ミニ・いんふぉめーしょん

2019年5月15日 (水)

■05/05(日)～05/11(土) のセキュリティ関連情報

【1】Cisco Elastic Services Controller に認証回避の脆弱性
【2】Drupal にパストラバーサルの脆弱性
【3】電子申請・届出アプリケーションオンライン版のインストーラおよびオフライン版に DLL 読み込みの脆弱性
【4】Android アプリ「クリエイトＳＤ公式アプリ」にアクセス制限不備の脆弱性
【今週のひとくちメモ】APCERT Annual Report 2018 公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191801.html
https://www.jpcert.or.jp/wr/2019/wr191801.xml
============================================================================

【1】Cisco Elastic Services Controller に認証回避の脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Update for Elastic Services Controller
https://www.us-cert.gov/ncas/current-activity/2019/05/07/Cisco-Releases-Security-Update-Elastic-Services-Controller

概要
Cisco Elastic Services Controller には、認証回避の脆弱性があります。結
果として、遠隔の第三者が、管理者権限で任意の操作を実行する可能性があり
ます。

対象となるバージョンは次のとおりです。

- REST API が有効になっている Cisco Elastic Services Controller 4.1、4.2、4.3、4.4

この問題は、Cisco Elastic Services Controller を、Cisco が提供する修正
済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情
報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Elastic Services Controller REST API Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190507-esc-authbypass

【2】Drupal にパストラバーサルの脆弱性

情報源
US-CERT Current Activity
Drupal Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/05/09/Drupal-Releases-Security-Update

概要
Drupal には、パストラバーサルの脆弱性があります。結果として、遠隔の第
三者がセキュリティ機能を回避し、任意のパスにアクセスする可能性がありま
す。

対象となるバージョンは次のとおりです。

- Drupal 8.7.1 より前の 8.7 系
- Drupal 8.6.16 より前の 8.6 系
- Drupal 7.67 より前の 7 系

なお、Drupal 8.6 系より前の 8 系のバージョンは、サポートが終了していま
す。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2019-007
https://www.drupal.org/sa-core-2019-007

【3】電子申請・届出アプリケーションオンライン版のインストーラおよびオフライン版に DLL 読み込みの脆弱性

情報源
Japan Vulnerability Notes JVN#91361851
電子申請・届出アプリケーションオンライン版のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN91361851/

Japan Vulnerability Notes JVN#69903953
電子申請・届出アプリケーションオフライン版における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN69903953/

概要
電子申請・届出アプリケーションオンライン版のインストーラおよびオフラ
イン版には、DLL 読み込みに関する脆弱性があります。結果として、第三者が
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- 電子申請・届出アプリケーションオンライン版 1.0.9.0 およびそれ以前
- 電子申請・届出アプリケーションオフライン版 1.0.9.0 およびそれ以前

この問題は、電子申請・届出アプリケーションオフライン版については、総
務省が提供する修正済みのバージョンに更新することで解決します。また、オン
ライン版については、総務省が提供する最新のインストーラを使用することで
解決します。詳細は、総務省が提供する情報を参照してください。

関連文書 (日本語)
総務省
総務省電波利用電子申請・届出システム | オンライン版インストーラのダウンロード
https://www.denpa.soumu.go.jp/public/prog/onlineInstaller_download.html

総務省
総務省電波利用電子申請・届出システム | オフライン版インストーラのダウンロード
https://www.denpa.soumu.go.jp/public/prog/offlineInstaller_download.html

【4】Android アプリ「クリエイトＳＤ公式アプリ」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#87655507
Android アプリ「クリエイトＳＤ公式アプリ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN87655507/

概要
Android アプリ「クリエイトＳＤ公式アプリ」には、アクセス制限不備の脆弱
性があります。結果として、遠隔の第三者が、当該製品のユーザを任意のウェ
ブサイトにアクセスさせる可能性があります。

対象となるバージョンは次のとおりです。

- クリエイトＳＤ公式アプリバージョン 1.0.2 およびそれ以前

この問題は、クリエイトＳＤ公式アプリを株式会社クリエイトエス・ディーが
提供する修正済みのバージョンに更新することで解決します。詳細は、株式会
社クリエイトエス・ディーが提供する情報を参照してください。

関連文書 (日本語)
株式会社クリエイトエス・ディー
「クリエイトＳＤ公式アプリ」脆弱性に関するお知らせ
https://www.create-sd.co.jp/Portals/0/pdf/appsec.pdf

投稿時刻 09:50 セキュリティ | 個別ページ | コメント (0)

2019年5月 9日 (木)

■04/21(日)～05/04(土) のセキュリティ関連情報

【1】Google Chrome に複数の脆弱性
【2】ISC BIND 9 に複数の脆弱性
【3】Oracle WebLogic Server に安全でないデシリアライゼーションの脆弱性
【4】複数の Cisco 製品に脆弱性
【5】PrinterLogic Print Management Software に複数の脆弱性
【6】サイボウズ Garoon に複数の脆弱性
【7】PHP に複数の脆弱性

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191701.html
https://www.jpcert.or.jp/wr/2019/wr191701.xml
============================================================================

【1】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/04/23/Google-Releases-Security-Update-Chrome-0

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/04/30/Google-Releases-Security-Updates-Chrome

概要
Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 74.0.3729.131 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/04/stable-channel-update-for-desktop_23.html

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/04/stable-channel-update-for-desktop_30.html

【2】ISC BIND 9 に複数の脆弱性

情報源
US-CERT Current Activity
ISC Releases BIND Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/25/ICS-Releases-BIND-Security-Updates

概要
ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.14.0
- BIND 9.12 系 9.12.0 から 9.12.4 まで
- BIND 9.11 系 9.11.0 から 9.11.6 まで
- BIND Supported Preview Edition 9.9.3-S1 から 9.11.5-S5 まで

この問題は、ISC BIND 9 を ISC が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)
株式会社日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（ファイル記述子の過度な消費）について
（CVE-2018-5743） - フルリゾルバー（キャッシュDNSサーバー）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-tcp-clients.html

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2019-6467）
- - nxdomain-redirect機能を有効にしている場合のみ対象、バージョンアップを推奨
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-nxdomain-redirect.html

Japan Vulnerability Notes JVNVU#99876126
ISC BIND 9 に複数の脆弱性
https://jvn.jp/vu/JVNVU99876126/

JPCERT/CC
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190019.html

関連文書 (英語)
Internet Systems Consortium, Inc. (ISC)
CVE-2018-5743: Limiting simultaneous TCP clients is ineffective
https://kb.isc.org/docs/cve-2018-5743

Internet Systems Consortium, Inc. (ISC)
CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c
https://kb.isc.org/docs/cve-2019-6467

Internet Systems Consortium, Inc. (ISC)
CVE-2019-6468: BIND Supported Preview Edition can exit with an assertion failure if nxdomain-redirect is used
https://kb.isc.org/docs/cve-2019-6468

Internet Systems Consortium, Inc. (ISC)
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913

【3】Oracle WebLogic Server に安全でないデシリアライゼーションの脆弱性

情報源
US-CERT Current Activity
Oracle Releases Security Alert
https://www.us-cert.gov/ncas/current-activity/2019/04/26/Oracle-Releases-Security-Alert

概要
Oracle WebLogic Server には、安全でないデシリアライゼーションの脆弱性
があります。結果として、遠隔の第三者が任意のコードを実行する可能性があ
ります。

対象となるバージョンは次のとおりです。

- Oracle WebLogic Server 12.1.3.0
- Oracle WebLogic Server 10.3.6.0

この問題は、Oracle WebLogic Server を Oracle が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Oracle が提供する情報を参照
してください。

関連文書 (日本語)
JPCERT/CC
Oracle WebLogic Server の脆弱性 (CVE-2019-2725) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190020.html

JPCERT/CC
Oracle WebLogic Server の脆弱性 (CNVD-C-2019-48814) について
https://www.jpcert.or.jp/newsflash/2019042601.html

関連文書 (英語)
Oracle
Oracle Security Alert Advisory - CVE-2019-2725
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

Oracle
Security Alert CVE-2019-2725 Released
https://blogs.oracle.com/security/security-alert-cve-2019-2725-released

【4】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/01/Cisco-Releases-Security-Updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
特権ユーザとしてアクセスしたり、サービス運用妨害 (DoS) 攻撃を行ったり
するなどの可能性があります。

影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで
す。

- Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode
- Cisco Adaptive Security Appliance (ASA) Software
- Cisco Firepower Threat Defense (FTD) Software
- Cisco Web Security Appliance (WSA)
- Cisco AsyncOS Software for Cisco Web Security Appliance
- Cisco Umbrella Dashboard（cloud based）
- Cisco Small Business Switches software
- Cisco Small Business RV320 Dual Gigabit WAN VPN Router
- Cisco Small Business RV325 Dual Gigabit WAN VPN Router
- Session Initiation Protocol (SIP) Software for Cisco IP Phone 7800 Series
- Session Initiation Protocol (SIP) Software for Cisco IP Phone 8800 Series
- Cisco Application Policy Infrastructure Controller (APIC) software

