細は、日本電気株式会社が提供する情報を参照
してください。

関連文書 (日本語)
日本電気株式会社
インストールしたファイルに Everyone による変更権限が付与される際のInfoCage SiteShellの対応について
https://jpn.nec.com/infocage/siteshell/everyone_20200918.html

【4】横河電機製 WideField3 にバッファオーバーフローの脆弱性

情報源
Japan Vulnerability Notes JVNVU#96842058
横河電機製 WideField3 にバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU96842058/

概要
横河電機株式会社が提供する WideField3 には、バッファオーバーフローの脆
弱性があります。結果として、当該製品にアクセス可能な第三者が、プロジェ
クトファイルを書き換えることで、アプリケーションが不正終了する可能性が
あります。

対象となるバージョンは次のとおりです。

- WideField3 R1.01 から R4.03 まで

この問題は、該当する製品を横河電機株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、横河電機株式会社が提供する情報を参
照してください。

関連文書 (日本語)
横河電機株式会社
YSAR-20-0002: WideField3の脆弱性
https://web-material3.yokogawa.com/19/30026/files/YSAR-20-0002-J.pdf

CISA Current Activity
Yokogawa WideField3
https://us-cert.cisa.gov/ics/advisories/icsa-20-273-02

【5】ServerProtect for Linux に OS コマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVNVU#91216654
ServerProtect for Linux に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU91216654/

概要
トレンドマイクロ株式会社が提供する ServerProtect for Linux には OS コ
マンドインジェクションの脆弱性があります。結果として、管理者権限を持つ
遠隔の攻撃者が、任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- ServerProtect for Linux バージョン 3.0

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正パッチ
を適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する
情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ServerProtect for Linux のコマンドインジェクションの脆弱性(CVE-2020-24561)について
https://success.trendmicro.com/jp/solution/000268898


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○経済産業省が『サイバーセキュリティ体制構築・人材確保の手引き』(第1版)を公開

2020年9月30日、経済産業省は「サイバーセキュリティ体制構築・人材確保の
手引き」を公開しました。本手引きは企業がサイバーセキュリティ経営ガイド
ラインに基づいてサイバーセキュリティの体制を構築し、人材を確保するため
の要点がまとめられています。企業内の経営層から人事担当者、実務者など様々
な立場ごとの観点が整理されています。

参考文献 (日本語)
経済産業省
『サイバーセキュリティ体制構築・人材確保の手引き』を取りまとめました
https://www.meti.go.jp/press/2020/09/20200930004/20200930004.html

投稿時刻 09:55 セキュリティ | | コメント (0)