ミニ・いんふぉめーしょん: セキュリティ

セキュリティ

2020年9月25日 (金)

■09/13(日)～09/19(土) のセキュリティ関連情報

【1】Microsoft Windows Netlogon Remote Protocol (MS-NRPC) に権限昇格の脆弱性
【2】Adobe Media Encoder に複数の脆弱性
【3】Drupal に複数の脆弱性
【4】複数の Apple 製品に脆弱性
【5】複数の VMware 製品に脆弱性
【6】Samba に Netlogon に起因する脆弱性
【7】IPTV ビデオエンコーダー製品に複数の脆弱性
【8】Android アプリ「ユニクロアプリ」にアクセス制限不備の脆弱性
【今週のひとくちメモ】「フィッシング対策セミナー 2020 (オンライン)」開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr203701.html
https://www.jpcert.or.jp/wr/2020/wr203701.xml
============================================================================

【1】Microsoft Windows Netlogon Remote Protocol (MS-NRPC) に権限昇格の脆弱性

情報源
CISA Current Activity
Exploit for Netlogon Remote Protocol Vulnerability, CVE-2020-1472
https://us-cert.cisa.gov/ncas/current-activity/2020/09/14/exploit-netlogon-remote-protocol-vulnerability-cve-2020-1472

CISA Current Activity
CISA Releases Emergency Directive on Microsoft Windows Netlogon Remote Protocol
https://us-cert.cisa.gov/ncas/current-activity/2020/09/18/cisa-releases-emergency-directive-microsoft-windows-netlogon

CERT/CC Vulnerability Note VU#490028
Microsoft Windows Netlogon Remote Protocol (MS-NRPC) uses insecure AES-CFB8 initialization vector
https://www.kb.cert.org/vuls/id/490028

概要
Microsoft Windows Netlogon Remote Protocol (MS-NRPC) には、権限昇格の
脆弱性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS)
攻撃を行ったり、ドメイン管理者権限を取得したりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)

本脆弱性は Windows 以外の製品においても実装されている Netlogon プロト
コルに関する修正であることから、Windows 以外の製品の Netlogon 実装への
互換性を考慮し、Microsoft は本脆弱性への対処を 2段階に分けて実施する予
定とのことです。

本脆弱性の影響を受ける製品を利用している場合、2020年8月に提供されてい
る更新プログラムの適用に加えて、ドメインコントローラーに接続する Windows
以外の製品の互換性の確認や設定変更などの対応が必要になる場合があります。
詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
CVE-2020-1472 | Netlogon の特権の昇格の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1472

マイクロソフト株式会社
CVE-2020-1472 に関連する Netlogon セキュアチャネル接続の変更を管理する方法
https://support.microsoft.com/ja-JP/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

JPCERT/CC CyberNewsFlash
Netlogon の特権の昇格の脆弱性 (CVE-2020-1472) への早急な対応を
https://www.jpcert.or.jp/newsflash/2020091601.html

Japan Vulnerability Notes JVNVU#95778184
Microsoft Windows Netlogon Remote Protocol (MS-NRPC) に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU95778184/

【2】Adobe Media Encoder に複数の脆弱性

情報源
CISA Current Activity
Adobe Releases Security Update for Media Encoder
https://us-cert.cisa.gov/ncas/current-activity/2020/09/16/adobe-releases-security-update-media-encoder

概要
Adobe Media Encoder には、複数の脆弱性があります。結果として、遠隔の第
三者が情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- Adobe Media Encoder 14.3.2 およびそれ以前 (Windows)

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
Adobe
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB20-57
https://helpx.adobe.com/jp/security/products/media-encoder/apsb20-57.html

【3】Drupal に複数の脆弱性

情報源
CISA Current Activity
Drupal Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/09/17/drupal-releases-security-updates

概要
Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザのブラウザ上で任意のスクリプトを実行したり、情報を窃取したりするなど
の可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.0.6 より前の 9.0 系のバージョン
- Drupal 8.9.6 より前の 8.9 系のバージョン
- Drupal 8.8.10 より前の 8.8 系のバージョン
- Drupal 7.73 より前の 7 系のバージョン

なお、Drupal 8.8 系より前の 8 系のバージョンは、サポートが終了しており、
今回のセキュリティに関する情報は提供されていません。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross-site scripting - SA-CORE-2020-007
https://www.drupal.org/sa-core-2020-007

Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2020-008
https://www.drupal.org/sa-core-2020-008

Drupal
Drupal core - Critical - Cross-site scripting - SA-CORE-2020-009
https://www.drupal.org/sa-core-2020-009

Drupal
Drupal core - Moderately critical - Cross-site scripting - SA-CORE-2020-010
https://www.drupal.org/sa-core-2020-010

Drupal
Drupal core - Moderately critical - Information disclosure - SA-CORE-2020-011
https://www.drupal.org/sa-core-2020-011

【4】複数の Apple 製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/09/17/apple-releases-security-updates

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Safari 14.0 より前のバージョン
- tvOS 14.0 より前のバージョン
- watchOS 7.0 より前のバージョン
- iOS 14.0 より前のバージョン
- iPadOS 14.0 より前のバージョン
- Xcode 12.0 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92546061
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92546061/

Apple
Safari 14.0 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211845

Apple
tvOS 14.0 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211843

Apple
watchOS 7.0 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211844

Apple
iOS 14.0 および iPadOS 14.0 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211850

Apple
Xcode 12.0 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211848

【5】複数の VMware 製品に脆弱性

情報源
VMware Security Advisories
VMSA-2020-0020
https://www.vmware.com/security/advisories/VMSA-2020-0020.html

概要
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
サービス運用妨害 (DoS) 攻撃を行ったり、権限昇格を行ったりするなどの可
能性があります。

対象となる製品は次のとおりです。

- VMware Workstation Pro / Player (Workstation)
- VMware Fusion Pro / Fusion (Fusion)
- VMware Horizon Client for Windows

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。

【6】Samba に Netlogon に起因する脆弱性

情報源
CISA Current Activity
Samba Releases Security Update for CVE-2020-1472
https://us-cert.cisa.gov/ncas/current-activity/2020/09/21/samba-releases-security-update-cve-2020-1472

概要
Samba には、Netlogon に起因する脆弱性があります。結果として、遠隔の第
三者がドメイン管理者権限を取得する可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.12.7 より前の 4.12 系のバージョン
- Samba 4.11.13 より前の 4.11 系のバージョン
- Samba 4.10.18 より前の 4.10 系のバージョン

なお、既にサポートが終了している Samba 4.9 系およびそれ以前のバージョン
も影響を受ける可能性があるとのことです。

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新することで解決します。詳細は、The Samba Team が提供する情報を参照し
てください。

関連文書 (英語)
The Samba Team
Unauthenticated domain takeover via netlogon ("ZeroLogon")
https://www.samba.org/samba/security/CVE-2020-1472.html

【7】IPTV ビデオエンコーダー製品に複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#896979
IPTV encoder devices contain multiple vulnerabilities
https://www.kb.cert.org/vuls/id/896979#

概要
IPTV ビデオエンコーダー製品には、複数の脆弱性があります。結果として、
遠隔の第三者が、任意のファイルを読み出したり、許可されていないファイル
アップロードを実行したりするなどの可能性があります。

対象となる製品は次のとおりです。

- IPTV/H.264/H.265 (Video Over IP) エンコーダー製品

2020年9月24日現在、この問題に対するアップデートは提供されていません。
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

- ファイアウォールを設置したり、保護された LAN 内に配置したりすることで、該当デバイスへのインターネットアクセスを制限する

詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Note JVNVU#90624081
HiSilicon 社製 hi3520d を利用したビデオエンコーダー製品に複数の脆弱性
https://jvn.jp/vu/JVNVU90624081/

関連文書 (英語)
Alexei Kojenov
Backdoors and other vulnerabilities in HiSilicon based hardware video encoders
https://kojenov.com/2020-09-15-hisilicon-encoder-vulnerabilities/

【8】Android アプリ「ユニクロアプリ」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Note JVN#31864411
Android アプリ「ユニクロアプリ」における複数のアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN31864411/

概要
株式会社ユニクロが提供する Android アプリ「ユニクロアプリ」には、アク
セス制限不備の脆弱性があります。結果として、遠隔の第三者が、当該製品を
経由し任意の Web サイトにアクセスする可能性があります。

対象となるバージョンは次のとおりです。

- Android アプリ「ユニクロアプリ」バージョン 7.3.3 およびそれ以前

この問題は、該当する製品を株式会社ユニクロが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社ユニクロが提供する情報を参
照してください。

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「フィッシング対策セミナー 2020 (オンライン)」開催のお知らせ

フィッシング対策協議会は、増加が続くフィッシング詐欺の対策として、特に
事業者側の効果的な対策促進を目的とした「フィッシング対策セミナー 2020
（オンライン）」を開催します。本セミナーでは、フィッシング詐欺に関連す
る法執行機関、金融機関、学術機関、セキュリティ対策事業者から有識者を招
き、フィッシングの最新の傾向とその対応策などを紹介します。

開催日程：2020年11月6日 (金) 10:00 - 15:15 (受付開始は9:30から)

また、参加費は無料ですが、事前に参加申込みが必要となります。申込みの締
切は 2020年10月29日 (木) 17:00 までです。満席になり次第、受付終了とさ
せていただきますので、ご了承ください。詳細は、フィッシング対策協議会が
提供する情報を参照してください。

参考文献 (日本語)
フィッシング対策協議会
フィッシング対策セミナー 2020（オンライン）開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2020.html

フィッシング対策協議会
フィッシング対策セミナー 2020（オンライン）　お申込みフォーム
https://formserver.jpcert.or.jp/index.php/377574?lang=ja

投稿時刻 10:59 セキュリティ | 個別ページ | コメント (0)

2020年9月16日 (水)