※上記製品以外にも、影響度 Medium および Informational の複数の脆弱性
情報が公開されています。これらの対象製品の情報は、Cisco が提供するアド
バイザリ情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す
る情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Default SSH Key Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-nexus9k-sshkey

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Cisco Firepower Threat Defense Software TCP Timer Handling Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-frpwrtd-dos

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software WebVPN Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-sd-cpu-dos

Cisco Security Advisory
Cisco Firepower Threat Defense Software TCP Ingress Handler Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-firepower-dos

Cisco Security Advisory
Cisco Firepower Threat Defense Software SMB Protocol Preprocessor Detection Engine Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-frpwr-smb-snort

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Low-Entropy Keys Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-ftd-entropy

Cisco Security Advisory
Cisco Firepower Threat Defense Software Packet Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-frpwr-dos

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software VPN SAML Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asaftd-saml-vpn

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Cisco Firepower Threat Defense Software MOBIKE Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-ftd-ike-dos

Cisco Security Advisory
Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Root Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-nexus9k-rpe

Cisco Security Advisory
Cisco Web Security Appliance Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-wsa-privesc

Cisco Security Advisory
Cisco Web Security Appliance Malformed Request Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-wsa-dos

Cisco Security Advisory
Cisco Umbrella Dashboard Session Management Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-udb-sm

Cisco Security Advisory
Cisco Small Business Switches Secure Shell Certificate Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-scbv

Cisco Security Advisory
Cisco Small Business RV320 and RV325 Routers Session Hijacking Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-sbr-hijack

Cisco Security Advisory
Cisco IP Phone 7800 Series and 8800 Series Session Initiation Protocol XML Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-phone-sip-xml-dos

Cisco Security Advisory
Cisco Adaptive Security Appliance Software IPsec Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-ipsec-dos

Cisco Security Advisory
Cisco Adaptive Security Appliance Software Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-csrf

Cisco Security Advisory
Cisco Application Policy Infrastructure Controller Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-apic-priv-escalation

Cisco Security Advisory
Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Insecure Fabric Authentication Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-aci-insecure-fabric

Cisco Security Advisory
Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-aci-hw-clock-util

【5】PrinterLogic Print Management Software に複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#169249
PrinterLogic Print Management Software fails to validate SSL certificates or the integrity of software updates.
https://www.kb.cert.org/vuls/id/169249/

概要
PrinterLogic Print Management Software には、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- PrinterLogic Print Management Software 18.3.1.96 およびそれ以前のバージョン

2019年5月8日現在、PrinterLogic から修正済みのバージョンは提供されてい
ません。次の回避策を適用することで、本脆弱性の影響を軽減することが可能
です。

- VPN を使用し、中間者攻撃の可能性を低減させる
- PrinterLogic エージェントから実行可能なアプリケーションをホワイトリストで制限する

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90648875
PrinterLogic 製 Print Management software における SSL 証明書やソフトウェアアップデートの整合性の検証をしない脆弱性
https://jvn.jp/vu/JVNVU90648875/

関連文書 (英語)
US-CERT Current Activity
PrinterLogic Print Management Software Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2019/05/05/PrinterLogic-Print-Management-Software-Vulnerabilities

PrinterLogic
Print Management
https://www.printerlogic.com/enterprise-print-management/

【6】サイボウズ Garoon に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#58849431
サイボウズ Garoon における複数の脆弱性
https://jvn.jp/jp/JVN58849431

概要
サイボウズ Garoon には、複数の脆弱性があります。結果として、当該製品に
アクセス可能な第三者が、ユーザのブラウザ上で任意のスクリプトを実行する
などの可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ Garoon 4.0.0 から 4.10.1 まで

この問題は、サイボウズ Garoon をサイボウズ株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提
供する情報を参照してください。

関連文書 (日本語)
サイボウズ株式会社
パッケージ版 Garoon 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2019/006814.html

【7】PHP に複数の脆弱性

情報源
The PHP Group
PHP 7.3.5 Release Announcement
https://php.net/archive/2019.php#id2019-05-02-1

The PHP Group
PHP 7.2.18 Released
https://php.net/archive/2019.php#id2019-05-02-2

The PHP Group
PHP 7.1.29 Released
https://php.net/archive/2019.php#id2019-05-03-1

概要
PHP には、複数の脆弱性があります。結果として、第三者がサービス運用妨害
(DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.3.5 より前のバージョン
- PHP 7.2.18 より前のバージョン
- PHP 7.1.29 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.3.5
http://www.php.net/ChangeLog-7.php#7.3.5

The PHP Group
PHP 7 ChangeLog Version 7.2.18
http://www.php.net/ChangeLog-7.php#7.2.18

The PHP Group
PHP 7 ChangeLog Version 7.1.29
http://www.php.net/ChangeLog-7.php#7.1.29

投稿時刻 12:36 セキュリティ | 個別ページ | コメント (0)

2019年4月24日 (水)

■04/14(日)～04/20(土) のセキュリティ関連情報

【1】2019年 4月 Oracle Critical Patch Update について
【2】複数の Cisco 製品に脆弱性
【3】Drupal に複数の脆弱性
【4】Broadcom 製 Wi-Fi チップセット向けの複数のドライバに脆弱性

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191601.html
https://www.jpcert.or.jp/wr/2019/wr191601.xml
============================================================================

【1】2019年 4月 Oracle Critical Patch Update について

情報源
US-CERT Current Activity
Oracle Releases April 2019 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2019/04/16/Oracle-Releases-April-2019-Security-Bulletin

概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
2019年 4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190017.html

関連文書 (英語)
Oracle Corporation
Oracle Critical Patch Update Advisory - April 2019
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

【2】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/17/Cisco-Releases-Security-Update-Cisco-IOS-XR

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで
す。

- Cisco IOS XR 64-Bit ソフトウエアが稼働している Cisco ASR 9000 Series Aggregation Services Routers
- Cisco Wireless LAN Controller (WLC) ソフトウエア
- Cisco Expressway Series
- Cisco TelePresence Video Communication Server (VCS)
- Cisco Aironet 1540 Series Access Points
- Cisco Aironet 1560 Series Access Points
- Cisco Aironet 1800 Series Access Points
- Cisco Aironet 2800 Series Access Points
- Cisco Aironet 3800 Series Access Points

※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。
これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してく
ださい。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco IOS XR 64-Bit Software for Cisco ASR 9000 Series Aggregation Services Routers Network Isolation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-asr9k-exr

Cisco Security Advisory
Cisco Wireless LAN Controller Software IAPP Message Handling Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-iapp

Cisco Security Advisory
Cisco Wireless LAN Controller Software GUI Configuration Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-gui

Cisco Security Advisory
Cisco Wireless LAN Controller Software Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-csrf

Cisco Security Advisory
Cisco Expressway Series and Cisco TelePresence Video Communication Server Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-es-tvcs-dos

Cisco Security Advisory
Cisco Aironet Series Access Points Development Shell Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-aironet-shell

【3】Drupal に複数の脆弱性

情報源
US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/17/Drupal-Releases-Security-Updates

概要
Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 8.6.15 より前の 8.6 系のバージョン
- Drupal 8.5.15 より前の 8.5 系のバージョン
- Drupal 7.66 より前の 7 系のバージョン

なお、Drupal 8.5 系より前の 8 系のバージョンは、サポートが終了しており、
今回のセキュリティに関する情報は提供されていません。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Multiple Vulnerabilities - SA-CORE-2019-005
https://www.drupal.org/sa-core-2019-005

Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-006
https://www.drupal.org/sa-core-2019-006

【4】Broadcom 製 Wi-Fi チップセット向けの複数のドライバに脆弱性

情報源
CERT/CC Vulnerability Note VU#166939
Broadcom WiFi chipset drivers contain multiple vulnerabilities
https://www.kb.cert.org/vuls/id/166939/

US-CERT Current Activity
Multiple Vulnerabilities in Broadcom WiFi Chipset Drivers
https://www.us-cert.gov/ncas/current-activity/2019/04/17/Multiple-Vulnerabilities-Broadcom-WiFi-Chipset-Drivers

Japan Vulnerability Notes JVNVU#90663693
Broadcom 製 Wi-Fi チップセット向けの複数のドライバに複数の脆弱性
https://jvn.jp/vu/JVNVU90663693/

概要
Broadcom 製 Wi-Fi チップセット用 Broadcom wl ドライバおよびオープンソー
スの brcmfmac ドライバには、複数の脆弱性があります。結果として、遠隔の
第三者が、細工した Wi-Fi フレームを処理させることで、サービス運用妨害
(DoS) 攻撃を行うなどの可能性があります。

