<<< JPCERT/CC WEEKLY REPORT 2019-09-19 >>>
■09/08(日)〜09/14(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】Mozilla Thunderbird に複数の脆弱性
【5】複数の Intel 製品に脆弱性
【6】ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネスセキュリティにディレクトリトラバーサルの脆弱性
【7】SHIRASAGI にオープンリダイレクトの脆弱性
【8】OpenSSL に複数の脆弱性
【9】apng-drawable に整数オーバーフローの脆弱性
【10】複数のリコー製プリンタおよび複合機にバッファオーバーフローの脆弱性
【11】Wireshark にリソースの枯渇に関する脆弱性
【12】GitLab Enterprise Edition にアクセス制限不備の脆弱性
【今週のひとくちメモ】「フィッシング対策セミナー 2019」開催のお知らせ
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr193601.txt
https://www.jpcert.or.jp/wr/2019/wr193601.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases September 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/10/microsoft-releases-september-2019-security-updates
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Internet Explorer - Microsoft Edge (EdgeHTML ベース) - ChakraCore - Microsoft Office、Microsoft Office Services および Web Apps - Microsoft Lync - Visual Studio - Microsoft Exchange Server - .NET Framework - Microsoft Yammer - .NET Core - ASP.NET - Team Foundation Server - Project Rome この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2019 年 9 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/24f46f0a-489c-e911-a994-000d3a33c573JPCERT/CC
2019年 9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190036.html
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/10/adobe-releases-security-updates
概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Flash Player Desktop Runtime (32.0.0.238) およびそれ以前 (Windows, macOS および Linux) - Adobe Flash Player for Google Chrome (32.0.0.238) およびそれ以前 (Windows, macOS, Linux および Chrome OS) - Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.207) およびそれ以前 (Windows 10 および Windows 8.1) - Adobe Application Manager (インストーラー) バージョン 10.0 (Windows) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC
Adobe Flash Player の脆弱性 (APSB19-46) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190035.htmlJPCERT/CC
Adobe Application Manager のインストーラに関するセキュリティアップデート (APSB19-45) について
https://www.jpcert.or.jp/newsflash/2019091101.htmlAdobe
Adobe Application Manager に関するセキュリティアップデート公開 | APSB19-45
https://helpx.adobe.com/jp/security/products/application_manager/apsb19-45.htmlAdobe
Adobe Flash Player に関するセキュリティ速報 | APSB19-46
https://helpx.adobe.com/jp/security/products/flash-player/apsb19-46.html
【3】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/09/10/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の コードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Chrome 77.0.3865.75 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/09/stable-channel-update-for-desktop.html
【4】Mozilla Thunderbird に複数の脆弱性
情報源
Mozilla
Security vulnerabilities fixed in - Thunderbird 60.9
https://www.mozilla.org/en-US/security/advisories/mfsa2019-29/Mozilla
Security vulnerabilities fixed in - Thunderbird 68.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-30/
概要
Mozilla Thunderbird には、複数の脆弱性があります。結果として、第三者が 任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Mozilla Thunderbird 60.9 より前のバージョン - Mozilla Thunderbird 68.1 より前のバージョン この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。
【5】複数の Intel 製品に脆弱性
情報源
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/10/intel-releases-security-updates