■09/06(日)～09/12(土) のセキュリティ関連情報

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の Intel 製品に脆弱性
【4】Google Chrome に複数の脆弱性
【5】Android アプリ「ヨドバシ」にアクセス制限不備の脆弱性
【6】OpenSSL に暗号通信を解読可能な脆弱性
【7】AirStation WHR-G54S に複数の脆弱性
【8】CTKD を用いる Bluetooth BR/EDR および BLE 端末において鍵情報が上書きされる問題
【今週のひとくちメモ】日本シーサート協議会が「新型ウイルス感染リスク禍におけるCSIRT活動で考慮すべきこと」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr203601.html
https://www.jpcert.or.jp/wr/2020/wr203601.xml
============================================================================

【1】複数の Microsoft 製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases September 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/09/08/microsoft-releases-september-2020-security-updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- Microsoft ChakraCore
- Internet Explorer
- SQL Server
- Microsoft Jet データベースエンジン
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Dynamics
- Visual Studio
- Microsoft Exchange Server
- ASP.NET
- Microsoft OneDrive
- Azure DevOps

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2020 年 9 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Sep

JPCERT/CC 注意喚起
2020年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200036.html

【2】複数の Adobe 製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/09/08/adobe-releases-security-updates

概要
複数の Adobe 製品には脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe InDesign
- Adobe FrameMaker
- Adobe Experience Manager
- AEM Forms アドオン

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020090902.html

Adobe
Adobe InDesign に関するセキュリティアップデート公開 | APSB20-52
https://helpx.adobe.com/jp/security/products/indesign/apsb20-52.html

Adobe
Adobe FrameMaker に関するセキュリティアップデート公開 | APSB20-54
https://helpx.adobe.com/jp/security/products/framemaker/apsb20-54.html

Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-56
https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-56.html

【3】複数の Intel 製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#98381439
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98381439

JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020090901.html

概要
Intel から複数の製品に含まれる脆弱性に対応した Intel Product Security
Center Advisories が公開されました。

詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【4】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/09/08/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 85.0.4183.102 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop.html

【5】Android アプリ「ヨドバシ」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#32396594
Android アプリ「ヨドバシ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN32396594

概要
株式会社ヨドバシカメラが提供する Android アプリ「ヨドバシ」には、アク
セス制限不備の脆弱性があります。結果として、遠隔の第三者が当該製品を経
由し任意の Web サイトへアクセスする可能性があります。

対象となるバージョンは次のとおりです。

- Android アプリ「ヨドバシ」バージョン 1.8.7 およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Google Play
ヨドバシ
https://play.google.com/store/apps/details?id=com.yodobashi.iShop

【6】OpenSSL に暗号通信を解読可能な脆弱性

情報源
Japan Vulnerability Notes JVNVU#91973538
OpenSSL における暗号通信を解読可能な脆弱性 (Raccoon Attack)
https://jvn.jp/vu/JVNVU91973538

概要
OpenSSL には、暗号通信を解読可能な脆弱性があります。結果として、遠隔の
第三者が中間者攻撃 (Man-in-the-Middle 攻撃) によって、暗号通信の盗聴を
行う可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.0.2w より前の OpenSSL 1.0.2 系のバージョン

なお、開発者によると、OpenSSL 1.1.1 は本脆弱性の影響を受けないとのこと
です。
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [09 September 2020]
https://www.openssl.org/news/secadv/20200909.txt

【7】AirStation WHR-G54S に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#09166495
AirStation WHR-G54S における複数の脆弱性
https://jvn.jp/jp/JVN09166495

概要
AirStation WHR-G54S には複数の脆弱性があります。結果として、遠隔の第三
者が、ログインしているユーザのブラウザ上で任意のスクリプトを実行するな
どの可能性があります。

対象となるバージョンは次のとおりです。

- WHR-G54S ファームウェア 1.43 およびそれ以前

なお、開発者によると、当該製品はすでにサポートが終了しているとのことで
す。
恒久的な対策として、代替製品の使用を検討してください。代替製品について
は開発者が提供する情報を参考にしてください。

関連文書 (日本語)
株式会社バッファロー
WHR-G54Sにおける複数の脆弱性について
https://www.buffalo.jp/news/detail/20200911-01.html

【8】CTKD を用いる Bluetooth BR/EDR および BLE 端末において鍵情報が上書きされる問題

情報源
Japan Vulnerability Notes JVNVU#95246155
CTKD を用いる Bluetooth BR/EDR および BLE 端末において鍵情報が上書きされる問題
https://jvn.jp/vu/JVNVU95246155

概要
Bluetooth BR/EDR および BLE のペアリング処理にて Cross-Transport Key
Derivation (CTKD) を用いている場合、鍵情報を上書される問題があります。
結果として、遠隔の第三者が中間者攻撃 (Man-in-the-Middle 攻撃) によって
機器内に保持している LTK や LK を改ざんし、認証されていない鍵や、より
強度の低い鍵の使用を強制する可能性があります。

対象となる機器は次のとおりです。

- Bluetooth Core Specification 4.0 および 5.0 に基づいて CTKD を実装しているBluetooth 機器

この問題は、各機器のベンダから提供される最新のファームウェアへアップデー
トするなどの対応を実施してください。詳細は、ベンダが提供する情報を参照
してください。

関連文書 (英語)
CERT/CC
Devices supporting Bluetooth BR/EDR and LE using CTKD are vulnerable to key overwrite
https://kb.cert.org/vuls/id/589825

Bluetooth SIG
Bluetooth SIG Statement Regarding the Exploiting Cross-Transport Key Derivation in Bluetooth Classic and Bluetooth Low Energy Vulnerability (BLURtooth)
https://www.bluetooth.com/learn-about-bluetooth/bluetooth-technology/bluetooth-security/blurtooth/

投稿時刻 10:16 セキュリティ | 個別ページ | コメント (0)

2020年9月 9日 (水)

■08/30(日)～09/05(土) のセキュリティ関連情報

【1】複数の Cisco 製品に脆弱性
【2】「攻撃遮断くんサーバセキュリティタイプ」にサービス運用妨害 (DoS) の脆弱性
【3】CLUSTERPRO X および EXPRESSCLUSTER X に XML 外部実体参照 (XXE) に関する脆弱性
【4】Trend Micro Deep Security および Virtual Patch for Endpoint に複数の脆弱性
【今週のひとくちメモ】IPA が「情報セキュリティ白書2020」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr203501.html
https://www.jpcert.or.jp/wr/2020/wr203501.xml
============================================================================

【1】複数の Cisco 製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/09/03/cisco-releases-security-updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

影響度 Critical または High の脆弱性情報に記載されている製品は次のとお
りです。

- Cisco Jabber for Windows
- Cisco Enterprise NFV Infrastructure Software (NFVIS)
- Cisco IOS XR Software が稼働する次の製品
- ASR 9000 Series Aggregation Services Routers (32-bit and 64-bit models)
- 8000 Series Routers
- IOS XRv 9000 Router
- IOS XR, SW only
- Network Convergence System 540 Routers
- Network Convergence System 560 Routers
- Network Convergence System 1000 Series
- Network Convergence System 4000 Series
- Network Convergence System 5000 Series
- Network Convergence System 5500 Series
- Network Convergence System 6000 Series Routers

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Jabber for Windows Message Handling Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-UyTKCPGg

Cisco Security Advisory
Cisco Enterprise NFV Infrastructure Software File Overwrite Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nfvis-file-overwrite-UONzPMkr

Cisco Security Advisory
Cisco Jabber for Windows Protocol Handler Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-vY8M4KGB

Cisco Security Advisory
Cisco IOS XR Authenticated User Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-cli-privescl-sDVEmhqv

Cisco Security Advisory
Cisco IOS XR Software Authenticated User Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-LJtNFjeN

【2】「攻撃遮断くんサーバセキュリティタイプ」にサービス運用妨害 (DoS) の脆弱性

情報源
Japan Vulnerability Notes JVN#42665874
「攻撃遮断くんサーバセキュリティタイプ」におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN42665874/

概要
株式会社サイバーセキュリティクラウドが提供する「攻撃遮断くんサーバセ
キュリティタイプ」には、サービス運用妨害 (DoS) の脆弱性があります。結
果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があり
ます。

対象となるバージョンは次のとおりです。

- 「攻撃遮断くんサーバセキュリティタイプ」（通常遮断方式を除く） Ver.1.5.3 およびそれ以前

この問題は、当該製品の内部で使用されているスクリプトファイルを、修正済
みのスクリプトファイルに置き換えることで解決します。詳細は、開発者が提
供する情報を参照してください。

関連文書 (日本語)
株式会社サイバーセキュリティクラウド
【重要】攻撃遮断くんサーバセキュリティタイプの一部遮断方式におけるDoS（サービス妨害）の脆弱性に関する注意喚起（CVE-2020-5622）
https://www.shadan-kun.com/news/20200831/

【3】CLUSTERPRO X および EXPRESSCLUSTER X に XML 外部実体参照 (XXE) に関する脆弱性

情報源
Japan Vulnerability Notes JVN#06446084
CLUSTERPRO X および EXPRESSCLUSTER X における XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/jp/JVN06446084/

概要
日本電気株式会社が提供する CLUSTERPRO X および EXPRESSCLUSTER X には、
XML 外部実体参照 (XXE) に関する脆弱性があります。結果として、遠隔の第
三者が、細工した XML ファイルを当該製品に読み込ませることにより、サー
バ上の任意のファイルを読み取る可能性があります。

対象となる製品およびバージョンは次のとおりです。

- CLUSTERPRO X 4.2 for Windows およびそれ以前
- EXPRESSCLUSTER X 4.2 for Windows およびそれ以前

関連文書 (日本語)
日本電気株式会社
CLUSTERPRO X 4.1/X 4.2 for Windows アップデートモジュール (CPRO-XWA40-08)
https://www.support.nec.co.jp/View.aspx?id=9010109202

関連文書 (英語)
日本電気株式会社
EXPRESSCLUSTER X 4.1/X 4.2 for Windows update module (CPRO-XWA40-08E)
https://www.support.nec.co.jp/en/View.aspx?id=9510100319

【4】Trend Micro Deep Security および Virtual Patch for Endpoint に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90813748
Trend Micro Deep Security および Virtual Patch for Endpoint に複数の脆弱性
https://jvn.jp/vu/JVNVU90813748/