対象となる製品は次のとおりです。

- Broadcom wl ドライバ
- brcmfmac ドライバ

この問題は、brcmfmac ドライバについては、開発者が提供するパッチを適用
することで解決します。2019年4月23日現在、Broadcom wl ドライバの問題に
対する解決策は提供されていません。
なお、この問題について、ベンダなどからも情報が公開されています。修正済
みのバージョンが公開されている場合は適用することをおすすめします。詳細
は、開発者やベンダなどが提供する情報を参照してください。

投稿時刻 09:55 セキュリティ | 個別ページ | コメント (0)

2019年4月17日 (水)

■04/07(日)～04/13(土) のセキュリティ関連情報

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の Intel 製品に脆弱性
【4】複数の Juniper 製品に脆弱性
【5】複数の VMware 製品に脆弱性
【6】Samba に複数の脆弱性
【7】Wireshark に複数の脆弱性
【8】WPA3 のプロトコルと実装に複数の脆弱性
【9】Apache Tomcat にリモートコード実行の脆弱性
【10】複数の VPN アプリケーションにセッション cookie を不適切に保存する問題
【11】スマートフォンアプリ「MyCar Controls」に管理者の認証情報がハードコードされている問題
【今週のひとくちメモ】2019年1月～2019年3月分の「インシデント報告対応レポート」「インターネット定点観測レポート」「活動概要」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191501.html
https://www.jpcert.or.jp/wr/2019/wr191501.xml
============================================================================

【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases April 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/09/Microsoft-Releases-April-2019-Security-Updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- ChakraCore
- ASP.NET
- Microsoft Exchange Server
- Team Foundation Server
- Azure DevOps Server
- Open Enclave SDK
- Windows Admin Center

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2019 年 4 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/18306ed5-1019-e911-a98b-000d3a33a34d

JPCERT/CC 注意喚起
2019年 4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190015.html

【2】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/09/Adobe-Releases-Security-Updates

概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Acrobat Reader DC Continuous (2019.010.20098) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30127) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader DC Classic 2015 (2015.006.30482) およびそれ以前 (Windows, macOS)
- Adobe Acrobat DC Continuous (2019.010.20098) およびそれ以前 (Windows, macOS)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30127) およびそれ以前 (Windows, macOS)
- Adobe Acrobat DC Classic 2015 (2015.006.30482) およびそれ以前 (Windows, macOS)
- Adobe Flash Player Desktop Runtime (32.0.0.156) およびそれ以前 (Windows, macOS および Linux)
- Adobe Flash Player for Google Chrome (32.0.0.156) およびそれ以前 (Windows, macOS, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.156) およびそれ以前 (Windows 10 および Windows 8.1)
- Adobe Shockwave Player 12.3.4.204 およびそれ以前 (Windows)
- Adobe Dreamweaver 19.0 およびそれ以前 (Windows, macOS)
- Adobe XD 16.0 およびそれ以前 (macOS)
- Adobe InDesign 14.0.1 およびそれ以前 (macOS)
- Adobe Experience Manager Forms 6.4、6.3、6.2
- Adobe Bridge CC 9.0.2 (Windows, macOS)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-17
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-17.html

Adobe
Adobe Flash Player に関するアップデート公開 | APSB19-19
https://helpx.adobe.com/jp/security/products/flash-player/apsb19-19.html

Adobe
Adobe Shockwave Player に関するセキュリティアップデート公開 | APSB19-20
https://helpx.adobe.com/jp/security/products/shockwave/apsb19-20.html

Adobe
Adobe Dreamweaver に関するセキュリティアップデート公開 | APSB19-21
https://helpx.adobe.com/jp/security/products/dreamweaver/apsb19-21.html

Adobe
Adobe XD に関するセキュリティアップデート公開 | APSB19-22
https://helpx.adobe.com/jp/security/products/xd/apsb19-22.html

Adobe
InDesign に関するセキュリティアップデート公開 | APSB19-23
https://helpx.adobe.com/jp/security/products/indesign/apsb19-23.html

Adobe
Adobe Experience Manager Forms に関するセキュリティアップデート公開 | APSB19-24
https://helpx.adobe.com/jp/security/products/aem-forms/apsb19-24.html

Adobe
Adobe Bridge CC に関するセキュリティアップデート公開 | APSB19-25
https://helpx.adobe.com/jp/security/products/bridge/apsb19-25.html

JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB19-17) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190013.html

JPCERT/CC 注意喚起
Adobe Flash Player の脆弱性 (APSB19-19) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190014.html

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019041001.html

【3】複数の Intel 製品に脆弱性

情報源
US-CERT Current Activity
Intel Releases Security Updates, Mitigations for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/04/09/Intel-Releases-Security-Updates-Mitigations-Multiple-Products

概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が、サービ
ス運用妨害 (DoS) 攻撃を行ったり、権限昇格を行ったりするなどの可能性が
あります。

対象となる製品およびバージョンは次のとおりです。

- Intel Media SDK 2018 R2.1 より前のバージョン (INTEL-SA-00201)
- Intel Graphics Performance Analyzer for Linux version 18.4 およびそれ以前 (INTEL-SA-00236)
- Some Microprocessors with Virtual Memory Mapping (INTEL-SA-00238)
- Intel Broadwell U i5 vPro MYBDWi5v.86A より前のバージョン (INTEL-SA-00239)

Intel は INTEL-SA-00201、INTEL-SA-00236、INTEL-SA-00239 について、該当
する製品を修正済みのバージョンに更新することを推奨しており、
INTEL-SA-00238 については、脆弱性の緩和策を提供しています。詳細は、
Intel が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90136041
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU90136041/

JPCERT/CC 注意喚起
2019年 4月 Intel 製品の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190016.html

関連文書 (英語)
INTEL-SA-00201 (CVE-2018-18094)
Intel Media SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00201.html

INTEL-SA-00236 (CVE-2019-0158)
Intel Graphics Performance Analyzer for Linux Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00236.html

INTEL-SA-00238 (CVE-2019-0162)
Microprocessor Memory Mapping Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00238.html

INTEL-SA-00239 (CVE-2019-0163)
Intel NUC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00239.html

【4】複数の Juniper 製品に脆弱性

情報源
US-CERT Current Activity
Juniper Networks Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/10/Juniper-Networks-Releases-Multiple-Security-Updates

概要
複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が
サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となる製品は次のとおりです。

- Junos OS
- Junos Space Service Now
- Junos Space Service Insight
- Juniper Identity Management Service

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、Juniper が提供する情報を参照してくださ
い。

関連文書 (英語)
Juniper Networks
2019-04 Security Bulletin: Junos OS: jdhcpd daemon memory consumption Denial of Service when receiving specific IPv6 DHCP packets. (CVE-2019-0031)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10920

Juniper Networks
2019-04 Security Bulletin: Junos Space Service Now and Service Insight: Organization username and password stored in plaintext in log files. (CVE-2019-0032)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10921

Juniper Networks
2019-04 Security Bulletin: SRX Series: A remote attacker may cause a high CPU Denial of Service to the device when proxy ARP is configured. (CVE-2019-0033)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10922

Juniper Networks
2019-04 Security Bulletin: Junos OS: 'set system ports console insecure' allows root password recovery on OAM volumes (CVE-2019-0035)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10924

Juniper Networks
2019-04 Security Bulletin: Junos OS: Firewall filter terms named "internal-1" and "internal-2" being ignored (CVE-2019-0036)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10925

Juniper Networks
2019-04 Security Bulletin: Junos OS: jdhcpd crash upon receipt of crafted DHCPv6 solicit message (CVE-2019-0037)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10926

Juniper Networks
2019-04 Security Bulletin: SRX Series: Crafted packets destined to fxp0 management interface on SRX340/SRX345 devices can lead to DoS (CVE-2019-0038)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10927

Juniper Networks
2019-04 Security Bulletin: Junos OS: Login credentials are vulnerable to brute force attacks through the REST API (CVE-2019-0039)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10928

Juniper Networks
2019-04 Security Bulletin: Junos OS: Specially crafted packets sent to port 111 on any interface triggers responses from the management interface (CVE-2019-0040)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10929

Juniper Networks
2019-04 Security Bulletin: QFX5000 Series, EX4300, EX4600: A stack buffer overflow vulnerability in Packet Forwarding Engine manager (FXPC) process (CVE-2019-0008)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10930

Juniper Networks
2019-04 Security Bulletin: Junos OS: BGP packets can trigger rpd crash when BGP tracing is enabled. (CVE-2019-0019)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10931

Juniper Networks
2019-04 Security Bulletin: Junos OS: RPD process crashes due to specific BGP peer restarts condition. (CVE-2019-0028)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10932

