■02/10(日)~02/16(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の Mozilla 製品に脆弱性
【4】runc に権限昇格の脆弱性
【5】複数の VMware 製品に脆弱性
【6】Cisco Network Assurance Engine CLI に認証回避の脆弱性
【7】複数の Intel 製品に脆弱性
【8】V20 PRO L-01J にクラッシュが引き起こされる脆弱性
【今週のひとくちメモ】総務省および NICT IoT 機器の調査及び利用者への注意喚起を行う「NOTICE」を実施
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr190701.html
https://www.jpcert.or.jp/wr/2019/wr190701.xml
============================================================================
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases February 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/12/Microsoft-Releases-February-2019-Security-Updates
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- ChakraCore
- .NET Framework
- Microsoft Exchange Server
- Microsoft Visual Studio
- Azure IoT SDK
- Microsoft Dynamics
- Team Foundation Server
- Visual Studio Code
この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2019 年 2 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573
JPCERT/CC 注意喚起
2019年 2月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190006.html
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/12/Adobe-Releases-Security-Updates
Adobe
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1705
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Adobe Flash Player Desktop Runtime (32.0.0.114) およびそれ以前 (Windows, macOS および Linux)
- Adobe Flash Player for Google Chrome (32.0.0.114) およびそれ以前 (Windows, macOS, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.114) およびそれ以前 (Windows 10 および Windows 8.1)
- Adobe Acrobat Reader DC Continuous (2019.010.20069) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30113) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader DC Classic 2015 (2015.006.30464) およびそれ以前 (Windows, macOS)
- Adobe Acrobat DC Continuous (2019.010.20069) およびそれ以前 (Windows, macOS)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30113) およびそれ以前 (Windows, macOS)
- Adobe Acrobat DC Classic 2015 (2015.006.30464) およびそれ以前 (Windows, macOS)
- Adobe ColdFusion 2018 Update 1 およびそれ以前
- Adobe ColdFusion 2016 Update 7 およびそれ以前
- Adobe ColdFusion 11 Update 15 およびそれ以前
- Adobe Creative Cloud デスクトップアプリケーション (インストーラ) 4.7.0.400 およびそれ以前 (Windows)
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB19-07) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190004.html
JPCERT/CC 注意喚起
Adobe Flash Player の脆弱性 (APSB19-06) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190005.html
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019021301.html
Adobe
Flash Player に関するセキュリティアップデート公開 | APSB19-06
https://helpx.adobe.com/jp/security/products/flash-player/apsb19-06.html
Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-07
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-07.html
Adobe
ColdFusion に関するセキュリティアップデート公開 | APSB19-10
https://helpx.adobe.com/jp/security/products/coldfusion/apsb19-10.html
Adobe
Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB19-11
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb19-11.html
Japan Vulnerability Notes JVN#50810870
Creative Cloud Desktop Application のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN50810870/
【3】複数の Mozilla 製品に脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/02/12/Mozilla-Releases-Security-Updates-Firefox
US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/02/14/Mozilla-Releases-Security-Update-Thunderbird
概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 65.0.1 より前のバージョン
- Mozilla Firefox ESR 60.5.1 より前のバージョン
- Mozilla Thunderbird 60.5.1 より前のバージョン
この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。
関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Firefox 65.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-04/
Mozilla
Security vulnerabilities fixed in Firefox ESR 60.5.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-05/
Mozilla
Security vulnerabilities fixed in Thunderbird 60.5.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-06/
【4】runc に権限昇格の脆弱性
情報源
US-CERT Current Activity
runc Open-Source Container Vulnerability
https://www.us-cert.gov/ncas/current-activity/2019/02/11/runc-Open-Source-Container-Vulnerability
概要
Docker コンテナ等で使用される runc には、権限昇格の脆弱性があります。
結果として、第三者が、コンテナを起動しているホスト上の runc を上書きし、
root 権限で任意のコマンドを実行する可能性があります。
各ディストリビューションにおける対象バージョンは次のとおりです。