概要
トレンドマイクロ株式会社が提供する Trend Micro Deep Security および
Trend Micro Virtual Patch for Endpoint には、複数の脆弱性があります。
結果として、管理者権限を持つ遠隔の第三者が、任意のコードを実行するなど
の可能性があります。

対象となるバージョンは次のとおりです。

- Deep Security Manager 10.0、11.0、12.0
- Virtual Patch Manager 2.0

この問題は、該当する製品に開発者が提供する修正パッチを適用することで解
決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Deep Security および Trend Micro Virtual Patch for Endpoint における整合性検証(CVE-2020-8602)および LDAP認証(CVE-2020-15601)に関する脆弱性について
https://success.trendmicro.com/jp/solution/000261933

○IPA が「情報セキュリティ白書2020」を公開

2020年9月3日、情報処理推進機構(IPA) は「情報セキュリティ白書2020」を公
開しました。本白書は、情報セキュリティに関する国内外の政策や脅威の動向、
インシデントの発生状況、被害実態など定番トピックの他、毎年タイムリーな
トピックを新たに取り上げています。

参考文献 (日本語)
情報処理推進機構(IPA)
情報セキュリティ白書2020
https://www.ipa.go.jp/security/publications/hakusyo/2020.html

投稿時刻 12:49 セキュリティ | 個別ページ | コメント (0)

2020年9月 2日 (水)

■08/23(日)～08/29(土) のセキュリティ関連情報

【1】複数の Cisco 製品に脆弱性
【2】複数の Mozilla 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】InterScan Web Security シリーズ製品に複数の脆弱性
【5】スマートフォンアプリ「ニトリアプリ」にアクセス制限不備の脆弱性
【6】XOOPS 用モジュール XooNIps に複数の脆弱性
【7】複数の NETGEAR 製スイッチングハブにクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】「2020年4月から8月を振り返って」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr203401.html
https://www.jpcert.or.jp/wr/2020/wr203401.xml
============================================================================

【1】複数の Cisco 製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/08/27/cisco-releases-security-updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
などの可能性があります。

影響度 High の脆弱性情報に記載されている製品は次のとおりです。

- マルチキャストルーティングを設定している Cisco IOS XR で稼働している Cisco 製品
- Firepower 4100 Series
- Firepower 9300 Security Appliances
- MDS 9000 Series Multilayer Switches
- Nexus 3000 Series Switches
- Nexus 3600 Platform Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- standalone NX-OS mode で稼働している Nexus 9000 Series Switches
- Nexus 9500 R-Series Switching Platform
- UCS 6200 Series Fabric Interconnects
- UCS 6300 Series Fabric Interconnects
- UCS 6400 Series Fabric Interconnects

関連文書 (英語)
Cisco Security Advisory
Cisco NX-OS Software Border Gateway Protocol Multicast VPN Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxosbgp-nlri-dos-458rG2OQ

Cisco Security Advisory
Cisco NX-OS Software Border Gateway Protocol Multicast VPN Session Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxosbgp-mvpn-dos-K8kbCrJp

Cisco Security Advisory
Cisco Nexus 3000 and 9000 Series Switches Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n3n9k-priv-escal-3QhXJBC

Cisco Security Advisory
Cisco NX-OS Software Data Management Engine Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-dme-rce-cbE3nhZS

Cisco Security Advisory
Cisco FXOS and NX-OS Software Cisco Fabric Services Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fxos-nxos-cfs-dos-dAmnymbd

Cisco Security Advisory
Cisco NX-OS Software Call Home Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-callhome-cmdinj-zkxzSCY

Cisco Security Advisory
Cisco NX-OS Software IPv6 Protocol Independent Multicast Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-pim-memleak-dos-tC8eP7uw

Cisco Security Advisory
Cisco IOS XR Software DVMRP Memory Exhaustion Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-dvmrp-memexh-dSmpdvfz

【2】複数の Mozilla 製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/08/26/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数の Mozilla 製品には、脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 80 より前のバージョン
- Mozilla Firefox ESR 68.12 より前のバージョン
- Mozilla Firefox ESR 78.2 より前のバージョン
- Thunderbird 68.12 より前のバージョン
- Thunderbird 78.2 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 80
https://www.mozilla.org/en-US/security/advisories/mfsa2020-36/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 68.12
https://www.mozilla.org/en-US/security/advisories/mfsa2020-37/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.2
https://www.mozilla.org/en-US/security/advisories/mfsa2020-38/

Mozilla
Security Vulnerabilities fixed in Thunderbird 68.12
https://www.mozilla.org/en-US/security/advisories/mfsa2020-40/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.2
https://www.mozilla.org/en-US/security/advisories/mfsa2020-41/

【3】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/08/26/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 85.0.4183.83 より前のバージョン

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop_25.html

【4】InterScan Web Security シリーズ製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#98542645
InterScan Web Security シリーズ製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98542645/

概要
トレンドマイクロ株式会社が提供する InterScan Web Security シリーズ製品
には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のスクリ
プトを実行したり、サーバ上のファイルを取得したり、改ざんしたりするなど
の可能性があります。

対象となる製品およびバージョンは次のとおりです。

- InterScan Web Security Virtual Appliance (IWSVA) 6.5
- InterScan Web Security Suite (IWSS) 6.5 Linux版

この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：InterScan Web Securityシリーズにおける管理画面関連サービスの脆弱性について
https://success.trendmicro.com/jp/solution/000253938

【5】スマートフォンアプリ「ニトリアプリ」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#77402327
スマートフォンアプリ「ニトリアプリ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN77402327/

概要
株式会社ニトリホールディングスが提供するスマートフォンアプリ「ニトリア
プリ」には、アクセス制限不備の脆弱性があります。遠隔の第三者によって、
当該製品を経由し任意のウェブサイトにアクセスさせられる可能性があります。

対象となるバージョンは次のとおりです。

- Android アプリ「ニトリアプリ」バージョン 6.0.4 およびそれ以前
- iOS アプリ「ニトリアプリ」バージョン 6.0.2 およびそれ以前

この問題は、該当する製品を株式会社ニトリホールディングスが提供する修正
済みのバージョンに更新することで解決します。詳細は、株式会社ニトリホー
ルディングスが提供する情報を参照してください。

【6】XOOPS 用モジュール XooNIps に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#40725650
XOOPS 用モジュール XooNIps における複数の脆弱性
https://jvn.jp/jp/JVN40725650/

概要
理化学研究所脳神経科学研究センター統合計算脳科学連携部門神経情報基
盤開発ユニットが提供する XOOPS 用モジュール XooNIps には、複数の脆弱性
があります。結果として、遠隔の第三者によって、データベース内の情報を取
得されたり、改ざんされたりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- XooNIps 3.48 およびそれ以前

関連文書 (日本語)
理化学研究所脳神経科学研究センター統合計算脳科学連携部門神経情報基盤開発ユニット
XooNIps 3.49 リリースのお知らせ
https://xoonips.osdn.jp/modules/news/index.php?page=article&storyid=12

【7】複数の NETGEAR 製スイッチングハブにクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#29903998
複数の NETGEAR 製スイッチングハブにクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN29903998/

概要
NETGEAR が提供する複数の製品には、クロスサイトリクエストフォージェリの
脆弱性があります。結果として、遠隔の第三者によって当該製品の設定を意図
せず変更される可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GS716Tv2 Firmware version 5.4.2.30 およびそれ以前
- GS724Tv3 Firmware version 5.4.2.30 およびそれ以前

この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。

関連文書 (日本語)
NETGEAR
GS716Tv2
https://www.jp.netgear.com/support/product/gs716tv2.aspx

NETGEAR
GS724Tv3
https://www.jp.netgear.com/support/product/gs724tv3.aspx

○「2020年4月から8月を振り返って」を公開

2020年8月24日、JPCERT/CC は「2020年4月から8月を振り返って」を公開しま
した。2020年4月以降に確認された、深刻且つ影響範囲の広い脆弱性情報や攻
撃情報についてまとめられています。新型コロナウイルス感染症（COVID-19）
の影響による出勤体制の変化やオフィスでの作業減少にともない、インシデン
トの発生に気づきにくい状況となっています。自組織のセキュリティ対策や対
応を今一度ご確認ください。

参考文献 (日本語)
JPCERT/CC CyberNewsFlash
2020年4月から8月を振り返って
https://www.jpcert.or.jp/newsflash/2020082401.html

投稿時刻 10:01 セキュリティ | 個別ページ | コメント (0)

2020年8月27日 (木)

■08/16(日)～08/22(土) のセキュリティ関連情報

【1】ISC BIND 9 に複数の脆弱性
【2】複数の Cisco 製品に脆弱性
【3】Google Chrome にバッファオーバーフローの脆弱性
【4】GitLab にアクセス制御の脆弱性
【5】Exment にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】IPA が「【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr203301.html
https://www.jpcert.or.jp/wr/2020/wr203301.xml
============================================================================

【1】ISC BIND 9 に複数の脆弱性

情報源
CISA Current Activity
ISC Releases Security Advisories for BIND
https://us-cert.cisa.gov/ncas/current-activity/2020/08/21/isc-releases-security-advisories-bind

概要
ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.16系 9.16.0 から 9.16.5 まで
- BIND 9.14系 9.14.0 から 9.14.12 まで
- BIND 9.11系 9.11.3 から 9.11.21 まで
- BIND 9 Supported Preview Edition 9.9.3-S1 から 9.11.21-S1 まで

※なお既にサポートが終了している BIND 9.10系以前や 9.12系、9.13系、
9.15系および開発版の 9.17系についても本脆弱性の影響を受けます。

この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200035.html

Japan Vulnerability Notes JVNVU#98069467
ISC BIND 9 に複数の脆弱性
https://jvn.jp/vu/JVNVU98069467/

関連文書 (英語)
ISC Knowledge Base
CVE-2020-8620: A specially crafted large TCP payload can trigger an assertion failure in tcpdns.c
https://kb.isc.org/docs/cve-2020-8620

