■09/27(日)~10/03(土) のセキュリティ関連情報
目 次
【1】PHP に複数の脆弱性
【2】GitLab に複数の脆弱性
【3】InfoCage SiteShell にサービス実行ファイルが書き換え可能な脆弱性
【4】横河電機製 WideField3 にバッファオーバーフローの脆弱性
【5】ServerProtect for Linux に OS コマンドインジェクションの脆弱性
【今週のひとくちメモ】経済産業省が『サイバーセキュリティ体制構築・人材確保の手引き』(第1版)を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr203901.html
https://www.jpcert.or.jp/wr/2020/wr203901.xml
============================================================================
【1】PHP に複数の脆弱性
情報源
The PHP Group
PHP 7.4.11 Released!
https://www.php.net/archive/2020.php#2020-10-01-2
The PHP Group
PHP 7.3.23 Released!
https://www.php.net/archive/2020.php#2020-10-01-3
The PHP Group
PHP 7.2.34 Released!
https://www.php.net/archive/2020.php#2020-10-01-1
概要
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が Cookie を
偽造するなどの可能性があります。
対象となるバージョンは次のとおりです。
- PHP 7.4.11 より前のバージョン
- PHP 7.3.23 より前のバージョン
- PHP 7.2.34 より前のバージョン
この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。
関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.4.11
https://www.php.net/ChangeLog-7.php#7.4.11
The PHP Group
PHP 7 ChangeLog Version 7.3.23
https://www.php.net/ChangeLog-7.php#7.3.23
The PHP Group
PHP 7 ChangeLog Version 7.2.34
https://www.php.net/ChangeLog-7.php#7.2.34
【2】GitLab に複数の脆弱性
情報源
GitLab
GitLab Security Release: 13.4.2, 13.3.7 and 13.2.10
https://about.gitlab.com/releases/2020/10/01/security-release-13-4-2-release/
概要
GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用
妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。
- GitLab Community および Enterprise Edition 13.4.2 より前の 13.4 系バージョン
- GitLab Community および Enterprise Edition 13.3.7 より前の 13.3 系バージョン
- GitLab Community および Enterprise Edition 13.2.10 より前の 13.2 系バージョン
なお、GitLab によると、サポートが終了したバージョンも影響を受けるとの
ことです。詳細は GitLab が提供する情報を参照してください。
この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新
することで解決します。詳細は、GitLab が提供する情報を参照してください。
【3】InfoCage SiteShell にサービス実行ファイルが書き換え可能な脆弱性
情報源
Japan Vulnerability Notes JVN#07426151
InfoCage SiteShell においてサービス実行ファイルが書き換え可能な脆弱性
https://jvn.jp/jp/JVN07426151/
概要
日本電気株式会社が提供する InfoCage SiteShell には、サービス実行ファイ
ルが書き換え可能な脆弱性があります。結果として、ローカルユーザが権限を
昇格して、サービスを実行する可能性があります。
対象となるバージョンは、多岐にわたります。詳細は日本電気株式会社が提供
するアドバイザリ情報を参照してください。
この問題は、該当する製品を日本電気株式会社が提供する修正パッチを適用す
ることで解決します。また、サポートが終了しているバージョンは、バージョン
アップが推奨されています。詳細は、日本電気株式会社が提供する情報を参照
してください。
関連文書 (日本語)
日本電気株式会社
インストールしたファイルに Everyone による変更権限が付与される際のInfoCage SiteShellの対応について
https://jpn.nec.com/infocage/siteshell/everyone_20200918.html
【4】横河電機製 WideField3 にバッファオーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVNVU#96842058
横河電機製 WideField3 にバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU96842058/
概要
横河電機株式会社が提供する WideField3 には、バッファオーバーフローの脆
弱性があります。結果として、当該製品にアクセス可能な第三者が、プロジェ
クトファイルを書き換えることで、アプリケーションが不正終了する可能性が
あります。
対象となるバージョンは次のとおりです。
- WideField3 R1.01 から R4.03 まで
この問題は、該当する製品を横河電機株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、横河電機株式会社が提供する情報を参
照してください。
関連文書 (日本語)
横河電機株式会社
YSAR-20-0002: WideField3の脆弱性
https://web-material3.yokogawa.com/19/30026/files/YSAR-20-0002-J.pdf
CISA Current Activity
Yokogawa WideField3
https://us-cert.cisa.gov/ics/advisories/icsa-20-273-02
【5】ServerProtect for Linux に OS コマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVNVU#91216654
ServerProtect for Linux に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU91216654/
概要
トレンドマイクロ株式会社が提供する ServerProtect for Linux には OS コ
マンドインジェクションの脆弱性があります。結果として、管理者権限を持つ
遠隔の攻撃者が、任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- ServerProtect for Linux バージョン 3.0
この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正パッチ
を適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する
情報を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ServerProtect for Linux のコマンドインジェクションの脆弱性(CVE-2020-24561)について
https://success.trendmicro.com/jp/solution/000268898
――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――
○経済産業省が『サイバーセキュリティ体制構築・人材確保の手引き』(第1版)を公開
2020年9月30日、経済産業省は「サイバーセキュリティ体制構築・人材確保の
手引き」を公開しました。本手引きは企業がサイバーセキュリティ経営ガイド
ラインに基づいてサイバーセキュリティの体制を構築し、人材を確保するため
の要点がまとめられています。企業内の経営層から人事担当者、実務者など様々
な立場ごとの観点が整理されています。
参考文献 (日本語)
経済産業省
『サイバーセキュリティ体制構築・人材確保の手引き』を取りまとめました
https://www.meti.go.jp/press/2020/09/20200930004/20200930004.html
コメント