<<< JPCERT/CC WEEKLY REPORT 2018-09-20 >>>
■09/09(日)〜09/15(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】PHP に複数の脆弱性
【5】複数の Intel 製品に脆弱性
【6】サイボウズ Garoon にディレクトリトラバーサルの脆弱性
【7】FXC 製の複数のネットワーク機器にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Microsoft が Windows や Office 製品のサポート期間などに関する情報を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr183601.txt
https://www.jpcert.or.jp/wr/2018/wr183601.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases September 2018 Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/09/11/Microsoft-Releases-September-2018-Security-Updates
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office、Microsoft Office Services および Web Apps - ChakraCore - .NET Framework - Microsoft.Data.OData - ASP.NET この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2018 年 9 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/498f2484-a096-e811-a978-000d3a33c573JPCERT/CC Alert 2018-09-12
2018年 9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180038.html
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/09/11/Adobe-Releases-Security-Updates
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Flash Player デスクトップランタイム 30.0.0.154 およびそれ以前 (Windows 版、macOS 版 および Linux 版) - Google Chrome 用の Adobe Flash Player 30.0.0.154 およびそれ以前 (Windows 版、macOS 版、Linux 版 および Chrome OS 版) - Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 30.0.0.154 およびそれ以前 (Windows 10 版 および 8.1 版) - ColdFusion (2018 release) 7月12日リリース (2018.0.0.310739) - ColdFusion (2016 release) Update 6 およびそれ以前 - ColdFusion 11 Update 14 およびそれ以前 この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe
Flash Player 用のセキュリティアップデート公開 | APSB18-31
https://helpx.adobe.com/jp/security/products/flash-player/apsb18-31.htmlAdobe
ColdFusion に関するセキュリティアップデート公開 | APSB18-33
https://helpx.adobe.com/jp/security/products/coldfusion/apsb18-33.htmlJPCERT/CC Alert 2018-09-12
Adobe Flash Player の脆弱性 (APSB18-31) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180037.htmlJPCERT/CC CyberNewsFlash
Adobe 製品のアップデート (APSB18-33) について
https://www.jpcert.or.jp/newsflash/2018091201.html
【3】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2018/09/11/Google-Releases-Security-Update-Chrome
概要
Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 69.0.3497.92 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2018/09/stable-channel-update-for-desktop_11.html
【4】PHP に複数の脆弱性
情報源
US-CERT Current Activity
MS-ISAC Releases Advisory on PHP Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2018/09/14/MS-ISAC-Releases-Advisory-PHP-Vulnerabilities
概要
PHP には、複数の脆弱性があります。結果として、第三者が任意のコードを実 行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - PHP 7.2.10 より前のバージョン - PHP 7.1.22 より前のバージョン - PHP 7.0.32 より前のバージョン - PHP 5.6.38 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。
関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.2.10
http://www.php.net/ChangeLog-7.php#7.2.10The PHP Group
PHP 7 ChangeLog Version 7.1.22
http://www.php.net/ChangeLog-7.php#7.1.22The PHP Group
PHP 7 ChangeLog Version 7.0.32
http://www.php.net/ChangeLog-7.php#7.0.32The PHP Group
PHP 5 ChangeLog Version 5.6.38
http://www.php.net/ChangeLog-5.php#5.6.38Center for Internet Security
Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2018-101/
【5】複数の Intel 製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#99931791
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU99931791/
概要