ISC Knowledge Base
CVE-2020-8621: Attempting QNAME minimization after forwarding can lead to an assertion failure in resolver.c
https://kb.isc.org/docs/cve-2020-8621

ISC Knowledge Base
CVE-2020-8622: A truncated TSIG response can lead to an assertion failure
https://kb.isc.org/docs/cve-2020-8622

ISC Knowledge Base
CVE-2020-8623: A flaw in native PKCS#11 code can lead to a remotely triggerable assertion failure in pk11.c
https://kb.isc.org/docs/cve-2020-8623

ISC Knowledge Base
CVE-2020-8624: update-policy rules of type "subdomain" are enforced incorrectly
https://kb.isc.org/docs/cve-2020-8624

【2】複数の Cisco 製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/08/20/cisco-releases-security-updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

影響度 Critical および High の脆弱性情報に記載されている製品は次のとお
りです。

- Cisco ENCS 5400-W Series
- Cisco CSP 5000-W Series
- Cisco Video Surveillance 8000 Series IP Cameras
- Cisco Smart Software Manager On-Prem
- Cisco Smart Software Manager satellite

関連文書 (英語)
Cisco Security Advisory
Cisco vWAAS for Cisco ENCS 5400-W Series and CSP 5000-W Series Default Credentials Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-waas-encsw-cspw-cred-hZzL29A7

Cisco Security Advisory
Cisco Video Surveillance 8000 Series IP Cameras Cisco Discovery Protocol Remote Code Execution and Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipcameras-rce-dos-uPyJYxN3

Cisco Security Advisory
Cisco Smart Software Manager On-Prem Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smart-priv-esca-nqwxXWBu

【3】Google Chrome にバッファオーバーフローの脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/08/19/google-releases-security-updates-chrome

概要
Google Chrome には、バッファオーバーフローの脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 84.0.4147.135 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに更新することで解決
します。詳細は、Google が提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop_18.html

【4】GitLab にアクセス制御の脆弱性

情報源
GitLab
GitLab Critical Security Release: 13.2.6, 13.1.8, 13.0.14
https://about.gitlab.com/releases/2020/08/18/critical-security-release-gitlab-13-2-6-released/

概要
GitLab には、アクセス制御の脆弱性があります。結果として、許可されてい
ない第三者がリポジトリへアクセスする可能性があります。

対象となるバージョンは次のとおりです。

- GitLab EE 10.7 以降のバージョン

この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新
することで解決します。詳細は、GitLab が提供する情報を参照してください。

【5】Exment にクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#88315581
Exment における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN88315581/

概要
株式会社カジトリが提供する Exment には、クロスサイトスクリプティングの
脆弱性が存在します。結果として、遠隔の第三者がユーザのウェブブラウザ上
で、任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Exment v3.6.0 より前のバージョン

この問題は、該当する製品を株式会社カジトリが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社カジトリが提供する情報を参
照してください。

関連文書 (日本語)
株式会社カジトリ
脆弱性対応クロスサイトスクリプティング、ならびに画面入力でのスクリプト実行の方針について
https://exment.net/docs/#/ja/weakness/20200819

○IPA が「【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について」を公開

2020年8月20日、情報処理推進機構 (IPA) は、「事業継続を脅かす新たなラン
サムウェア攻撃について」と題して注意喚起およびレポートを公開しました。
企業や組織の事業継続に関わる近年における深刻な脅威として、「人手による
ランサムウェア攻撃」と「二重の脅迫」を挙げ、被害の事例や攻撃手口、推奨
される対策などについて解説しています。

参考文献 (日本語)
情報処理推進機構 (IPA)
【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について
https://www.ipa.go.jp/security/announce/2020-ransom.html

投稿時刻 10:03 セキュリティ | 個別ページ | コメント (0)

2020年8月19日 (水)

■08/09(日)～08/15(土) のセキュリティ関連情報

【1】複数の Microsoft 製品に脆弱性
【2】Apache HTTP Server に複数の脆弱性
【3】複数の Apple 製品に脆弱性
【4】Google Chrome に複数の脆弱性
【5】複数の Adobe 製品に脆弱性
【6】Citrix Endpoint Management (XenMobile) に複数の脆弱性
【7】CyberMail に複数の脆弱性
【8】Intel 製品に複数の脆弱性
【9】複数の SAP 製品に脆弱性
【10】Apache Struts 2 に複数の脆弱性
【今週のひとくちメモ】ZeroShellの脆弱性を標的としたアクセスの観測について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr203201.html
https://www.jpcert.or.jp/wr/2020/wr203201.xml
============================================================================

【1】複数の Microsoft 製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases August 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/microsoft-releases-august-2020-security-updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- Microsoft ChakraCore
- Internet Explorer
- Microsoft スクリプトエンジン
- SQL Server
- Microsoft Jet データベースエンジン
- .NET Framework
- ASP.NET Core
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Windows Codecs Library
- Microsoft Dynamics

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2020 年 8 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Aug

JPCERT/CC 注意喚起
2020年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200033.html

【2】Apache HTTP Server に複数の脆弱性

情報源
Apache Software Foundation
Fixed in Apache httpd 2.4.44
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.44

概要
Apache HTTP Server には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Server 2.4.44 より前のバージョン

この問題は、Apache HTTP Server を Apache Software Foundation が提供す
る修正済みのバージョンに更新することで解決します。詳細は、Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92184689
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92184689/

【3】複数の Apple 製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for iCloud for Windows
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/apple-releases-security-updates-icloud-windows

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となるバージョンは次のとおりです。

- iCloud for Windows 11.3 より前のバージョン
- iCloud for Windows 7.20 より前のバージョン

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95491800
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95491800/

Apple
Windows 用 iCloud 11.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211294

Apple
Windows 用 iCloud 7.20 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211295

【4】Google Chrome に複数の脆弱性

情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 84.0.4147.125 より前のバージョン

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop.html

【5】複数の Adobe 製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/adobe-releases-security-updates

概要
複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、機密情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Lightroom Classic 9.2.0.10 およびそれ以前
- Acrobat DC Continuous 2020.009.20074 およびそれ以前
- Acrobat Reader DC Continuous 2020.009.20074 およびそれ以前
- Acrobat 2020 Classic 2020 2020.001.30002
- Acrobat Reader 2020 Classic 2020 2020.001.30002
- Acrobat 2017 Classic 2017 2017.011.30171 およびそれ以前
- Acrobat Reader 2017 Classic 2017 2017.011.30171 およびそれ以前
- Acrobat 2015 Classic 2015 2015.006.30523 およびそれ以前
- Acrobat Reader 2015 Classic 2015 2015.006.30523 およびそれ以前

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Adobe Lightroom に関するアップデート (APSB20-51) について
https://www.jpcert.or.jp/newsflash/2020081201.html

JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB20-48) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200032.html

Adobe
Adobe Lightroom に関するセキュリティアップデート公開 | APSB20-51
https://helpx.adobe.com/jp/security/products/lightroom/apsb20-51.html

Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-48
https://helpx.adobe.com/jp/security/products/acrobat/apsb20-48.html

【6】Citrix Endpoint Management (XenMobile) に複数の脆弱性

情報源
JPCERT/CC CyberNewsFlash
Citrix Endpoint Management のセキュリティアップデートについて
https://www.jpcert.or.jp/newsflash/2020081202.html

概要
Citrix Endpoint Management (XenMobile) には、複数の脆弱性があります。

対象となる製品は次のとおりです。

- XenMobile Server

この問題は、Citrix が提供する修正済みのバージョンに更新することで解決
します。詳細は、Citrix が提供する情報を参照してください。

関連文書 (英語)
Citrix Systems, Inc.
Citrix Endpoint Management (CEM) Security Update
https://support.citrix.com/article/CTX277457

【7】CyberMail に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#46258789
CyberMail における複数の脆弱性
https://jvn.jp/jp/JVN46258789/

概要
サイバーソリューションズ株式会社が提供する CyberMail には、複数の脆弱
性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のス
クリプトを実行したり、任意のウェブサイトにリダイレクトしたりする可能性
があります。

対象となるバージョンは次のとおりです。

- CyberMail Ver.7 系
- CyberMail Ver.6 系

この問題は、サイバーソリューションズ株式会社が提供するパッチを適用する
ことで解決します。詳細は、サイバーソリューションズ株式会社が提供する情
報を参照してください。

【8】Intel 製品に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99606488
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU99606488/

JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020081301.html

概要
Intel から複数の製品に含まれる脆弱性に対応した Intel Product Security
Center Advisories が公開されました。

詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【9】複数の SAP 製品に脆弱性

情報源
CISA Current Activity
SAP Releases August 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/sap-releases-august-2020-security-updates

概要
複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該
製品を制御するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SAP NetWeaver AS JAVA (LM Configuration Wizard) バージョン 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver (Knowledge Management) バージョン 7.30, 7.31, 7.40, 7.50
- SAP Business Objects Business Intelligence Platform バージョン 4.2, 4.3
- SAP Banking Services (Generic Market Data) バージョン 400, 450, 500
- SAP NetWeaver (ABAP Server) and ABAP Platform バージョン 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755
- SAP NetWeaver AS JAVA ENGINEAPI バージョン 7.10
- SAP NetWeaver AS JAVA WSRM バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver AS JAVA J2EE-FRMW バージョン 7.10, 7.11
- SAP Adaptive Server Enterprise バージョン 16.0
- SAP Data Intelligence バージョン 3
- SAPUI5 (UISAPUI5_JAVA) バージョン 7.50
- SAPUI5 (SAP_UI) バージョン 750, 751, 752, 753, 754, 755
- SAPUI5 (UI_700) バージョン 200
- SAP Commerce バージョン 6.7, 1808, 1811, 1905, 2005
- SAP ERP (HCM Travel Management) バージョン 600, 602, 603, 604, 605, 606, 607, 608
- SAP Business Objects Business Intelligence Platform (Central Management Console) バージョン 4.2, 4.3
- SAP S/4 HANA (Fiori UI for General Ledger Accounting) バージョン 103, 104

この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。

関連文書 (英語)
SAP
SAP Security Patch Day - August 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345