- Ubuntu : runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1 より前のバージョン
- Debian : runc 0.1.1+dfsg1-2 より前のバージョン
- RedHat Enterprise Linux : docker 1.13.1-91.git07f3374.el7 より前のバージョン
- Amazon Linux : docker 18.06.1ce-7.25.amzn1.x86_64 より前のバージョン
- Docker : docker 18.09.2 より前のバージョン
※上記以外の runc を使用するコンテナサービスも該当する可能性があります。
脆弱性の影響については、利用しているコンテナサービスの提供元の情報をご
確認ください。
この問題は、該当する製品を修正済みのバージョンに更新することで解決しま
す。詳細は、各ディストリビュータが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
runc の権限昇格の脆弱性 (CVE-2019-5736) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190007.html
関連文書 (英語)
MITRE
CVE-2019-5736
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736
Openwall
CVE-2019-5736: runc container breakout (all versions)
https://www.openwall.com/lists/oss-security/2019/02/11/2
Github (Docker)
docker/docker-ce Release
https://github.com/docker/docker-ce/releases/tag/v18.09.2
AWS
Container Security Issue (CVE-2019-5736)
https://aws.amazon.com/jp/security/security-bulletins/AWS-2019-002/
Github (Azure)
AKS 2019-02-12 - Hotfix Release
https://github.com/Azure/AKS/releases/tag/2019-02-12
Kubernetes
Runc and CVE-2019-5736
https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/
Ubuntu
CVE-2019-5736 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-5736.html
Redhat
runc - Malicious container escape - CVE-2019-5736
https://access.redhat.com/security/vulnerabilities/runcescape
【5】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/15/VMware-Releases-Security-Updates
概要
複数の VMware 製品には、脆弱性があります。結果として、第三者が、コンテ
ナを起動しているホスト上の runc を上書きし、root 権限で任意のコマンド
を実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- VMware Integrated OpenStack with Kubernetes (VIO-K) 5.x 系のバージョン
- VMware PKS (PKS) 1.2.x 系および 1.3.x 系のバージョン
- VMware vCloud Director Container Service Extension (CSE) 1.x 系のバージョン
- vSphere Integrated Containers (VIC) 1.x 系のバージョン
この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。なお、2019年2月20日現在、
VIO-K 向けのパッチはまだ提供されていません。詳細は、VMware が提供する情
報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2019-0001.2
https://www.vmware.com/security/advisories/VMSA-2019-0001.html
【6】Cisco Network Assurance Engine CLI に認証回避の脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/02/12/Cisco-Releases-Security-Update
概要
Cisco Network Assurance Engine CLI には、認証回避の脆弱性があります。
結果として、第三者が、情報を窃取したり、サービス運用妨害 (DoS) 攻撃を
行ったりするなどの可能性があります。
対象となるバージョンは次のとおりです。
- Cisco Network Assurance Engine (NAE) Release 3.0(1)
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Network Assurance Engine CLI Access with Default Password Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190212-nae-dos
【7】複数の Intel 製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#99119322
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU99119322/
概要
Intel 製品には、複数の脆弱性があります。結果として、遠隔の第三者が権限
を昇格するなどの可能性があります。
対象となる製品は次のとおりです。
- Intel PROSet Wireless Driver
- Intel USB 3.0 eXtensible Host Controller Driver for Microsoft Windows 7
- Intel Unite
- Intel Data Center Manager SDK
- Intel OpenVINO 2018 for Linux
この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新
することで解決します。詳細は、Intel が提供する情報を参照してください。
関連文書 (英語)
Intel
INTEL-SA-00169 - Intel PROSet Wireless Driver Denial of Service Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00169.html
Intel
INTEL-SA-00200 - Intel USB 3.0 eXtensible Host Controller Driver Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00200.html
Intel
INTEL-SA-00214 - Intel Unite Privilege Escalation Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00214.html
Intel
INTEL-SA-00215 - Intel Data Center Manager SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00215.html
Intel
INTEL-SA-00222 - Intel OpenVINO 2018 for Linux Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00222.html
【8】V20 PRO L-01J にクラッシュが引き起こされる脆弱性
情報源
Japan Vulnerability Notes JVN#40439414
V20 PRO L-01J においてクラッシュが引き起こされる脆弱性
https://jvn.jp/jp/JVN40439414/
概要
株式会社NTTドコモが提供する Android スマートフォン端末 V20 PRO L-01J
には、Wi-Fi CERTIFIED Passpoint を利用した接続処理に不備があります。結
果として、Passpoint を有効にしている当該製品がクラッシュする可能性があ
ります。
対象となる製品およびバージョンは次のとおりです。
- V20 PRO L-01J ソフトウェアバージョン L01J20c および L01J20d
この問題は、該当する製品を株式会社NTTドコモが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社NTTドコモが提供する情報を
参照してください。
関連文書 (日本語)
株式会社NTTドコモ
V20 PRO L-01Jの製品アップデート情報
https://www.nttdocomo.co.jp/support/utilization/product_update/list/l01j/