Juniper Networks
2019-04 Security Bulletin: Junos OS: EX4300-MP Series: IP transit traffic can reach the control plane via loopback interface. (CVE-2019-0041)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10933

Juniper Networks
2019-04 Security Bulletin: Incorrect messages from Juniper Identity Management Service (JIMS) can trigger Denial of Service or firewall bypass conditions for SRX series devices (CVE-2019-0042)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10934

Juniper Networks
2019-04 Security Bulletin: Junos OS: RPD process crashes upon receipt of a specific SNMP packet (CVE-2019-0043)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10935

Juniper Networks
2019-04 Security Bulletin: Junos OS: SRX5000 series: Kernel crash (vmcore) upon receipt of a specific packet on fxp0 interface (CVE-2019-0044)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10936

Juniper Networks
2019-04 Security Bulletin: Junos OS: Multiple FreeBSD vulnerabilities fixed in Junos OS.
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10937

【5】複数の VMware 製品に脆弱性

情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/12/VMware-Releases-Security-Updates

概要
複数の VMware 製品には、脆弱性があります。結果として、第三者が、情報を
取得したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- VMware vSphere ESXi 6.7 系のバージョン (ESXi670-201904101-SG 未適用)
- VMware vSphere ESXi 6.5 系のバージョン (ESXi650-201903001 未適用)
- VMware Workstation Pro / Player 15.0.3 より前の 15 系のバージョン
- VMware Workstation Pro / Player 14.1.6 より前の 14 系のバージョン
- VMware Fusion Pro / Fusion 11.0.3 より前の 11 系のバージョン (OSX)
- VMware Fusion Pro / Fusion 10.1.6 より前の 10 系のバージョン (OSX)

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2019-0006 VMware ESXi, Workstation and Fusion updates address multiple out-of-bounds read vulnerabilities.
https://www.vmware.com/security/advisories/VMSA-2019-0006.html

【6】Samba に複数の脆弱性

情報源
US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/08/Samba-Releases-Security-Updates

概要
Samba には、複数の脆弱性があります。結果として、第三者が本来アクセスで
きない領域にアクセスするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.10.2 より前の 4.10 系のバージョン
- Samba 4.9.6 より前の 4.9 系のバージョン
- Samba 4.8.11 より前の 4.8 系のバージョン

なお、既にサポートが終了している、Samba 3.2.0 から Samba 4.7 系までの
バージョンも影響を受けるとのことです。

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新することで解決します。詳細は、The Samba Team が提供する情報を参照し
てください。

関連文書 (英語)
The Samba Team
World writable files in Samba AD DC private/ dir
https://www.samba.org/samba/security/CVE-2019-3870.html

The Samba Team
Save registry file outside share as unprivileged user
https://www.samba.org/samba/security/CVE-2019-3880.html

【7】Wireshark に複数の脆弱性

情報源
Wireshark
Wireshark 3.0.1, 2.6.8 and 2.4.14 Released
https://www.wireshark.org/news/20190408.html

概要
Wireshark には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Wireshark 3.0.1 より前のバージョン
- Wireshark 2.6.8 より前のバージョン
- Wireshark 2.4.14 より前のバージョン

この問題は、Wireshark を Wireshark Foundation が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Wireshark Foundation が提供
する情報を参照してください。

関連文書 (英語)
Wireshark
Wireshark 3.0.1 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-3.0.1.html

Wireshark
Wireshark 2.6.8 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.6.8.html

Wireshark
Wireshark 2.4.14 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.4.14.html

【8】WPA3 のプロトコルと実装に複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#871675
WPA3 design issues and implementation vulnerabilities in hostapd and wpa_supplicant
https://www.kb.cert.org/vuls/id/871675/

概要
WPA3 プロトコルならびに hostapd と wpa_supplicant の実装には、複数の脆
弱性があります。結果として、遠隔の第三者が、情報を取得したり、サービス
運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

対象となる製品は次のとおりです。

- WPA3 プロトコルを実装している製品

この問題は、hostapd と wpa_supplicant を開発者が提供する修正済みのバー
ジョンに更新することで解決します。また、この問題に対して、ベンダなどか
ら対策に関する情報が公開されています。修正済みのバージョンが公開されて
いる場合は適用することをおすすめします。詳細は、開発者やベンダなどが提
供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94228755
WPA3 のプロトコルと実装に複数の脆弱性
https://jvn.jp/vu/JVNVU94228755/

関連文書 (英語)
Wi-Fi Alliance
SAE side-channel attacks
https://w1.fi/security/2019-1/sae-side-channel-attacks.txt

Wi-Fi Alliance
EAP-pwd side-channel attack
https://w1.fi/security/2019-2/eap-pwd-side-channel-attack.txt

Wi-Fi Alliance
SAE confirm missing state validation
https://w1.fi/security/2019-3/sae-confirm-missing-state-validation.txt

Wi-Fi Alliance
EAP-pwd missing commit validation
https://w1.fi/security/2019-4/eap-pwd-missing-commit-validation.txt

【9】Apache Tomcat にリモートコード実行の脆弱性

情報源
US-CERT Current Activity
Apache Releases Security Updates for Apache Tomcat
https://www.us-cert.gov/ncas/current-activity/2019/04/14/Apache-Releases-Security-Updates-Apache-Tomcat

概要
Apache Tomcat には、遠隔の第三者が任意のコードを実行可能な脆弱性があり
ます。

対象となるバージョンは次のとおりです。

- Apache Tomcat 9.0.0.M1 から 9.0.17 まで
- Apache Tomcat 8.5.0 から 8.5.39 まで
- Apache Tomcat 7.0.0 から 7.0.93 まで

なお、本脆弱性は、Windows で利用している Apache Tomcat において、
enableCmdLineArguments が有効になっている場合に影響を受けるとのことで
す。

この問題は、Apache Tomcat を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は、The Apache
Software Foundation が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
[SECURITY] CVE-2019-0232 Apache Tomcat Remote Code Execution on Windows
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201904.mbox/%3c13d878ec-5d49-c348-48d4-25a6c81b9605@apache.org%3e

The Apache Tomcat team
[ANN] Apache Tomcat 9.0.19 available
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201904.mbox/%3cd49d13f3-0787-1cb6-f98d-195eb31811f2@apache.org%3e

The Apache Tomcat team
[ANN] Apache Tomcat 8.5.40 available
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201904.mbox/%3cf10fd044-c708-1c63-1beb-13ce17f5a79a@apache.org%3e

The Apache Tomcat team
[ANN] Apache Tomcat 7.0.94 released
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201904.mbox/%3c81957d4a-d6a0-2276-fa6a-f1904a37b9de@apache.org%3e

【10】複数の VPN アプリケーションにセッション cookie を不適切に保存する問題

情報源
CERT/CC Vulnerability Note VU#192371
VPN applications insecurely store session cookies
https://www.kb.cert.org/vuls/id/192371/

Japan Vulnerability Notes JVNVU#97651416
複数の VPN アプリケーションにおいてセッション cookie を不適切に保存する問題
https://jvn.jp/vu/JVNVU97651416/

概要
複数の VPN (Virtual Private Network) アプリケーションには、認証やセッ
ション管理に用いられる cookie をメモリやログファイルに不適切に保存する
問題があります。結果として、Cookie を取得可能な第三者が、リプレイ攻撃
により正規ユーザになりすます可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows
- Palo Alto Networks GlobalProtect Agent 4.1.10 for macOS およびそれ以前
- Pulse Secure Connect Secure 8.1R14, 8.2, 8.3R6, および 9.0R2 より前
- Cisco AnyConnect 4.7.x 系およびそれ以前

この問題に対して、ベンダなどから対策に関する情報が公開されています。修
正済みのバージョンが公開されている場合は適用することをおすすめします。
詳細は、ベンダなどが提供する情報を参照してください。

関連文書 (英語)
Palo Alto Networks
Information Disclosure in GlobalProtect Agent (PAN-SA-2019-0008)
https://securityadvisories.paloaltonetworks.com/Home/Detail/146

【11】スマートフォンアプリ「MyCar Controls」に管理者の認証情報がハードコードされている問題

情報源
CERT/CC Vulnerability Note VU#174715
MyCar Controls uses hard-coded credentials
https://www.kb.cert.org/vuls/id/174715/

Japan Vulnerability Notes JVNVU#96036964
スマートフォンアプリ「MyCar Controls」において管理者の認証情報がハードコードされている問題
https://jvn.jp/vu/JVNVU96036964/

概要
スマートフォンアプリ「MyCar Controls」には、管理者の認証情報がハードコー
ドされている問題があります。結果として、遠隔の認証されていない第三者が、
当該製品へコマンドを送信したり、データを取得したりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS アプリ「MyCar Controls」 v3.4.24 より前のバージョン
- Android アプリ「MyCar Controls」 v4.1.2 より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