【10】Apache Struts 2 に複数の脆弱性

情報源
CISA Current Activity
Apache Releases Security Advisory for Struts 2
https://us-cert.cisa.gov/ncas/current-activity/2020/08/14/apache-releases-security-advisory-struts-2

概要
Apache Struts 2 には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apache Struts 2 バージョン 2.0.0 から 2.5.20 まで

なお、既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2
系のバージョンも本影響を受けるとのことです。

この問題は、Apache Struts 2 を Apache Software Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は、Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200034.html

関連文書 (英語)
Apache Software Foundation
S2-059
https://cwiki.apache.org/confluence/display/WW/S2-059

Apache Software Foundation
S2-060
https://cwiki.apache.org/confluence/display/WW/S2-060

○ZeroShellの脆弱性を標的としたアクセスの観測について

2020年8月11日、警察庁は「ZeroShellの脆弱性を標的としたアクセスの観測に
ついて」と題したレポートを公開しました。2020年7月16日以降、ZeroShell
に存在する既知の脆弱性を標的としたアクセスが観測されています。この脆弱
性は、遠隔から任意のコマンド実行が可能となるものです。警察庁は、脆弱性
のあるバージョンを使用している場合は、開発元から公開されているバージョン
へのアップデートなどの対応を実施するよう呼び掛けています。

参考文献 (日本語)
警察庁
ZeroShellの脆弱性を標的としたアクセスの観測について
https://www.npa.go.jp/cyberpolice/detect/pdf/20200811.pdf

投稿時刻 10:01 セキュリティ | 個別ページ | コメント (0)

■08/02(日)～08/08(土) のセキュリティ関連情報

【1】複数の Cisco 製品に脆弱性
【2】SKYSEA Client View に権限昇格の脆弱性
【3】複数のトレンドマイクロ製品に脆弱性
【4】PHP に解放済みメモリ使用 (Use-after-free) の脆弱性
【5】Web Rehosting サービスにおいて複数ウェブサイトに跨ったコンテンツの改ざん・盗聴等が行われる問題
【6】制御システムセキュリティカンファレンス2021講演募集
【今週のひとくちメモ】JAIPA Cloud Conference 2020 開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr203101.html
https://www.jpcert.or.jp/wr/2020/wr203101.xml
============================================================================

【1】複数の Cisco 製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/08/06/cisco-releases-security-updates-multiple-products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能
性があります。

影響度 High の脆弱性情報に記載されている製品およびバージョンは次のとお
りです。

- Cisco 250 Series Smart Switches
- Cisco 350 Series Managed Switches
- Cisco 350X Series Stackable Managed Switches
- Cisco 550X Series Stackable Managed Switches
- Cisco Small Business 200 Series Smart Switches
- Cisco Small Business 300 Series Managed Switches
- Cisco Small Business 500 Series Stackable Managed Switches
- Cisco DNA Center software 1.3.1.4 より前の 1.3 系バージョン
- Cisco StarOS が稼働しており、Vector Packet Processing (VPP) 機能が有効になっている次の製品
- Cisco ASR 5000 Series Aggregation Services Routers
- Cisco Virtualized Packet Core-Single Instance (VPC-SI)
- Cisco AnyConnect Secure Mobility Client for Windows 4.9.00086 より前のバージョン
- Cisco Cloud Services Router 1000V Series
- Cisco Integrated Services Virtual Router (ISRv)
- Cisco Identity Services Engine (ISE)
- Cisco Enterprise NFV Infrastructure Software (NFVIS)

関連文書 (英語)
Cisco Security Advisory
Cisco Small Business Smart and Managed Switches Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbss-ipv6-dos-3bLk6vA

Cisco Security Advisory
Cisco DNA Center Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dna-info-disc-3bz8BCgR

Cisco Security Advisory
Cisco StarOS IPv6 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asr-dos-zJLJFgBf

Cisco Security Advisory
Cisco AnyConnect Secure Mobility Client for Windows DLL Hijacking Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-F26WwJW

Cisco Security Advisory
GRUB2 Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-grub2-code-exec-xLePCAPY

【2】SKYSEA Client View に権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVN#25422698
SKYSEA Client View に権限昇格の脆弱性
https://jvn.jp/jp/JVN25422698/

概要
Sky 株式会社が提供する SKYSEA Client View には、権限昇格の脆弱性があり
ます。結果として、当該製品がインストールされた PC にログイン可能な第三
者が、システム権限で機微な情報を取得したり、任意の操作を実行したりする
などの可能性があります。

対象となるバージョンは次のとおりです。

- SKYSEA Client View Ver.12.200.12n から 15.210.05f まで

この問題は、該当する製品に Sky 株式会社が提供するパッチを適用すること
で解決します。詳細は、Sky 株式会社が提供する情報を参照してください。

関連文書 (日本語)
Sky 株式会社
【重要】権限昇格の脆弱性に関する注意喚起（CVE-2020-5617）
https://www.skyseaclientview.net/news/200803_01/

JPCERT/CC 注意喚起
SKYSEA Client View の脆弱性 (CVE-2020-5617) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200031.html

【3】複数のトレンドマイクロ製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#99160193
トレンドマイクロ社のルートキット対策ドライバに入力値検証不備の脆弱性
https://jvn.jp/vu/JVNVU99160193/

Japan Vulnerability Notes JVNVU#94105662
トレンドマイクロ株式会社製のウイルスバスタークラウドのドライバに境界外読み込みの脆弱性
https://jvn.jp/vu/JVNVU94105662/

Japan Vulnerability Notes JVNVU#98423028
トレンドマイクロ株式会社製のウイルスバスタークラウドのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU98423028/

概要
複数のトレンドマイクロ製品には、脆弱性があります。結果として、第三者が、
システムをクラッシュさせたり、任意のコードを実行したりするなどの可能性
があります。

対象となる製品およびバージョンは次のとおりです。

- トレンドマイクロ社のルートキット対策ドライバを使用している複数の製品
- ウイルスバスタークラウドバージョン16、v16.0.1302 およびそれ以前のバージョン
- ウイルスバスタークラウドバージョン15

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新するか、パッチを適用することで解決します。また、トレン
ドマイクロ株式会社が提供する最新のインストーラを使用してください。詳細
は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ：ルートキット対策ドライバの入力の妥当性検証に関する脆弱性（CVE-2020-8607）について
https://success.trendmicro.com/jp/solution/000260748

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスタークラウドの脆弱性について(CVE-2020-15602)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09644

トレンドマイクロ株式会社
アラート/アドバイザリ：ウイルスバスタークラウドの脆弱性について(CVE-2020-15603)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09645

【4】PHP に解放済みメモリ使用 (Use-after-free) の脆弱性

情報源
The PHP Group
PHP 7.4.9 Released!
https://www.php.net/archive/2020.php#2020-08-06-4

The PHP Group
PHP 7.3.21 Released!
https://www.php.net/archive/2020.php#2020-08-06-2

The PHP Group
PHP 7.2.33 Released!
https://www.php.net/archive/2020.php#2020-08-06-1

概要
PHP には、解放済みメモリ使用 (Use-after-free) の脆弱性があります。

対象となるバージョンは次のとおりです。

- PHP 7.4.9 より前のバージョン
- PHP 7.3.21 より前のバージョン
- PHP 7.2.33 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.4.9
https://www.php.net/ChangeLog-7.php#7.4.9

The PHP Group
PHP 7 ChangeLog Version 7.3.21
https://www.php.net/ChangeLog-7.php#7.3.21

The PHP Group
PHP 7 ChangeLog Version 7.2.33
https://www.php.net/ChangeLog-7.php#7.2.33

【5】Web Rehosting サービスにおいて複数ウェブサイトに跨ったコンテンツの改ざん・盗聴等が行われる問題

情報源
Japan Vulnerability Notes JVNTA#96129397
Web Rehosting サービスにおいて複数ウェブサイトに跨ったコンテンツの改ざん・盗聴等が行われる問題
https://jvn.jp/ta/JVNTA96129397/

概要
NTT セキュアプラットフォーム研究所および早稲田大学の研究チームにより、
Web Rehosting と呼ばれるサービスを利用するユーザのブラウザ上で、複数ウェ
ブサイトのコンテンツを跨ったコンテンツ改ざんや盗聴などが可能となるセキュ
リティ上の問題が発見されました。

Web Rehosting に該当するサービスが対策を講じていない場合、ユーザのブラ
ウザリソースの一部が悪意ある第三者によって不正に操作され、セキュリティ・
プライバシー上の被害を受ける可能性があります。

本問題に関する対策や詳細については、情報源を参考にしてください。

関連文書 (英語)
NDSS Symposium 2020
Melting Pot of Origins: Compromising the Intermediary Web Services that Rehost Websites
https://www.ndss-symposium.org/ndss-paper/melting-pot-of-origins-compromising-the-intermediary-web-services-that-rehost-websites/

【6】制御システムセキュリティカンファレンス2021講演募集

情報源
JPCERT/CC
制御システムセキュリティカンファレンス2021講演募集(Call for Presentation)
https://www.jpcert.or.jp/event/ics-conf-cfp2021/

概要
2020年8月5日、JPCERT/CC は、「制御システムセキュリティカンファレンス
2021」の講演を募集する案内を掲載しました。本カンファレンスは、国内外の
ICS における脅威の現状と、関連業界や企業で行われているセキュリティに関
する先進的な取り組みを共有し、ICS のセキュリティ対策技術の向上やベスト
プラクティス確立の一助となることを目的として開催するものです。

講演をご希望の方は、募集要項をお読みいただき、講演概要と共に必要事項を
カンファレンス事務局までお送りください。応募締切は 2020年9月25日（金）
です。

○JAIPA Cloud Conference 2020 開催のお知らせ

2020年9月2日、一般社団法人日本インターネットプロバイダー協会クラウド
部会は「JAIPA Cloud Conference 2020」をオンラインで開催します。クラウ
ドサービスプロバイダ (IaaS/PaaS/SaaS)、システムインテグレータ、ソリュー
ションベンダーなどが参加し、クラウド業界の未来について知見を深めるイベン
トです。JPCERT/CC は本カンファレンスを後援しています。参加費は無料で、
参加には事前の申し込みが必要です。

