<<< JPCERT/CC WEEKLY REPORT 2019-11-27 >>>
■11/17(日)〜11/23(土) のセキュリティ関連情報
目 次
【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
【2】Google Chrome に複数の脆弱性
【3】Android 版 Microsoft Outlook にメールスプーフィングによる攻撃が可能な脆弱性
【今週のひとくちメモ】「第11回TCG日本支部公開ワークショップ」、「SecurityDay2019」開催のお知らせ
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194601.txt
https://www.jpcert.or.jp/wr/2019/wr194601.xml
【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
情報源
US-CERT Current Activity
ISC Releases Security Advisory for BIND
https://www.us-cert.gov/ncas/current-activity/2019/11/21/isc-releases-security-advisory-bind
概要
ISC BIND には、TCP クライアントの同時接続数の制限を迂回し、システムリ ソースを過度に消費できる脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.14.1 から 9.14.7 まで - BIND 9.12.4-P1 から 9.12.4-P2 まで - BIND 9.11.6-P1 から 9.11.12 まで - BIND Supported Preview Edition 9.11.5-S6 から 9.11.12-S1 まで なお、ISC によると開発版の BIND 9.15 系についても影響を受けます。また BIND 9.11.0 より前のバージョンは、本脆弱性の検証対象外とのことです。 この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、ISC が提供する情報を参照してください。
関連文書 (日本語)
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(システムリソースの過度な消費)について(CVE-2019-6477) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2019-11-21-bind9-vuln-tcp-pipelining.htmlJapan Vulnerability Notes JVNVU#98706074
ISC BIND にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU98706074/JPCERT/CC 注意喚起
ISC BIND 9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190043.html
関連文書 (英語)
Internet Systems Consortium, Inc. (ISC)
CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit
https://kb.isc.org/docs/cve-2019-6477
【2】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/11/19/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 78.0.3904.108 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/11/stable-channel-update-for-desktop_18.html
【3】Android 版 Microsoft Outlook にメールスプーフィングによる攻撃が可能な脆弱性
情報源
US-CERT Current Activity
Microsoft Releases Outlook for Android Security Update
https://www.us-cert.gov/ncas/current-activity/2019/11/21/microsoft-releases-outlook-android-security-update
概要
Android 版 Microsoft Outlook には、メールスプーフィングによる攻撃が可 能な脆弱性があります。結果として、遠隔の第三者が細工したメールを送信す ることで、メールの受信者の security context 上でスクリプトを実行する可 能性があります。 この問題は、Android 版 Microsoft Outlook を Microsoft が提供する修正済 みのバージョンに更新することで解決します。詳細は、Microsoft が提供する 情報を参照してください。
関連文書 (英語)
Microsoft
CVE-2019-1460 | Outlook for Android Spoofing Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1460
■今週のひとくちメモ
○「第11回TCG日本支部公開ワークショップ」、「SecurityDay2019」開催のお知らせ
・第11回TCG日本支部公開ワークショップ 2019年12月18日 (水) に秋葉原で「第11回TCG日本支部公開ワークショップ」 が開催されます。TCG日本支部が主催する本イベントは「IOT時代に求められる Security by designのその先へ」をテーマに講演やパネルディスカッションが 行われます。JPCERT/CC は本イベントでの講演、および運営に協力しています。 参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第 締め切りとなります。 参加費: 無料 日時および場所: 12月18日 (水) 13:00 - 19:30 秋葉原UDX 4F GALLERY NEXT1 & 3 (東京都千代田区外神田四丁目14-1) ・SecurityDay2019 2019年12月20日 (金) に熱海市で「SecurityDay2019」が開催されます。 SecurityDay運営委員会が主催する本イベントは、2019年を振り返り、これか らのセキュリティについて参加者と意見交換を行うことを目的としています。 JPCERT/CC は本イベントでの講演、および運営に協力しています。 参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第 締め切りとなります。 参加費: 無料 日時および場所: 2019年12月20日 (金) 09:55 - 18:00 KKRホテル熱海 (静岡県熱海市春日町7-39)
参考文献 (日本語)
TCG 日本支部 (TCG Japan Regional Forum)
第11回TCG日本支部公開ワークショップ
https://trustedcomputinggroup.org/work-groups/regional-forums/japan/jrfworkshop/SecurityDay運営委員会
SecurityDay2019
http://www.securityday.jp/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/