複数の Intel 製品には、脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品は次のとおりです。 - Intel CSME - Intel Server Platform Services - Intel Trusted Execution Engine - Power Management Controller (PMC) - Intel Active Management Technology (AMT) - Intel Data Center Manager SDK - Intel Baseboard Management Controller (BMC) - Intel Extreme Tuning Utility - Intel Driver & Support Assistant - Intel Software Asset Manager - Intel Computing Improvement Program - OpenVINO Toolkit for Windows - Intel NUC この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新 することで解決します。詳細は、Intel が提供する情報を参照してください。
関連文書 (英語)
Intel
Intel CSME Assets Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00125.htmlIntel
Power Management Controller (PMC) Security Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00131.htmlIntel
Intel Active Management Technology 9.x/10.x/11.x/12.x Security Review Cumulative Update Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00141.htmlIntel
Intel Data Center Manager SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00143.htmlIntel
Intel Baseboard Management Controller (BMC) firmware Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00149.htmlIntel
Intel Extreme Tuning Utility Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00162.htmlIntel
Intel Driver & Support Assistant and Intel Software Asset Manager Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00165.htmlIntel
OpenVINO Toolkit for Windows Permissions Issue Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00172.htmlIntel
Intel NUC Firmware Security Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00176.html
【6】サイボウズ Garoon にディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#12583112
サイボウズ Garoon におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN12583112/
概要
サイボウズ Garoon には、ディレクトリトラバーサルの脆弱性があります。結 果として、当該製品にログイン可能なユーザが、サーバ上の任意のファイルを 取得したり、改ざんしたりする可能性があります。 対象となるバージョンは次のとおりです。 - サイボウズ Garoon 3.5.0 から 4.6.3 まで この問題は、サイボウズ Garoon にサイボウズ株式会社が提供するパッチを適 用することで解決します。詳細は、サイボウズ株式会社が提供する情報を参照 してください。
関連文書 (日本語)
サイボウズ株式会社
「Garoon 3.7 / 4.6 パッチプログラム」リリースのお知らせ (2018/9/7)
https://cs.cybozu.co.jp/2018/006717.html
【7】FXC 製の複数のネットワーク機器にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#68528150
FXC 製の複数のネットワーク機器におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN68528150/
概要
FXC 製の複数のネットワーク機器には、クロスサイトスクリプティングの脆弱 性があります。結果として、当該製品の管理者が、別の管理者のウェブブラウ ザ上で任意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - 管理機能付レイヤ2スイッチ FXC5210/5218/5224 用ファームウェア Ver1.00.22 より前のバージョン - 管理機能付レイヤ2スイッチ FXC5426F 用ファームウェア Ver1.00.06 より前のバージョン - 管理機能付レイヤ2スイッチ FXC5428 用ファームウェア Ver1.00.07 より前のバージョン - 給電機能付 (PoE) スイッチ FXC5210PE/5218PE/5224PE 用ファームウェア Ver1.00.14 より前のバージョン - 無線LANルータ AE1021/AE1021PE 用ファームウェアすべてのバージョン この問題への対策として、対象となるレイヤ 2 スイッチおよび PoE スイッチ 製品については、修正済みのバージョンが公開されています。該当する製品を FXC株式会社が提供する修正済みのバージョンに更新してください。 また、対象となる無線 LAN ルータ製品については、次の回避策を適用するこ とで、本脆弱性の影響を軽減することが可能です。 - 当該製品の管理画面へのアクセスを、信頼できるメンバのみに制限する 詳細は、FXC株式会社が提供する情報を参照してください。
関連文書 (日本語)
FXC株式会社
弊社一部製品の脆弱性対策のファームウェアご提供のお知らせ
https://www.fxc.jp/news/20171228.html
■今週のひとくちメモ
○Microsoft が Windows や Office 製品のサポート期間などに関する情報を公開
2018年9月6日(米国時間)、Microsoft 社が同社のブログを更新し、Windows や Office 製品のサポート期間などに関する情報を公開しました。 本ブログでは、2020年1月14日で終了を予定している Windows 7 のサポートに ついて、有償で 2023年1月まで延長することが可能となる Windows 7 Extended Security Updates (ESU) が紹介されています。また、Windows 8.1 および Windows Server 2016 における Office 365 ProPlus などのサポート期間延長 も発表されました。 利用している製品のサポート期間が終了する前に、サポート対象製品へ移行す ることをお勧めします。詳細は、Microsoft が提供する情報を参照してくださ い。
参考文献 (英語)
Microsoft
Helping customers shift to a modern desktop
https://www.microsoft.com/en-us/microsoft-365/blog/2018/09/06/helping-customers-shift-to-a-modern-desktop/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/