参考文献 (日本語)
JAIPA Cloud Conference
JAIPA Cloud Conference 2020
https://cloudconference.jaipa.or.jp/

JAIPA Cloud Conference
Facebookページ
https://www.facebook.com/cloudconference.jaipa/

JAIPA Cloud Conference
事前登録ページ
https://cloudconference.jaipa.or.jp/entry/

投稿時刻 09:59 セキュリティ | 個別ページ | コメント (0)

2020年8月 5日 (水)

■07/26(日)～08/01(土) のセキュリティ関連情報

【1】複数の Cisco 製品に脆弱性
【2】複数の Mozilla 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】Magento に複数の脆弱性
【5】GRUB2 にバッファオーバーフローの脆弱性
【6】JavaFX の WebEngine コンポーネントに任意の Java メソッド実行が可能になる脆弱性
【7】複数の三菱電機製 FA 製品に脆弱性
【8】複数の三菱電機製 FA エンジニアリングソフトウェア製品に脆弱性
【9】横河電機製 CAMS for HIS に複数の脆弱性
【10】Fanuc i Series CNC にサービス運用妨害 (DoS) の脆弱性
【11】KonaWiki2 および KonaWiki3 に複数の脆弱性
【12】複数の PHP工房製品に脆弱性
【今週のひとくちメモ】JPCERT/CC がログ分析トレーニング用コンテンツの公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr203001.html
https://www.jpcert.or.jp/wr/2020/wr203001.xml
============================================================================

【1】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/07/30/cisco-releases-security-updates-multiple-products

概要
複数の Cisco 製品には、複数の脆弱性があります。結果として、認証されて
いない遠隔の第三者が、管理者権限で任意のアクションを実行するなどの可能
性があります。

対象となる製品は次のとおりです。

- Cisco SD-WAN vManage Software
- Cisco Data Center Network Manager

※上記以外にも影響度 Medium の複数の脆弱性情報が公開されています。
詳細は Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco SD-WAN vManage Software Authorization Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uabvman-SYGzt8Bv

Cisco Security Advisory
Cisco Data Center Network Manager Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dcnm-bypass-dyEejUMs

Cisco Security Advisory
Cisco Data Center Network Manager Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-devmgr-cmd-inj-Umc8RHNh

Cisco Security Advisory
Cisco Data Center Network Manager Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dcnm-rest-inj-BCt8pwAJ

Cisco Security Advisory
Cisco Data Center Network Manager Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dcnm-path-trav-2xZOnJdR

Cisco Security Advisory
Cisco Data Center Network Manager Improper Authorization Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dcnm-improper-auth-7Krd9TDT

Cisco Security Advisory
Cisco Data Center Network Manager Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dcnm-auth-bypass-JkubGpu3

【2】複数の Mozilla 製品に脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/07/29/mozilla-releases-security-updates-multiple-products

概要
複数の Mozilla 製品には、複数の脆弱性があります。結果として、遠隔の第
三者が製品をクラッシュするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Firefox 79 より前のバージョン
- Firefox ESR 68.11 より前の 68系バージョン
- Thunderbird 68.11 より前の 68系バージョン
- Firefox ESR 78.1 より前の 78系バージョン
- Thunderbird 78.1 より前の 78系バージョン
- Firefox for iOS 28 より前のバージョン

関連文書 (英語)
Mozilla Foundation
Security Vulnerabilities fixed in Firefox 79
https://www.mozilla.org/en-US/security/advisories/mfsa2020-30/

Mozilla Foundation
Security Vulnerabilities fixed in Firefox ESR 68.11
https://www.mozilla.org/en-US/security/advisories/mfsa2020-31/

Mozilla Foundation
Security Vulnerabilities fixed in Thunderbird 68.11
https://www.mozilla.org/en-US/security/advisories/mfsa2020-35/

Mozilla Foundation
Security Vulnerabilities fixed in Firefox ESR 78.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-32/

Mozilla Foundation
Security Vulnerabilities fixed in Thunderbird 78.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-33/

Mozilla Foundation
Security Vulnerabilities fixed in Firefox for iOS 28
https://www.mozilla.org/en-US/security/advisories/mfsa2020-34/

【3】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/07/28/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 84.0.4147.105 より前のバージョン

この問題は、該当するバージョンを Google が提供する修正済みのバージョン
に更新することで解決します。詳細は、Google が提供する情報を参照してく
ださい。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop_27.html

【4】Magento に複数の脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates for Magento
https://us-cert.cisa.gov/ncas/current-activity/2020/07/29/adobe-releases-security-updates-magento

概要
Magento には、複数の脆弱性があります。結果として、第三者が任意のコード
を実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Magento Commerce 2 2.3.5-p1 およびそれ以前
- Magento Open Source 2 2.3.5-p1 およびそれ以前

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
Adobe
Magento に関するセキュリティアップデート公開 | APSB20-47
https://helpx.adobe.com/jp/security/products/magento/apsb20-47.html

JPCERT/CC CyberNewsFlash
Magento に関するアップデート (APSB20-47) について
https://www.jpcert.or.jp/newsflash/2020072901.html

【5】GRUB2 にバッファオーバーフローの脆弱性

情報源
Vulnerability Note VU#174059
GRUB2 bootloader is vulnerable to buffer overflow
https://www.kb.cert.org/vuls/id/174059

概要
GRUB2 ブートローダにはヒープベースのバッファオーバーフローの脆弱性があ
ります。結果として、管理者権限を持つユーザが任意のコードを実行するなど
の可能性があります。

対象となる製品は次のとおりです。

- ブートローダに GRUB2 を使用しているシステム

この問題は、GRUB2 を最新版のバージョンに更新することで解決します。詳細
は、各開発者が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98487886
GRUB2 にバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU98487886/

【6】JavaFX の WebEngine コンポーネントに任意の Java メソッド実行が可能になる脆弱性

情報源
Japan Vulnerability Notes JVN#62161191
JavaFX の WebEngine コンポーネントに任意の Java メソッド実行が可能になる脆弱性
https://jvn.jp/jp/JVN62161191/

概要
JavaFX および OpenJFX の WebEngine コンポーネントには、任意の Java コー
ド実行が可能になる脆弱性があります。結果として、遠隔の第三者が、当該ア
プリケーションの実行権限で任意の Java コードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Oracle JDK 8 update 251 より前のバージョン
- JavaFX 14.0.1 より前のバージョン

この問題は、該当するバージョンを、開発者が提供する修正済みのバージョン
に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。

関連文書 (英語)
Oracle
JDK 8u251 Update Release Notes
https://www.oracle.com/technetwork/java/javase/8u251-relnotes-5972664.html

OpenJFX Project
Release Notes for JavaFX 14.0.1
https://github.com/openjdk/jfx/blob/jfx14/doc-files/release-notes-14.0.1.md

【7】複数の三菱電機製 FA 製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#90224831
複数の三菱電機製 FA 製品における複数の脆弱性
https://jvn.jp/vu/JVNVU90224831/

概要
複数の三菱電機製 FA 製品には、複数の脆弱性があります。結果として、遠隔
の第三者が情報の取得、改ざんやサービス運用妨害 (DoS) 状態にするなどの
可能性があります。

影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、開発者
が提供するアドバイザリ情報を参照してください。

この問題は、該当するバージョンを開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

関連文書 (日本語)
三菱電機株式会社
複数のFAエンジニアリングソフトウェア製品における悪意のあるコードが実行される脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-007.pdf

三菱電機株式会社
複数のFA製品における悪意のあるコードが実行される脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-008.pdf

関連文書 (英語)
ICS Advisory (ICSA-20-212-03)
Mitsubishi Electric Factory Automation Products Path Traversal
https://us-cert.cisa.gov/ics/advisories/icsa-20-212-03

ICS Advisory (ICSA-20-212-04)
Mitsubishi Electric Factory Automation Engineering Products
https://us-cert.cisa.gov/ics/advisories/icsa-20-212-04

【8】複数の三菱電機製 FA エンジニアリングソフトウェア製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#93893801
複数の三菱電機製 FA エンジニアリングソフトウェア製品における不適切なファイルアクセス制御の脆弱性
https://jvn.jp/vu/JVNVU93893801/

概要
複数の三菱電機製 FA エンジニアリングソフトウェア製品には、不適切なファ
イルアクセス制御の脆弱性があります。結果として、遠隔の第三者が一部の
ファイルを悪意のあるプログラムに置き換え、情報の取得、改ざん、破壊など
を行う可能性があります。

影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、開発者
が提供するアドバイザリ情報を参照してください。

関連文書 (日本語)
三菱電機株式会社
複数のFAエンジニアリングソフトウェア製品における不適切なファイルアクセス制御の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-006.pdf

関連文書 (英語)
ICS Advisory (ICSA-20-212-02)
Mitsubishi Electric Multiple Factory Automation Engineering Software Products
https://us-cert.cisa.gov/ics/advisories/icsa-20-212-02

【9】横河電機製 CAMS for HIS に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#97997181
横河電機製 CAMS for HIS に複数の脆弱性
https://jvn.jp/vu/JVNVU97997181/

概要
横河電機株式会社が提供する CAMS for HIS には、複数の脆弱性があります。
結果として、認証されていない第三者が、任意の場所にファイルの作成や上書
きをしたり、任意のコマンドを実行したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- CENTUM CS 3000 (CENTUM CS 3000 Small 含む) R3.08.10 から R3.09.50 まで
- CENTUM VP (CENTUM VP Small, Basic 含む) R4.01.00 から R6.07.00 まで
- B/M9000CS R5.04.01 から R5.05.01 まで
- B/M9000 VP R6.01.01 から R8.03.01 まで

この問題は、該当するバージョンを開発者が提供する修正済みのバージョンに
更新することやパッチ適用することで解決します。詳細は、開発者が提供する
情報を参照してください。

関連文書 (日本語)
横河電機株式会社
YSAR-20-0001:CAMS for HISに複数の脆弱性
https://web-material3.yokogawa.com/19/29820/files/YSAR-20-0001-J.pdf