投稿時刻 10:39 セキュリティ | 個別ページ | コメント (0)

2019年4月10日 (水)

■03/31(日)～04/06(土) のセキュリティ関連情報

【1】Apache HTTP Server に複数の脆弱性
【2】GNU Wget にバッファオーバーフローの脆弱性
【3】Ruby に複数の脆弱性
【4】オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性
【5】Android アプリ「JR東日本列車運行情報プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性
【今週のひとくちメモ】メキシコ・ブラジルのCSIRTを訪ねて

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191401.html
https://www.jpcert.or.jp/wr/2019/wr191401.xml
============================================================================

【1】Apache HTTP Server に複数の脆弱性

情報源
US-CERT Current Activity
Apache Releases Security Update for Apache HTTP Server
https://www.us-cert.gov/ncas/current-activity/2019/04/04/Apache-Releases-Security-Update-Apache-HTTP-Server

概要
Apache HTTP Server には、複数の脆弱性があります。結果として、第三者が
root 権限で任意のコマンドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apache HTTP Server 2.4.39 より前のバージョン

この問題は、Apache HTTP Server を Apache Software Foundation が提供す
る修正済みのバージョンに更新することで解決します。詳細は、
Apache Software Foundation が提供する情報を参照してください。

関連文書 (英語)
Apache Software Foundation
Fixed in Apache httpd 2.4.39
https://httpd.apache.org/security/vulnerabilities_24.html

Apache Software Foundation
Apache HTTP Server 2.4.39 Released
https://www.apache.org/dist/httpd/Announcement2.4.html

【2】GNU Wget にバッファオーバーフローの脆弱性

情報源
Japan Vulnerability Notes JVN#25261088
GNU Wget におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN25261088/

概要
GNU Wget には、バッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃
を行ったりする可能性があります。

対象となるバージョンは次のとおりです。

- GNU Wget 1.20.1 およびそれ以前

この問題は、GNU Wget を GNU Project が提供する修正済みのバージョンに更
新することで解決します。詳細は、GNU Project が提供する情報を参照してく
ださい。

関連文書 (英語)
GNU Project
Downloading GNU Wget
https://www.gnu.org/software/wget/

【3】Ruby に複数の脆弱性

情報源
Ruby
Ruby 2.4.6 リリース
https://www.ruby-lang.org/ja/news/2019/04/01/ruby-2-4-6-released/

概要
Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを
実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Ruby 2.4.5 およびそれ以前

この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す
るか、パッチを適用することで解決します。なお、Ruby 2.4 系は、1年間のセ
キュリティメンテナンスフェーズに移行し、期間終了後、公式サポートが終了
します。そのため、Ruby 2.6 系などの新しいバージョンへの移行が推奨され
ています。

関連文書 (日本語)
JPCERT/CC WEEKLY REPORT 2019-03-20号
【6】Ruby に複数の脆弱性
https://www.jpcert.or.jp/wr/2019/wr191101.html#6

【4】オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性

情報源
Japan Vulnerability Notes JVNVU#98267543
オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU98267543/

概要
CX-One には、解放済みメモリ使用 (use-after-free) の脆弱性があります。
結果として、第三者がアプリケーションの権限で任意のコードを実行する可能
性があります。

対象となるバージョンは次のとおりです。

- 次のアプリケーションを含む CX-One
- CX-Programmer Version 9.70 およびそれ以前
- Common Components January 2019 およびそれ以前

この問題は、該当するアプリケーションをオムロン株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、オムロン株式会社が提
供する情報を参照してください。

関連文書 (日本語)
オムロン株式会社
CX-One バージョンアッププログラムダウンロード
https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html

オムロン株式会社
CX-Programmer の更新内容
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#cx_programmer

オムロン株式会社
共通モジュールの更新内容
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#common_module

【5】Android アプリ「JR東日本列車運行情報プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#01119243
Android アプリ「JR東日本列車運行情報プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN01119243/

概要
Android アプリ「JR東日本列車運行情報プッシュ通知アプリ」が使用する
API サーバには、アクセス制限不備の脆弱性があります。結果として、遠隔の
第三者が、ユーザの登録情報を取得したり、改ざんしたりする可能性がありま
す。

対象となるバージョンは次のとおりです。

- Android アプリ「JR東日本列車運行情報プッシュ通知アプリ」バージョン 1.2.4 およびそれ以前

Android アプリ「JR東日本列車運行情報プッシュ通知アプリ」の開発および
サポートは終了しています。当該製品の使用を停止し、アンインストールして
ください。東日本旅客鉄道株式会社は、自身のホームページ、スマートフォン
アプリ「JR東日本アプリ」、および LINE の「JR東日本 Chat Bot」の使用を
推奨しています。

関連文書 (日本語)
東日本旅客鉄道株式会社
JR 東日本列車運行情報アプリのサービス終了について
https://www.jreast.co.jp/press/2018/20190310.pdf

投稿時刻 09:50 セキュリティ | 個別ページ | コメント (0)

2019年4月 3日 (水)

■03/24(日)～03/30(土) のセキュリティ関連情報

【1】Mozilla Thunderbird に複数の脆弱性
【2】複数の Apple 製品に脆弱性
【3】複数の Cisco 製品に脆弱性
【4】複数の VMware 製品に脆弱性
【5】Apache Tomcat にサービス運用妨害 (DoS) 攻撃の脆弱性
【6】PowerActPro Master Agent Windows版にアクセス制限不備の脆弱性
【今週のひとくちメモ】IPA が「サイバーセキュリティ経営ガイドラインVer.2.0実践のためのプラクティス集」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191301.html
https://www.jpcert.or.jp/wr/2019/wr191301.xml
============================================================================

【1】Mozilla Thunderbird に複数の脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/03/25/Mozilla-Releases-Security-Update-Thunderbird

概要
Mozilla Thunderbird には、複数の脆弱性があります。結果として、第三者が
任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 60.6.1 より前のバージョン

この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Thunderbird 60.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-12/

【2】複数の Apple 製品に脆弱性

情報源
US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/25/Apple-Releases-Multiple-Security-Updates

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行ったり、第三者が任意のコードを実行したりす
るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 12.2 より前のバージョン
- macOS Mojave 10.14.4 より前のバージョン
- macOS High Sierra (Security Update 2019-002 未適用)
- macOS Sierra (Security Update 2019-002 未適用)
- tvOS 12.2 より前のバージョン
- watchOS 5.2 より前のバージョン
- Safari 12.1 より前のバージョン
- iTunes 12.9.4 for Windows より前のバージョン
- iCloud for Windows 7.11 より前のバージョン
- Xcode 10.2 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93236010
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93236010/

関連文書 (英語)
Apple
About the security content of iOS 12.2
https://support.apple.com/en-us/HT209599

Apple
About the security content of macOS Mojave 10.14.4, Security Update 2019-002 High Sierra, Security Update 2019-002 Sierra
https://support.apple.com/en-us/HT209600

Apple
About the security content of tvOS 12.2
https://support.apple.com/en-us/HT209601

Apple
About the security content of watchOS 5.2
https://support.apple.com/en-us/HT209602

Apple
About the security content of Safari 12.1
https://support.apple.com/en-us/HT209603

Apple
About the security content of iTunes 12.9.4 for Windows
https://support.apple.com/en-us/HT209604

Apple
About the security content of iCloud for Windows 7.11
https://support.apple.com/en-us/HT209605

Apple
About the security content of Xcode 10.2
https://support.apple.com/en-us/HT209606

【3】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/03/27/Cisco-Releases-Security-Advisories-Multiple-Products

US-CERT Current Activity
Cisco Releases Security Update for Cisco IOS XE
https://www.us-cert.gov/ncas/current-activity/2019/03/28/Cisco-Releases-Security-Update-Cisco-IOS-XE

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
機微な情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりするなど
の可能性があります。

対象となる製品は次のとおりです。

- Cisco IOS ソフトウェア
- Cisco IOS XE ソフトウェア

関連文書 (英語)
Cisco
Cisco Event Response: March 2019 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication
https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-71135

Cisco Security Advisory
Cisco IOS Software Catalyst 6500 Series 802.1x Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-c6500

Cisco Security Advisory
Cisco IOS and IOS XE Software Smart Call Home Certificate Validation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-call-home-cert

Cisco Security Advisory
Cisco IOS and IOS XE Software Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-info

Cisco Security Advisory
Cisco IOS and IOS XE Software Hot Standby Router Protocol Information Leak Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-ios-infoleak

Cisco Security Advisory
Cisco IOS XE Software Gigabit Ethernet Management Interface Access Control List Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-mgmtacl

Cisco Security Advisory
Cisco IOS XE Software Performance Routing Version 3 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-pfrv3