概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が権限を昇 格するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Intel Easy Streaming Wizard 2.1.0731 より前のバージョン (INTEL-SA-00285) - DDIO ならびに RDMA をサポートしている Intel Xeon E5, E7 およびスケーラブル・プロセッサー・ファミリー (INTEL-SA-00290) この問題の内、INTEL-SA-00285 については、Intel Easy Streaming Wizard を Intel が提供する修正済みのバージョンに更新することで解決します。 INTEL-SA-00290 については、Intel が提供する情報を参考に回避策の適用を 検討してください。詳細は、Intel が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93614443
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU93614443/JPCERT/CC
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019091102.html
関連文書 (英語)
Intel
INTEL-SA-00285: Intel Easy Streaming Wizard Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00285.htmlIntel
INTEL-SA-00290: Partial Information Disclosure Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00290.html
【6】ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネスセキュリティにディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVNVU#94051551
ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネスセキュリティにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU94051551/
概要
ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネ スセキュリティには、ディレクトリトラバーサルの脆弱性があります。結果と して、遠隔の第三者が、当該製品が稼働するサーバ上の任意のファイルを変更 する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - ウイルスバスター コーポレートエディション XG SP1、XG および 11.0 SP1 - ウイルスバスター ビジネスセキュリティ 10.0、9.5 および 9.0 この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適 用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報 を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ : ウイルスバスター コーポレートエディションとウイルスバスター ビジネスセキュリティのディレクトリトラバーサルの脆弱性(CVE-2019-9489)について
https://success.trendmicro.com/jp/solution/1122253トレンドマイクロ株式会社
【注意喚起】弊社製品の脆弱性(CVE-2019-9489)を悪用した攻撃を複数確認したことによる最新修正プログラム適用のお願い
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3545JPCERT/CC
ウイルスバスター コーポレートエディションの脆弱性 (CVE-2019-9489) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190034.html
【7】SHIRASAGI にオープンリダイレクトの脆弱性
情報源
Japan Vulnerability Notes JVN#74699196
SHIRASAGI におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN74699196/
概要
SHIRASAGI には、オープンリダイレクトの脆弱性があります。結果として、遠 隔の第三者が細工した URL にユーザをアクセスさせることで、任意のウェブ サイトにリダイレクトさせる可能性があります。 対象となるバージョンは次のとおりです。 - SHIRASAGI v1.7.0 およびそれ以前 この問題は、SHIRASAGI を開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
SHIRASAGI
JVN#74699196 SHIRASAGI におけるオープンリダイレクトの脆弱性
https://www.ss-proj.org/support/737.htmlGitHub
shirasagi/shirasagi
https://github.com/shirasagi/shirasagi
【8】OpenSSL に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#94367039
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU94367039/
概要
OpenSSL には、複数の脆弱性があります。結果として、第三者が機微な情報を 取得するなどの可能性があります。 対象となるバージョンは次のとおりです。 - OpenSSL 1.0.2t より前の 1.0.2 系のバージョン - OpenSSL 1.1.0l より前の 1.1.0 系のバージョン - OpenSSL 1.1.1d より前の 1.1.1 系のバージョン なお、OpenSSL Project によると、OpenSSL 1.0.2 系のサポートは 2019年 12月31日に終了し、OpenSSL 1.1.0 系のサポートは 2019年9月11日に終了して いるとのことです。OpenSSL 1.0.2 系か 1.1.0 系を使用している場合は、 1.1.1 系にアップグレードすることが推奨されています。 この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン に更新することで解決します。詳細は、OpenSSL Project が提供する情報を参 照してください。
関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [10 September 2019]
https://www.openssl.org/news/secadv/20190910.txt
【9】apng-drawable に整数オーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVN#39383894
apng-drawable における整数オーバーフローの脆弱性
https://jvn.jp/jp/JVN39383894/