【10】Fanuc i Series CNC にサービス運用妨害 (DoS) の脆弱性

情報源
Japan Vulnerability Notes JVN#84959128
Fanuc i Series CNC におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN84959128/

概要
ファナック株式会社が提供する Fanuc i Series CNC には、サービス運用妨害
(DoS) の脆弱性があります。結果として、遠隔の第三者によってサービス運用
妨害 (DoS) 攻撃を受け、他の機器へのアクセスが阻害される可能性がありま
す。

影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、開発者
が提供する情報を参照してください。

この問題は、該当するバージョンを開発者が提供する修正済みのバージョンに
更新することやパッチを適用することで解決します。詳細は、開発者が提供す
る情報を参照してください。

関連文書 (日本語)
ファナック株式会社
ファナック会員サイト
https://store.member.fanuc.co.jp/fanuc/store

【11】KonaWiki2 および KonaWiki3 に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#48194211
KonaWiki2 および KonaWiki3 における複数の脆弱性
https://jvn.jp/jp/JVN48194211/

概要
くじらはんどが提供する KonaWiki2 および KonaWiki3 には、複数の脆弱性が
あります。結果として、遠隔の第三者が、細工されたページにアクセスしたユー
ザのウェブブラウザ上で任意のスクリプトを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- KonaWiki2.2.0 およびそれ以前
- KonaWiki3.1.0 およびそれ以前

関連文書 (日本語)
くじらはんどの告知ページ
セキュリティアップデートのお知らせ (2020/07/10)
https://kujirahand.com/konawiki/

【12】複数の PHP工房製品に脆弱性

情報源
Japan Vulnerability Notes JVN#73169744
複数の PHP工房製品における複数の脆弱性
https://jvn.jp/jp/JVN73169744/

概要
PHP工房が提供する複数の製品には、複数の脆弱性があります。結果として、
特定の条件下において、遠隔の第三者が管理者権限で当該製品にログインする
などの可能性があります。

対象となる製品は次のとおりです。

- 【Calendar01】（3デバイス対応）PHP営業日・スケジュールカレンダーフリー（無料）版
- 【Calendar02】PHP営業日・スケジュールカレンダー(テキスト入力付) フリー・無料版
- 【PKOBO-News01】PHP新着情報・お知らせ・ニュースCMSプログラムフリー（無料）版
- 【PKOBO-vote01】PHP投票・アンケートシステム（連続投票防止付き）CMS フリー（無料）版
- 【Telop01】PHPテロップ・ニュースティッカー・ヘッドラインCMS フリー（無料）版
- 【Gallery01】PC、スマホ、ガラケー3デバイス対応写真ギャラリーCMS フリー（無料）版
- 【CalendarForm01】(受付上限設定付き)予約・応募フォーム連動営業日カレンダーフリー（無料）版
- 【Link01】PHPリンク集ページCMS フリー（無料）版

この問題は、該当するバージョンを開発者が提供する修正済みのバージョンに
更新することや対象ファイルにコードを追加することで解決します。詳細は、
開発者が提供する情報を参照してください。

関連文書 (日本語)
PHP工房
【Calendar01】（3デバイス対応）PHP営業日・スケジュールカレンダーフリー（無料）版
https://www.php-factory.net/calendar/01.php

PHP工房
【Calendar02】PHP営業日・スケジュールカレンダー(テキスト入力付)　フリー・無料版
https://www.php-factory.net/calendar/02.php

PHP工房
【PKOBO-News01】PHP新着情報・お知らせ・ニュースCMSプログラムフリー（無料）版
https://www.php-factory.net/news/pkobo-news01.php

PHP工房
【PKOBO-vote01】PHP投票・アンケートシステム（連続投票防止付き）CMS フリー（無料）版
https://www.php-factory.net/vote/01.php

PHP工房
【Telop01】PHPテロップ・ニュースティッカー・ヘッドラインCMS　フリー（無料）版
https://www.php-factory.net/telop/01.php

PHP工房
【Gallery01】PC、スマホ、ガラケー3デバイス対応写真ギャラリーCMS フリー（無料）版
https://www.php-factory.net/gallery/01.php

PHP工房
【CalendarForm01】(受付上限設定付き)予約・応募フォーム連動営業日カレンダーフリー（無料）版
https://www.php-factory.net/calendar_form/01.php

PHP工房
【Link01】PHPリンク集ページCMS フリー（無料）版
https://www.php-factory.net/link/01.php

○JPCERT/CC がログ分析トレーニング用コンテンツの公開

JPCERT/CC は、Internet Week 2016 ～ 2019 にて「インシデント対応ハンズ
オン」と題し、標的型攻撃を受けた際のセキュリティインシデント調査手法に
関するハンズオンを行ってきました。この度、ハンズオンの内容をコンテンツ
として公開しました。本コンテンツは実際の標的型攻撃の事例をもとに作成し
ており、シナリオに沿ってログ分析を理解できる内容になっています。

参考文献 (日本語)
JPCERT/CC Eyes
ログ分析トレーニング用コンテンツの公開
https://blogs.jpcert.or.jp/ja/2020/07/log_analysis_training.html

JPCERT/CC
Log Analysis Training
https://jpcertcc.github.io/log-analysis-training/

投稿時刻 11:56 セキュリティ | 個別ページ | コメント (0)

2020年7月29日 (水)

■07/19(日)～07/25(土) のセキュリティ関連情報

【1】複数の Adobe 製品に脆弱性
【2】複数の Cisco 製品に脆弱性
【3】WordPress 用プラグイン Social Sharing Plugin におけるクロスサイトリクエストフォージェリの脆弱性
【4】Citrix Workspace App for Windows に不適切なアクセス制御の脆弱性
【今週のひとくちメモ】マルウエア Emotet の感染に繋がるメールの配布活動の再開について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr202901.html
https://www.jpcert.or.jp/wr/2020/wr202901.xml
============================================================================

【1】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/07/22/adobe-releases-security-updates

概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Bridge
- Adobe Photoshop
- Adobe Prelude
- Adobe Reader Mobile

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020072201.html

Adobe
Adobe Bridge に関するセキュリティアップデート公開 | APSB20-44
https://helpx.adobe.com/jp/security/products/bridge/apsb20-44.html

Adobe
Adobe Photoshop に関するセキュリティアップデート公開 | APSB20-45
https://helpx.adobe.com/jp/security/products/photoshop/apsb20-45.html

Adobe
Adobe Prelude に関するセキュリティアップデート公開 | APSB20-46
https://helpx.adobe.com/jp/security/products/prelude/apsb20-46.html

Adobe
Adobe Reader Mobile に関するセキュリティアップデート公開 | APSB20-50
https://helpx.adobe.com/jp/security/products/reader-mobile/apsb20-50.html

【2】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates for ASA and FTD Software
https://us-cert.cisa.gov/ncas/current-activity/2020/07/23/cisco-releases-security-updates-asa-and-ftd-software

概要
複数の Cisco 製品には、パストラバーサルの脆弱性があります。結果として、
遠隔の第三者が機微な情報を読み取る可能性があります。

対象となる製品は次のとおりです。

- Adaptive Security Appliance (ASA) Software
- Firepower Threat Defense (FTD) Software Web Service

関連文書 (英語)
Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Read-Only Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

【3】WordPress 用プラグイン Social Sharing Plugin におけるクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#05502028
WordPress 用プラグイン Social Sharing Plugin におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN05502028/

概要
WordPress 用プラグイン Social Sharing Plugin には、クロスサイトリクエ
ストフォージェリの脆弱性があります。結果として、本製品にログインした状
態の管理者権限を持つユーザが、細工されたページにアクセスした場合、意図
しない操作をさせられる可能性があります。

対象となるバージョンは次のとおりです。

- Social Sharing Plugin 1.2.10 より前のバージョン

この問題は、Social Sharing Plugin を開発者が提供する修正済みのバージョン
に更新することで解決します。詳細は、開発者が提供する情報を参照してださ
い。

関連文書 (英語)
WordPress
Social Rocket - Social Sharing Plugin
https://wordpress.org/plugins/social-rocket/

Social Rocket
Products
https://wpsocialrocket.com/products/

【4】Citrix Workspace App for Windows に不適切なアクセス制御の脆弱性

情報源
US-CERT Current Activity
Citrix Releases Security Updates for Workspace App for Windows
https://us-cert.cisa.gov/ncas/current-activity/2020/07/23/citrix-releases-security-updates-workspace-app-windows

概要
Citrix Workspace App for Windows には、不適切なアクセス制御の脆弱性が
あります。結果として、ユーザ権限でログインした第三者が、管理者権限を取
得するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Citrix Workspace app for Windows 1912 LTSR
- Citrix Workspace app for Windows 2002

この問題は、該当する製品を Citrix が提供する修正済みのバージョンに更新
することで解決します。詳細は、Citrix が提供する情報を参照してください。

関連文書 (英語)
Citrix
Citrix Workspace app for Windows Security Update
https://support.citrix.com/article/CTX277662

○マルウエア Emotet の感染に繋がるメールの配布活動の再開について

2020年7月20日に CyberNewsFlash「マルウエア Emotet の感染に繋がるメール
の配布活動の再開について」を公開し、2020年7月17日頃より、配布活動の再
開が確認されたマルウエア Emotet の感染に繋がるメールについて注意喚起を
行いました。今後、日本国内の組織やユーザにおいても、Emotet の感染に繋
がるメール受信や感染被害が増加する恐れがあるため、組織内での注意の呼び
かけや対策状況の確認の実施を推奨します。

参考文献 (日本語)
JPCERT/CC CyberNewsFlash
マルウエア Emotet の感染に繋がるメールの配布活動の再開について
https://www.jpcert.or.jp/newsflash/2020072001.html

JPCERT/CC Eyes
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

投稿時刻 10:31 セキュリティ | 個別ページ | コメント (0)

2020年7月22日 (水)

