<<< JPCERT/CC WEEKLY REPORT 2020-03-18 >>>
■03/08(日)〜03/14(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Intel 製品に脆弱性
【3】複数の Mozilla 製品に脆弱性
【4】複数の VMware 製品に脆弱性
【5】GitLab に複数の脆弱性
【6】三菱電機製データ収集アナライザ MELQIC IU1 シリーズに複数の脆弱性
【7】TRR 機能を実装した DDR4 メモリシステムに Rowhammer 攻撃が可能な脆弱性
【今週のひとくちメモ】IPA が「情報セキュリティ10大脅威 2020」の解説書を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr201101.txt
https://www.jpcert.or.jp/wr/2020/wr201101.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases March 2020 Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/03/10/microsoft-releases-march-2020-security-updatesUS-CERT Current Activity
Microsoft Releases Out-of-Band Security Updates for SMB RCE Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/03/12/microsoft-releases-out-band-security-updates-smb-rce-vulnerability
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Microsoft Edge (EdgeHTML ベース) - Microsoft Edge (Chromium ベース) - ChakraCore - Internet Explorer - Microsoft Exchange Server - Microsoft Office、Microsoft Office Services および Web Apps - Azure DevOps - Windows Defender - Visual Studio - オープン ソース ソフトウェア - Azure - Microsoft Dynamics ※マイクロソフトは、Microsoft Server Message Block 3.1.1 (SMBv3) にお ける脆弱性情報 (CVE-2020-0796) および修正プログラムを公開しています。 詳細は Microsoft が提供する情報を参照してください。 この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2020 年 3 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Marマイクロソフト株式会社
CVE-2020-0796 | Windows SMBv3 クライアント/サーバーのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0796マイクロソフト株式会社
ADV200005 | SMBv3 の圧縮の無効化に関する Microsoft ガイダンス
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv200005JPCERT/CC 注意喚起
2020年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200010.htmlJPCERT/CC 注意喚起
Microsoft SMBv3 の脆弱性 (CVE-2020-0796) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200011.htmlJPCERT/CC CyberNewsFlash
SMBv3 における脆弱性について (追加情報)
https://www.jpcert.or.jp/newsflash/2020031102.htmlVulnerability Notes JVNVU#91394194
Microsoft SMBv3 の接続処理にリモートコード実行の脆弱性
https://jvn.jp/vu/JVNVU91394194
関連文書 (英語)
US-CERT Current Activity
Microsoft Server Message Block RCE Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/03/11/microsoft-server-message-block-rce-vulnerabilityUS-CERT Current Activity
Unpatched Microsoft Exchange Servers Vulnerable to CVE-2020-0688
https://www.us-cert.gov/ncas/current-activity/2020/03/10/unpatched-microsoft-exchange-servers-vulnerable-cve-2020-0688
【2】複数の Intel 製品に脆弱性
情報源
US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/03/10/intel-releases-security-updatesJapan Vulnerability Notes JVNVU#94445466
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU94445466/
概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が、権限を 昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ ります。 影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel が提供するアドバイザリ情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020031101.html
関連文書 (英語)
Intel
INTEL-SA-00315: Intel Graphics Drivers Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00315.htmlIntel
INTEL-SA-00319: Intel FPGA Programmable Acceleration Card N3000 Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00319.htmlIntel
INTEL-SA-00326: Intel Optane DC Persistent Memory Module Management Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00326.htmlIntel
INTEL-SA-00330: Snoop Assisted L1D Sampling Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00330.htmlIntel
INTEL-SA-00334: Intel Processors Load Value Injection Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00334.htmlIntel
INTEL-SA-00343: Intel NUC Firmware Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00343.htmlIntel