概要
LINE 株式会社が提供する apng-drawable には、整数オーバーフローの脆弱性 があります。結果として、第三者が、任意のコードを実行したり、サービス運 用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは次のとおりです。 - apng-drawable 1.0.0 から 1.6.0 まで この問題は、apng-drawable を LINE 株式会社が提供する修正済みのバージョ ンに更新することで解決します。詳細は、LINE 株式会社が提供する情報を参 照してください。
関連文書 (英語)
Github
line/apng-drawable
https://github.com/line/apng-drawable/
【10】複数のリコー製プリンタおよび複合機にバッファオーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVN#11708203
複数のリコー製プリンタおよび複合機における複数のバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN11708203/
概要
株式会社リコーが提供する複数のプリンタおよび複合機には、バッファオーバー フローの脆弱性があります。結果として、遠隔の第三者が、任意のコードを実 行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - SP C250SF ファームウェア ver.1.13 より前のバージョン - SP C252SF ファームウェア ver.1.13 より前のバージョン - SP C250DN ファームウェア ver.1.07 より前のバージョン - SP C252DN ファームウェア ver.1.07 より前のバージョン この問題は、該当する製品を株式会社リコーが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社リコーが提供する情報を参照 してください。
関連文書 (英語)
Ricoh Company
Potential security vulnerabilities in some of Ricoh’s printers and Multifunction Printers (MFPs)
https://www.ricoh.com/info/2019/0823_1/
【11】Wireshark にリソースの枯渇に関する脆弱性
情報源
Wireshark Foundation
wnpa-sec-2019-21 Gryphon dissector infinite loop
https://www.wireshark.org/security/wnpa-sec-2019-21
概要
Wireshark には、リソースの枯渇に関する脆弱性があります。結果として、第 三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - Wireshark 3.0.0 から 3.0.3 までのバージョン - Wireshark 2.6.0 から 2.6.10 までのバージョン この問題は、Wireshark を Wireshark Foundation が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Wireshark Foundation が提供 する情報を参照してください。
関連文書 (英語)
Wireshark Foundation
Wireshark 3.0.4 and 2.6.11 Released
https://www.wireshark.org/news/20190911.htmlWireshark Foundation
Wireshark Bug Database - Bug 16020
https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=16020
【12】GitLab Enterprise Edition にアクセス制限不備の脆弱性
情報源
GitLab
GitLab Critical Security Release: 12.2.5, 12.1.9, and 12.0.9
https://about.gitlab.com/2019/09/10/critical-security-release-gitlab-12-dot-2-dot-5-released/
概要
GitLab Enterprise Edition には、アクセス制限不備の脆弱性があります。結 果として、遠隔の第三者が情報を取得する可能性があります。 対象となるバージョンは次のとおりです。 - GitLab Enterprise Edition (EE) 12.2.5 より前の 12.2 系のバージョン - GitLab Enterprise Edition (EE) 12.1.9 より前の 12.1 系のバージョン - GitLab Enterprise Edition (EE) 12.0.9 より前の 12.0 系のバージョン - GitLab Enterprise Edition (EE) 11 系のバージョン この問題は、GitLab Enterprise Edition を GitLab が提供する修正済みのバー ジョンに更新することで解決します。詳細は、GitLab が提供する情報を参照 してください。
■今週のひとくちメモ
○「フィッシング対策セミナー 2019」開催のお知らせ
フィッシング対策協議会では、2020年の東京オリンピック・パラリンピック競 技大会に向けてさらに増加が予測されるフィッシング詐欺に対応するため、事 業者側の効果的な対策促進をテーマに「フィッシング対策セミナー 2019」を 開催いたします。 今年度のセミナーでは、フィッシング詐欺に関連する法執行機関、金融機関、 学術機関、セキュリティ対策事業者から有識者をお招きし、フィッシングの最 新の傾向とその対応策などをご紹介いたします。また、会場にはフィッシング 対策サービスや各種ソリューションの展示ブースもご用意いたします。本セミ ナーは、大阪・東京の2都市で開催しますが、プログラム、所要時間、規模も 異なっております。 フィッシング対策セミナー 2019(大阪): 開催日時:2019年10月25日 (金) 13:00 - 16:30 (受付開始:12:15 -) フィッシング対策セミナー 2019(東京): 開催日時:2019年11月 8日 (金) 13:00 - 18:00 (受付開始:12:15 -) また、参加費は無料ですが、事前に参加申込みが必要となります。満席になり 次第、受付終了とさせていただきますので、ご了承ください。詳細は、フィッ シング対策協議会が提供する情報を参照してください。
参考文献 (日本語)
フィッシング対策協議会
フィッシング対策セミナー 2019(大阪) 開催のご案内(new)
https://www.antiphishing.jp/news/event/antiphishing_seminar2019osaka.htmlフィッシング対策協議会
フィッシング対策セミナー 2019(東京) 開催のご案内(new)
https://www.antiphishing.jp/news/event/antiphishing_seminar2019tokyo.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/