【4】複数の VMware 製品に脆弱性

情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/29/VMware-Releases-Security-Updates

概要
複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー
ザがホスト OS 上で任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware vCloud Director for Service Providers 9.5.0.3 より前の 9.5 系のバージョン
- VMware vSphere ESXi 6.7 系のバージョン (ESXi670-201903001 未適用)
- VMware vSphere ESXi 6.5 系のバージョン (ESXi650-201903001 未適用)
- VMware vSphere ESXi 6.0 系のバージョン (ESXi600-201903001 未適用)
- VMware Workstation Pro / Player 15.0.4 より前の 15 系のバージョン
- VMware Workstation Pro / Player 14.1.7 より前の 14 系のバージョン
- VMware Fusion Pro / Fusion 11.0.3 より前の 11 系のバージョン (OSX)
- VMware Fusion Pro / Fusion 10.1.6 より前の 10 系のバージョン (OSX)

関連文書 (英語)
VMware Security Advisories
VMSA-2019-0004 VMware vCloud Director for Service Providers update resolves a Remote Session Hijack vulnerability
https://www.vmware.com/security/advisories/VMSA-2019-0004.html

VMware Security Advisories
VMSA-2019-0005 VMware ESXi, Workstation and Fusion updates address multiple security issues
https://www.vmware.com/security/advisories/VMSA-2019-0005.html

【5】Apache Tomcat にサービス運用妨害 (DoS) 攻撃の脆弱性

情報源
The Apache Software Foundation
[SECURITY] CVE-2019-0199 Apache Tomcat HTTP/2 DoS
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201903.mbox/%3Cda5094ed-0901-6422-c383-073e5b3ecf9d@apache.org%3E

概要
Apache Tomcat には、遠隔の第三者によってサービス運用妨害 (DoS) 攻撃が
可能な脆弱性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 9.0.0.M1 から 9.0.14 まで
- Apache Tomcat 8.5.0 から 8.5.37 まで

関連文書 (日本語)
JPCERT/CC
Apache Tomcat の脆弱性 (CVE-2019-0199) について
https://www.jpcert.or.jp/newsflash/2019032601.html

【6】PowerActPro Master Agent Windows版にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#63981842
PowerActPro Master Agent Windows版におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN63981842/

概要
PowerActPro Master Agent Windows版には、アクセス制限不備の脆弱性があり
ます。結果として、Windows の一般ユーザアカウントをもつ第三者が、本来ア
クセスできないファイルを編集する可能性があります。

対象となるバージョンは次のとおりです。

- PowerActPro Master Agent Windows版 Version 5.13 およびそれ以前

この問題は、PowerActPro Master Agent Windows版をオムロンソーシアルソ
リューションズ株式会社が提供する修正済みのバージョンに更新することで解
決します。詳細は、オムロンソーシアルソリューションズ株式会社が提供す
る情報を参照してください。

関連文書 (日本語)
オムロンソーシアルソリューションズ株式会社
無停電電源装置（UPS）用自動シャットダウンソフト「PowerAct Pro」アップグレードのお知らせ
https://www.oss.omron.co.jp/ups/info/topics/190326.html

オムロンソーシアルソリューションズ株式会社
PowerAct Pro Master Agent Windows版ダウンロード
https://www.oss.omron.co.jp/ups/support/download/soft/poweractpro/master/poweractpro_master_windows.html

投稿時刻 10:52 セキュリティ | 個別ページ | コメント (0)

2019年3月27日 (水)

■03/10(日)～03/16(土) のセキュリティ関連情報

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の VMware 製品に脆弱性
【4】複数の Cisco 製品に脆弱性
【5】WordPress にクロスサイトスクリプティングの脆弱性
【6】Ruby に複数の脆弱性
【7】複数の Intel 製品に脆弱性
【8】iOS アプリ「iChain保険ウォレット」にディレクトリトラバーサルの脆弱性
【9】簡易CMS紀永に複数の脆弱性
【今週のひとくちメモ】JNSA が「セキュリティ知識分野（SecBoK）人材スキルマップ2019年版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191101.html
https://www.jpcert.or.jp/wr/2019/wr191101.xml
============================================================================

【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases March 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/12/Microsoft-Releases-March-2019-Security-Updates

US-CERT Current Activity
Microsoft Releases Security Update for Azure Linux Guest Agent
https://www.us-cert.gov/ncas/current-activity/2019/03/14/Microsoft-Releases-Security-Update-Azure-Linux-Guest-Agent

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office と Microsoft Office SharePoint
- ChakraCore
- Team Foundation Server
- Skype for Business
- Visual Studio
- NuGet
- Azure Linux Guest Agent

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2019 年 3 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/ac45e477-1019-e911-a98b-000d3a33a34d

マイクロソフト株式会社
CVE-2019-0804 | Azure Linux エージェントの情報漏えいの脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0804

JPCERT/CC 注意喚起
2019年 3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190012.html

【2】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/12/Adobe-Releases-Security-Updates

Adobe
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1724

概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコ
ードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Photoshop CC 20.0.2 およびそれ以前 (Windows, macOS)
- Adobe Photoshop CC 19.1.7 およびそれ以前 (Windows, macOS)
- Adobe Digital Editions 4.5.10.185749 およびそれ以前 (Windows)

関連文書 (日本語)
Adobe
Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB19-15
https://helpx.adobe.com/jp/security/products/photoshop/apsb19-15.html

Adobe
Adobe Digital Editions に関するセキュリティアップデート公開 | APSB19-16
https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb19-16.html

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019031301.html

【3】複数の VMware 製品に脆弱性

情報源
US-CERT Current Activity
VMware Releases Security Updates for Workstation and Horizon
https://www.us-cert.gov/ncas/current-activity/2019/03/15/VMware-Releases-Security-Updates-Workstation-and-Horizon

概要
複数の VMware 製品には、脆弱性があります。結果として、第三者が情報を窃
取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware Workstation 15 系のバージョン (Windows)
- VMware Workstation 14 系のバージョン (Windows)
- VMware Horizon 7 (CR) 系のバージョン (Windows)
- VMware Horizon 7 (ESB) 系のバージョン (Windows)
- VMware Horizon 6 系のバージョン (Windows)

関連文書 (英語)
VMware Security Advisories
VMSA-2019-0002 VMware Workstation update addresses elevation of privilege issues
https://www.vmware.com/security/advisories/VMSA-2019-0002.html

VMware Security Advisories
VMSA-2019-0003 VMware Horizon update addresses Connection Server information disclosure vulnerability
https://www.vmware.com/security/advisories/VMSA-2019-0003.html

【4】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/13/Cisco-Releases-Security-Updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Common Services Platform Collector 2.8.1.2 より前の 2.8.x 系バージョン
- Cisco Common Services Platform Collector 2.7.2 から 2.7.4.5 まで
- ファームウエア 7.6.2SR2 およびそれ以前のバージョンで動作する Cisco Small Business SPA514G IP Phone

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。なお、Cisco Small Business SPA514G IP Phone につ
いては、既にサポートが終了しており、この問題に対する解決策は提供されな
いとのことです。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Common Services Platform Collector Static Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190313-cspcscv

Cisco Security Advisory
Cisco Small Business SPA514G IP Phones SIP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190313-sip

【5】WordPress にクロスサイトスクリプティングの脆弱性

情報源
US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/03/14/WordPress-Releases-Security-Update

概要
WordPress には、クロスサイトスクリプティングの脆弱性があります。結果と
して、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。

対象となるバージョンは次のとおりです。

- WordPress 5.1 およびそれ以前

この問題は、該当する製品を WordPress が提供する修正済みのバージョンに
更新することで解決します。詳細は、WordPress が提供する情報を参照してく
ださい。

関連文書 (英語)
WordPress
WordPress 5.1.1 Security and Maintenance Release
https://wordpress.org/news/2019/03/wordpress-5-1-1-security-and-maintenance-release/

【6】Ruby に複数の脆弱性

情報源
Ruby
Ruby 2.6.2 リリース
https://www.ruby-lang.org/ja/news/2019/03/13/ruby-2-6-2-released/

Ruby
Ruby 2.5.4 リリース
https://www.ruby-lang.org/ja/news/2019/03/13/ruby-2-5-4-released/

概要
Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを
実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Ruby 2.6.1 およびそれ以前
- Ruby 2.5.3 およびそれ以前
- Ruby 2.4.5 およびそれ以前

この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す
るか、パッチを適用することで解決します。なお、2019年3月19日現在、
Ruby 2.4 系における修正済みのバージョンは提供されていません。詳細は、
Ruby が提供する情報を参照してください。

関連文書 (英語)
Ruby
Multiple vulnerabilities in RubyGems
https://www.ruby-lang.org/en/news/2019/03/05/multiple-vulnerabilities-in-rubygems/