INTEL-SA-00349: Intel MAX 10 FPGA Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00349.htmlIntel
INTEL-SA-00352: BlueZ Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00352.htmlIntel
INTEL-SA-00354: Intel Smart Sound Technology Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00354.html
【3】複数の Mozilla 製品に脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2020/03/10/mozilla-releases-security-updates-firefox-and-firefox-esr
概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 74 より前のバージョン - Mozilla Firefox ESR 68.6 より前のバージョン - Thunderbird 68.6 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 74
https://www.mozilla.org/en-US/security/advisories/mfsa2020-08/Mozilla
Security Vulnerabilities fixed in Firefox ESR 68.6
https://www.mozilla.org/en-US/security/advisories/mfsa2020-09/Mozilla
Security Vulnerabilities fixed in Thunderbird 68.6
https://www.mozilla.org/en-US/security/advisories/mfsa2020-10/
【4】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/03/16/vmware-releases-security-updates-multiple-products
概要
複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー ザがホスト OS 上でコードを実行したり、サービス運用妨害 (DoS) 攻撃を行 ったりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware Workstation Pro / Player 15 系のバージョン - VMware Fusion Pro / Fusion 11 系のバージョン (OSX) - VMware Horizon Client for Windows 5 系のバージョンおよびそれ以前 - VMware Remote Console for Windows 10 系のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2020-0004.1
https://www.vmware.com/security/advisories/VMSA-2020-0004.html
【5】GitLab に複数の脆弱性
情報源
GitLab
GitLab Security Release: 12.8.2, 12.7.7, and 12.6.8
https://about.gitlab.com/releases/2020/03/04/gitlab-12-dot-8-dot-2-released/
概要
GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用 妨害 (DoS) 攻撃をするなどの可能性があります。 対象となるバージョンは次のとおりです。 - GitLab Community および Enterprise Edition 12.8.2 より前の 12.8 系バージョン - GitLab Community および Enterprise Edition 12.7.7 より前の 12.7 系バージョン - GitLab Community および Enterprise Edition 12.6.8 より前の 12.6 系バージョン なお、上記に記載されていないバージョンも影響を受けるとのことです。詳細 は GitLab が提供する情報を参照してください。 この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新 することで解決します。詳細は、GitLab が提供する情報を参照してください。
【6】三菱電機製データ収集アナライザ MELQIC IU1 シリーズに複数の脆弱性
情報源
Vulnerability Note JVNVU#92370624
三菱電機製データ収集アナライザ MELQIC IU1 シリーズの TCP/IP 機能における複数の脆弱性
https://jvn.jp/vu/JVNVU92370624
概要
三菱電機株式会社が提供する MELQIC IU1 シリーズの TCP/IP 機能には、複数 の脆弱性があります。結果として、遠隔の第三者が、細工した TCP パケット を送信することで、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があり ます。 対象となる製品およびバージョンは次のとおりです。 - IU1-1M20-D (バージョン 1.07 およびそれ以前) この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、三菱電機株式会社が提供する情報を参 照してください。
関連文書 (日本語)
三菱電機株式会社
MELQIC IU1シリーズのTCP/IPスタックに複数の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2019-004.pdf
【7】TRR 機能を実装した DDR4 メモリシステムに Rowhammer 攻撃が可能な脆弱性
情報源
Vulnerability Note JVNVU#99239584
TRR 機能を実装した DDR4 メモリシステムに対する Rowhammer 攻撃手法
https://jvn.jp/vu/JVNVU99239584/
概要
TRR (Target Row Refresh) 機能を実装している DDR4 メモリシステムに対し Rowhammer 攻撃が可能であるとする研究結果が公開されています。 対象となる製品は次のとおりです。 - TRR (Target Row Refresh) 機能を実装している DDR4 メモリシステム 2020年3月12日現在、この問題への対策方法は不明です。
関連文書 (日本語)
NCSC-NL
NCSC-2020-0180: Kwetsbaarheid ontdekt in DDR4-geheugen (TRRespass)
https://advisories.ncsc.nl/advisory?id=NCSC-2020-0180VUSec
TRRESPASS
https://www.vusec.net/projects/trrespass/
■今週のひとくちメモ
○IPA が「情報セキュリティ10大脅威 2020」の解説書を公開
2020年3月10日、情報処理推進機構 (IPA) は、「情報セキュリティ10大脅威 2020」の解説書を公開しました。これは、IPA が昨年発生した情報セキュリティ における事案から脅威候補を選出し、情報セキュリティ関連に携わるメンバー で審議・投票を行い、順位を決定したものです。解説書では、選出された 10 大脅威について組織や個人が優先順位をつけて対策を講じられるよう、各脅威 に関する用語や事例、対策などが整理されています。
参考文献 (日本語)
情報処理推進機構 (IPA)
情報セキュリティ10大脅威 2020
https://www.ipa.go.jp/security/vuln/10threats2020.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/