■07/12(日)～07/18(土) のセキュリティ関連情報

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】2020年 7月 Oracle Critical Patch Update について
【4】複数の Cisco 製品に脆弱性
【5】Google Chrome に複数の脆弱性
【6】複数の Apple 製品に脆弱性
【7】複数の SAP 製品に脆弱性
【8】Apache Tomcat に複数の脆弱性
【9】Mozilla Thunderbird に複数の脆弱性
【今週のひとくちメモ】ISOG-J が「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr202801.html
https://www.jpcert.or.jp/wr/2020/wr202801.xml
============================================================================

【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases July 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/microsoft-releases-july-2020-security-updates

US-CERT Current Activity
Microsoft Addresses 'Wormable' RCE Vulnerability in Windows DNS Server
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/microsoft-addresses-wormable-rce-vulnerability-windows-dns-server

US-CERT Current Activity
CISA Releases Emergency Directive on Critical Microsoft Vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2020/07/16/cisa-releases-emergency-directive-critical-microsoft-vulnerability

US-CERT Current Activity
Microsoft Releases Security Update for Edge
https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/microsoft-releases-security-update-edge

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- Microsoft ChakraCore
- Internet Explorer
- Microsoft Office、Microsoft Office Services および Web Apps
- Windows Defender
- Skype for Business
- Visual Studio
- Microsoft OneDrive
- Azure Storage Explorer
- Bond
- TypeScript
- .NET Framework
- Azure DevOps

なお、マイクロソフトは、Windows DNS サーバーの脆弱性 (CVE-2020-1350)
について注意喚起を公開しています。現時点で本脆弱性の悪用は確認されてい
ないものの、影響を受ける Windows Server での早期の対策実施が推奨されて
います。

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2020 年 7 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Jul

Microsoft Security Response Center
Windows DNS サーバーの脆弱性情報 CVE-2020-1350 に関する注意喚起
https://msrc-blog.microsoft.com/2020/07/14/20200715-dnsvulnerability/

JPCERT/CC 注意喚起
2020年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200029.html

マイクロソフト株式会社
CVE-2020-1341 | Microsoft Edge (Chromium ベース) の特権の昇格の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1341

【2】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/adobe-releases-security-updates-multiple-products

概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Creative Cloud デスクトップアプリケーション
- Adobe Media Encoder
- Adobe Genuine Service
- ColdFusion 2018
- ColdFusion 2016
- Adobe Download Manager

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020071501.html

Adobe
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB20-33
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb20-33.html

Adobe
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB20-36
https://helpx.adobe.com/jp/security/products/media-encoder/apsb20-36.html

Adobe
Adobe Genuine Service に関するセキュリティアップデート公開 | APSB20-42
https://helpx.adobe.com/jp/security/products/integrity_service/apsb20-42.html

Adobe
Adobe ColdFusion 用セキュリティアップデート公開 | APSB20-43
https://helpx.adobe.com/jp/security/products/coldfusion/apsb20-43.html

Adobe
Adobe Download Manager に関するセキュリティアップデート公開 | APSB20-49
https://helpx.adobe.com/jp/security/products/adm/apsb20-49.html

【3】2020年 7月 Oracle Critical Patch Update について

情報源
US-CERT Current Activity
Oracle Releases July 2020 Security Bulletin
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/oracle-releases-july-2020-security-bulletin

概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle
Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
2020年7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200030.html

関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - July 2020
https://www.oracle.com/security-alerts/cpujul2020.html

【4】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/07/15/cisco-releases-security-updates-multiple-products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

影響度 Critical の脆弱性情報の対象となる製品およびバージョンは次のとお
りです。

- Cisco Small Business RV110W Wireless-N VPN Firewall ファームウェア 1.2.2.8 より前のバージョン
- Cisco Small Business RV130 VPN Router ファームウェア 1.0.3.55 より前のバージョン
- Cisco Small Business RV130W Wireless-N Multifunction VPN Router ファームウェア 1.0.3.55 より前のバージョン
- Cisco Small Business RV215W Wireless-N VPN Router ファームウェア 1.3.1.7 より前のバージョン
- Cisco Prime License Manager Software 10.5(2)SU10 より前のバージョン
- Cisco Prime License Manager Software 11.5(1)SU7 より前のバージョン

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 High および Medium の複数の脆弱性情報が公開されています。詳細
は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Small Business RV110W Wireless-N VPN Firewall Static Default Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv110w-static-cred-BMTWBWTy

Cisco Security Advisory
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-rce-AQKREqp

Cisco Security Advisory
Cisco RV110W, RV130, RV130W, and RV215W Routers Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-auth-bypass-cGv9EruZ

Cisco Security Advisory
Cisco RV110W and RV215W Series Routers Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-code-exec-wH3BNFb

Cisco Security Advisory
Cisco Prime License Manager Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-prime-priv-esc-HyhwdzBA

Cisco Security Advisory
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/google-releases-security-updates-chrome

概要
Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 84.0.4147.89 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html

【6】複数の Apple 製品に脆弱性

情報源
US-CERT Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/07/16/apple-releases-security-updates

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 13.6 より前のバージョン
- iPadOS 13.6 より前のバージョン
- macOS Catalina 10.15.6 より前のバージョン
- macOS Mojave (Security Update 2020-004 未適用)
- macOS High Sierra (Security Update 2020-004 未適用)
- tvOS 13.4.8 より前のバージョン
- watchOS 6.2.8 より前のバージョン
- Safari 13.1.2 より前のバージョン

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94090210
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94090210/

Apple
iOS 13.6 および iPadOS 13.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211288

Apple
macOS Catalina 10.15.6、セキュリティアップデート 2020-004 Mojave、セキュリティアップデート 2020-004 High Sierra のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211289

Apple
tvOS 13.4.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211290

Apple
watchOS 6.2.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211291

Apple
Safari 13.1.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211292

【7】複数の SAP 製品に脆弱性

情報源
SAP
SAP Security Patch Day - July 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675

CISA Alert (AA20-195A)
Critical Vulnerability in SAP NetWeaver AS Java
https://us-cert.cisa.gov/ncas/alerts/aa20-195a

概要
複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該
製品を制御するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SAP NetWeaver AS JAVA (LM Configuration Wizard) バージョン 7.30, 7.31, 7.40, 7.50
- SAP Business Client バージョン 6.5
- SAP NetWeaver (XML Toolkit for JAVA) バージョン ENGINEAPI 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Disclosure Management バージョン 10.1
- SAP Business Objects Business Intelligence Platform (BI Launchpad) バージョン 4.2
- SAP Business Objects Business Intelligence Platform (bipodata) バージョン 4.2
- SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE) バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS) バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Business Objects Business Intelligence Platform (BI Launchpad and CMC) バージョン 4.1, 4.2
- SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface) バージョン 4.1, 4.2
- SAP NetWeaver (ABAP Server) and ABAP Platform バージョン 731, 740, 750

なお、米 CISA は、SAP NetWeaver AS Java の脆弱性 (CVE-2020-6287) につ
いてアラートを公開しています。現時点で本脆弱性の悪用は確認されていない
ものの、影響を受ける SAP NetWeaver AS JAVA での早期の対策実施が推奨さ
れています。

この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
SAP NetWeaver Application Server Java の脆弱性 (CVE-2020-6287) について
https://www.jpcert.or.jp/newsflash/2020071401.html

【8】Apache Tomcat に複数の脆弱性

情報源
US-CERT Current Activity
Apache Releases Security Advisories for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/apache-releases-security-advisories-apache-tomcat

Japan Vulnerability Notes JVNVU#96390265
Apache Tomcat における複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU96390265/

概要
The Apache Software Foundation が提供する Apache Tomcat には複数の脆弱
性があります。結果として、サービス運用妨害 (DoS) 攻撃を行う可能性があ
ります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.0.0-M1 から 10.0.0-M6 まで
- Apache Tomcat 9.0.0.M1 から 9.0.36 まで
- Apache Tomcat 8.5.0 から 8.5.56 まで
- Apache Tomcat 7.0.27 から 7.0.104 まで

この問題は、Apache Tomcat を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundation が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M7
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M7

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.37
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.57
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.57

The Apache Software Foundation
Fixed in Apache Tomcat 7.0.105
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.105

【9】Mozilla Thunderbird に複数の脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/mozilla-releases-security-update-thunderbird

概要
Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第
三者が、情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 78 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに更新することで解決
します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Thunderbird 78
https://www.mozilla.org/en-US/security/advisories/mfsa2020-29/

○ISOG-J が「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開

2020年7月13日、日本セキュリティオペレーション事業者協議会 (ISOG-J) は
「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開
しました。本ガイドラインでは、ユーザーがマネージドセキュリティサービス
(MSS) を選ぶ際のポイントや事前に検討しておくと選定がしやすいポイントに
ついて、導入企画から平時の運用、インシデント時の運用といったフェーズご
とに解説されています。

参考文献 (日本語)
日本セキュリティオペレーション事業者協議会 (ISOG-J)
マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0 (2020年7月)
https://isog-j.org/output/2020/MSS-Guideline_v200.html

投稿時刻 09:53 セキュリティ | 個別ページ | コメント (0)

ミニ・いんふぉめーしょん

ミニ情報、インターネット・リテラシ－、ｅｔｃ．

セキュリティ

2020年9月25日 (金)

■09/13(日)～09/19(土) のセキュリティ関連情報

2020年9月16日 (水)

■09/06(日)～09/12(土) のセキュリティ関連情報

2020年9月 9日 (水)

■08/30(日)～09/05(土) のセキュリティ関連情報

2020年9月 2日 (水)

■08/23(日)～08/29(土) のセキュリティ関連情報

2020年8月27日 (木)

■08/16(日)～08/22(土) のセキュリティ関連情報

2020年8月19日 (水)

■08/09(日)～08/15(土) のセキュリティ関連情報

■08/02(日)～08/08(土) のセキュリティ関連情報

2020年8月 5日 (水)

■07/26(日)～08/01(土) のセキュリティ関連情報

2020年7月29日 (水)

■07/19(日)～07/25(土) のセキュリティ関連情報

2020年7月22日 (水)

■07/12(日)～07/18(土) のセキュリティ関連情報

最近の記事

カテゴリ

アーカイブ

カテゴリ

プロフィール

リンク