【7】複数の Intel 製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#98344681
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98344681/

概要
Intel 製品には、複数の脆弱性があります。結果として、遠隔の第三者が権限
を昇格するなどの可能性があります。

対象となる製品は次のとおりです。

- Intel CSME, Server Platform Services, Trusted Execution Engine
- Intel Active Management Technology
- Intel Graphics Driver for Windows
- Intel Firmware
- Intel Matrix Storage Manager
- Intel SGX SDK
- Intel USB 3.0 Creator Utility
- Intel Accelerated Storage Manager in RSTe

この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新
することで解決します。詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)
Intel
INTEL-SA-00185 - Intel CSME, Server Platform Services, Trusted Execution Engine and Intel Active Management Technology 2018.4 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00185.html

Intel
INTEL-SA-00189 - Intel Graphics Driver for Windows* 2018.4 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00189.html

Intel
INTEL-SA-00191 - Intel Firmware 2018.4 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00191.html

Intel
INTEL-SA-00216 - Intel Matrix Storage Manager Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00216.html

Intel
INTEL-SA-00217 - Intel Software Guard Extensions SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00217.html

Intel
INTEL-SA-00229 - Intel USB 3.0 Creator Utility Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00229.html

Intel
INTEL-SA-00231 - Intel Accelerated Storage Manager in RSTe Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00231.html

【8】iOS アプリ「iChain保険ウォレット」にディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#11622218
iOS アプリ「iChain保険ウォレット」におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN11622218/

概要
iOS アプリ「iChain保険ウォレット」には、ディレクトリトラバーサルの脆弱
性があります。結果として、遠隔の第三者が情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- iOS アプリ「iChain保険ウォレット」バージョン 1.3.0 およびそれ以前

この問題は、該当する製品を iChain株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、iChain株式会社が提供する情報を参照
してください。

関連文書 (日本語)
iChain株式会社
「iChain 保険ウォレット」脆弱性に関するお知らせ
https://www.ichain.co.jp/security20190311.html

【9】簡易CMS紀永に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#06527859
簡易CMS紀永における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN06527859/

概要
簡易CMS紀永には、複数のクロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が情報を窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- KinagaCMS 6.5 より前のバージョン

この問題は、該当する製品を紀永プロジェクトが提供する修正済みのバージョン
に更新することで解決します。詳細は、紀永プロジェクトが提供する情報を参
照してください。

関連文書 (日本語)
紀永プロジェクト
Kinagaデモサイト
https://紀永.がりはり.com/

投稿時刻 09:45 セキュリティ | 個別ページ | コメント (0)

■03/17(日)～03/23(土) のセキュリティ関連情報

【1】Mozilla Firefox に複数の脆弱性
【2】Drupal にクロスサイトスクリプティングの脆弱性
【3】複数の Cisco 製品に脆弱性
【4】iOS アプリ「an」にディレクトリトラバーサルの脆弱性
【今週のひとくちメモ】IPA が「中小企業の情報セキュリティ対策ガイドライン」の第3版を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191201.html
https://www.jpcert.or.jp/wr/2019/wr191201.xml
============================================================================

【1】Mozilla Firefox に複数の脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/03/22/Mozilla-Releases-Security-Updates-Firefox

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/03/19/Mozilla-Releases-Security-Updates-Firefox

概要
Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 66.0.1 より前のバージョン
- Mozilla Firefox ESR 60.6.1 より前のバージョン

この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Firefox 66
https://www.mozilla.org/en-US/security/advisories/mfsa2019-07/

Mozilla
Security vulnerabilities fixed in Firefox 66.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-09/

Mozilla
Security vulnerabilities fixed in Firefox ESR 60.6
https://www.mozilla.org/en-US/security/advisories/mfsa2019-08/

Mozilla
Security vulnerabilities fixed in Firefox 60.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-10/

【2】Drupal にクロスサイトスクリプティングの脆弱性

情報源
US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/20/Drupal-Releases-Security-Updates

概要
Drupal には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者がユーザのブラウザ上で任意のコードを実行する可能性があ
ります。

対象となるバージョンは次のとおりです。

- Drupal 8.6.13 より前の 8.6 系のバージョン
- Drupal 8.5.14 より前の 8.5 系のバージョン
- Drupal 7.65 より前の 7 系のバージョン

なお、Drupal 8.5 系より前の 8 系のバージョンは、サポートが終了しており、
セキュリティに関する情報は提供されません。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-004
https://www.drupal.org/sa-core-2019-004

【3】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Advisories for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/03/20/Cisco-Releases-Security-Advisories-Multiple-Products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Wireless IP Phone 8821 上で稼働している SIP ソフトウエア 11.0(5) より前のバージョン
- Cisco Wireless IP Phone 8821-EX 上で稼働している SIP ソフトウエア 11.0(5) より前のバージョン
- Cisco IP Conference Phone 8832 上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン
- Cisco Unified IP Conference Phone 8831 上で稼働している SIP ソフトウエア 10.3(1)SR5 より前のバージョン
- その他 Cisco IP Phone 7800 シリーズ上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン
- その他 Cisco IP Phone 8800 シリーズ上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン

関連文書 (英語)
Cisco Security Advisory
Cisco IP Phone 8800 Series Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipptv

Cisco Security Advisory
Cisco IP Phone 8800 Series File Upload Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipfudos

Cisco Security Advisory
Cisco IP Phone 8800 Series Authorization Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipab

Cisco Security Advisory
Cisco IP Phone 7800 Series and 8800 Series Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce

Cisco Security Advisory
Cisco IP Phone 8800 Series Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-csrf

【4】iOS アプリ「an」にディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#60497148
iOS アプリ「an」におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN60497148/

概要
iOS アプリ「an」には、ディレクトリトラバーサルの脆弱性があります。結果
として、遠隔の第三者が情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- iOS アプリ「an」バージョン 3.2.0 およびそれ以前

この問題は、iOS アプリ「an」をパーソルキャリア株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、パーソルキャリア株式
会社が提供する情報を参照してください。

関連文書 (日本語)
パーソルキャリア株式会社
「an」公式アプリ
https://weban.jp/contents/c/smartphone_apri/

投稿時刻 09:42 セキュリティ | 個別ページ | コメント (0)

2019年3月 6日 (水)

■02/24(日)～03/02(土) のセキュリティ関連情報

【1】複数の Cisco 製品に脆弱性
【2】OpenSSL にパディングオラクル攻撃の脆弱性
【3】複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性
【4】Nablarch に複数の脆弱性
【今週のひとくちメモ】日本スマートフォンセキュリティ協会、「IoTセキュリティチェックシート第二版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr190901.html
https://www.jpcert.or.jp/wr/2019/wr190901.xml
============================================================================

【1】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/27/Cisco-Releases-Security-Updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- RV110W Wireless-N VPN Firewall 1.2.2.1 より前のバージョン
- RV130W Wireless-N Multifunction VPN Router 1.0.3.45 より前のバージョン
- RV215W Wireless-N VPN Router 1.3.1.1 より前のバージョン
- Cisco Webex Meetings Desktop App 33.6.6 より前のバージョン
- Cisco Webex Productivity Tools 32.6.0 以降かつ 33.0.7 より前のバージョン

関連文書 (英語)
Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex

Cisco Security Advisory
Cisco Webex Meetings Desktop App and Cisco Webex Productivity Tools Update Service Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-wmda-cmdinj

【2】OpenSSL にパディングオラクル攻撃の脆弱性

情報源
US-CERT Current Activity
OpenSSL Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/02/26/OpenSSL-Releases-Security-Update

概要
OpenSSL には、パディングオラクル攻撃が可能な脆弱性があります。結果とし
て、遠隔の第三者が通信情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.0.2 から 1.0.2q まで

この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン
に更新することで解決します。詳細は、OpenSSL Project が提供する情報を参
照してください。

関連文書 (日本語)
JPCERT/CC
OpenSSL の脆弱性 (CVE-2019-1559) について
https://www.jpcert.or.jp/newsflash/2019022701.html

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [26 February 2019]
https://www.openssl.org/news/secadv/20190226.txt

【3】複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#83501605
WordPress 用プラグイン FormCraft におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN83501605/

Japan Vulnerability Notes JVN#97656108
WordPress 用プラグイン Smart Forms におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN97656108/

概要
WordPress 用プラグイン FormCraft および Smart Forms には、クロスサイト
リクエストフォージェリの脆弱性があります。結果として、遠隔の第三者がユー
ザの意図しない操作を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- FormCraft 1.2.1 およびそれ以前
- Smart Forms 2.6.15 およびそれ以前

関連文書 (英語)
FormCraft
Changelog
https://wordpress.org/plugins/formcraft-form-builder/#developers

Smart Forms
Changelog
https://wordpress.org/plugins/smart-forms/#developers

【4】Nablarch に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#56542712
ナブラークにおける複数の脆弱性
https://jvn.jp/jp/JVN56542712/

概要
Nablarch (ナブラーク) には、複数の脆弱性があります。結果として、遠隔の
第三者が、サーバの情報を詐取したり、改ざんしたりする可能性があります。

対象となるバージョンは次のとおりです。

- Nablarch 5系 (5、および 5u1 から 5u13 まで)

この問題は、Nablarch を TIS株式会社が提供する修正済みのバージョンに更
新することで解決します。詳細は、TIS株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
Nablarch
【不具合報告】Nablarch 汎用データフォーマット XXE脆弱性について
https://nablarch.atlassian.net/secure/attachment/10001/

Nablarch
【不具合報告】Nablarch HIDDENストア脆弱性について
https://nablarch.atlassian.net/secure/attachment/10002/

投稿時刻 10:04 セキュリティ | 個別ページ | コメント (0)

2019年2月27日 (水)

■02/17(日)～02/23(土) のセキュリティ関連情報

【1】Drupal に任意のコードが実行可能な脆弱性
【2】ISC BIND 9 に複数の脆弱性
【3】複数の Cisco 製品に脆弱性
【4】Adobe Acrobat および Reader に情報漏えいの脆弱性
【5】azure-umqtt-c にサービス運用妨害 (DoS) の脆弱性
【今週のひとくちメモ】フィッシング対策協議会、サイバー犯罪被害防止啓発キャンペーンを開始

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr190801.html
https://www.jpcert.or.jp/wr/2019/wr190801.xml
============================================================================

【1】Drupal に任意のコードが実行可能な脆弱性

情報源
US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/21/Drupal-Releases-Security-Updates

概要
Drupal には、脆弱性があります。結果として、遠隔の第三者が任意のコード
を実行する可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 8.6.10 より前の 8.6 系のバージョン
- Drupal 8.5.11 より前の 8.5 系のバージョン

Drupal によると、次のような条件を満たす場合に本脆弱性の影響を受けると
のことです。

- Drupal 8系で "RESTful Web Services" モジュールを有効にしている
- Drupal 8系で "JSON:API" モジュールを有効にしている
- Drupal 7系で "RESTful Web Services" モジュールを有効にしている
- Drupal 7系で "Services" モジュールを有効にしている

なお、Drupal 8.5 系より前の 8系のバージョンは、サポートが終了しており、
今回のセキュリティに関する情報は提供されていません。また、Drupal 7系に
ついても、上記条件を満たす場合は本脆弱性の影響を受けるとのことです。

この問題は、Drupal や Drupal のモジュールを Drupal などが提供する修正
済みのバージョンに更新することで解決します。詳細は、Drupal が提供する
情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190010.html

関連文書 (英語)
Drupal
Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003
https://www.drupal.org/sa-core-2019-003

Drupal
SA-CORE-2019-003 Notice of increased risk and Additional exploit path - PSA-2019-02-22
https://www.drupal.org/psa-2019-02-22

【2】ISC BIND 9 に複数の脆弱性

情報源
US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2019/02/22/ISC-Releases-Security-Updates-BIND

概要
ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.12.0 から 9.12.3-P2 まで
- BIND 9.11.0 から 9.11.5-P2 まで

なお、既にサポートが終了している、BIND 9.9 系および 9.10 系が影響する
脆弱性も含まれています。

この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
ISC BIND 9 に対する複数の脆弱性 (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190009.html

株式会社日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（メモリリークの発生）について（CVE-2018-5744） - フルリゾルバー（キャッシュDNSサーバー）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-edns-options.html

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2018-5745）- バージョンアップを推奨 -
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-managed-keys.html

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（アクセス制限の不具合によるゾーンデータの流出）について（CVE-2019-6465）- バージョンアップを推奨 -
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-dlz.html

Japan Vulnerability Notes JVNVU#92881878
ISC BIND 9 に複数の脆弱性
https://jvn.jp/vu/JVNVU92881878/

関連文書 (英語)
ISC Knowledge Base
CVE-2018-5744: A specially crafted packet can cause named to leak memory
https://kb.isc.org/docs/cve-2018-5744

ISC Knowledge Base
CVE-2018-5745: An assertion failure can occur if a trust anchor rolls over to an unsupported key algorithm when using managed-keys
https://kb.isc.org/docs/cve-2018-5745

ISC Knowledge Base
CVE-2019-6465: Zone transfer controls for writable DLZ zones were not effective
https://kb.isc.org/docs/cve-2019-6465

【3】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/20/Cisco-Releases-Security-Updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が権
限昇格などを行う可能性があります。

影響度 High の脆弱性情報の対象となる製品およびバージョンは次のとおりで
す。

- Cisco Container Platform
- Cisco Cloudlock
- Cisco Defense Orchestrator
- Cisco Prime Infrastructure Software 2.2 から 3.4.0 までのバージョン
- Cisco Prime Collaboration Assurance (PCA) Software 12.1 SP2 より前のバージョン
- Cisco Network Convergence System 1000 シリーズ向けの Cisco IOS XR 6.5.2 より前のバージョン
- Cisco HyperFlex Software 3.5(2a) より前のバージョン

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。なお、2019年2月26日現在、Cisco Container Platform、
Cisco Cloudlock および Cisco Defense Orchestrator 向けの解決策は提供さ
れていません。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Container Privilege Escalation Vulnerability Affecting Cisco Products: February 2019
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190215-runc

Cisco Security Advisory
Cisco Prime Infrastructure Certificate Validation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-prime-validation

Cisco Security Advisory
Cisco Prime Collaboration Assurance Software Unauthenticated Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-pca-access

Cisco Security Advisory
Cisco Network Convergence System 1000 Series TFTP Directory Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-ncs

Cisco Security Advisory
Cisco HyperFlex Software Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-hyperflex-injection

Cisco Security Advisory
Cisco HyperFlex Software Unauthenticated Root Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-chn-root-access

【4】Adobe Acrobat および Reader に情報漏えいの脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/21/Adobe-Releases-Security-Updates

概要
Adobe Acrobat および Reader には、情報漏えいの脆弱性があります。結果と
して、遠隔の第三者が機微な情報を取得する可能性があります。

対象となるバージョンは次のとおりです。

- Adobe Acrobat Reader DC Continuous (2019.010.20091) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30120) およびそれ以前 (Windows)
- Adobe Acrobat Reader DC Classic 2015 (2015.006.30475) およびそれ以前 (Windows)
- Adobe Acrobat DC Continuous (2019.010.20091) およびそれ以前 (Windows, macOS)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30120) およびそれ以前 (Windows)
- Adobe Acrobat DC Classic 2015 (2015.006.30475) およびそれ以前 (Windows)

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB19-13) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190008.html

アドビシステムズ株式会社
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-13
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-13.html

【5】azure-umqtt-c にサービス運用妨害 (DoS) の脆弱性

情報源
Japan Vulnerability Notes JVN#05875753
azure-umqtt-c におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN05875753/

概要
azure-umqtt-c には、サービス運用妨害 (DoS) の脆弱性があります。結果と
して、遠隔の第三者が、本脆弱性の影響を受ける azure-umqtt-c を使用した
ソフトウエアに細工したメッセージを送信することで、サービス運用妨害
(DoS) 攻撃を行う可能性があります。

対象となるシステムは次のとおりです。

- 2017年10月06日より前に GitHub で公開されていた azure-umqtt-c のソース

この問題は、azure-umqtt-c を開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Github
Azure/azure-umqtt-c
https://github.com/Azure/azure-umqtt-c

投稿時刻 09:57 セキュリティ | 個別ページ | コメント (0)

ミニ・いんふぉめーしょん

ミニ情報、インターネット・リテラシ－、ｅｔｃ．

2019年5月15日 (水)

■05/05(日)～05/11(土) のセキュリティ関連情報

2019年5月 9日 (木)

■04/21(日)～05/04(土) のセキュリティ関連情報

2019年4月24日 (水)

■04/14(日)～04/20(土) のセキュリティ関連情報

2019年4月17日 (水)

■04/07(日)～04/13(土) のセキュリティ関連情報

2019年4月10日 (水)

■03/31(日)～04/06(土) のセキュリティ関連情報

2019年4月 3日 (水)

■03/24(日)～03/30(土) のセキュリティ関連情報

2019年3月27日 (水)

■03/10(日)～03/16(土) のセキュリティ関連情報

■03/17(日)～03/23(土) のセキュリティ関連情報

2019年3月 6日 (水)

■02/24(日)～03/02(土) のセキュリティ関連情報

2019年2月27日 (水)

■02/17(日)～02/23(土) のセキュリティ関連情報

最近の記事

カテゴリ

アーカイブ

カテゴリ

プロフィール

リンク