<<< JPCERT/CC WEEKLY REPORT 2019-04-24 >>>
■04/14(日)〜04/20(土) のセキュリティ関連情報
目 次
【1】2019年 4月 Oracle Critical Patch Update について
【2】複数の Cisco 製品に脆弱性
【3】Drupal に複数の脆弱性
【4】Broadcom 製 Wi-Fi チップセット向けの複数のドライバに脆弱性
【5】「Internet Week ショーケース in 仙台」開催のお知らせ
【今週のひとくちメモ】長期休暇に備えて 2019/04
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191601.txt
https://www.jpcert.or.jp/wr/2019/wr191601.xml
【1】2019年 4月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity
Oracle Releases April 2019 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2019/04/16/Oracle-Releases-April-2019-Security-Bulletin
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細は、Oracle が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
2019年 4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190017.html
関連文書 (英語)
Oracle Corporation
Oracle Critical Patch Update Advisory - April 2019
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
【2】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/17/Cisco-Releases-Security-Update-Cisco-IOS-XR
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで す。 - Cisco IOS XR 64-Bit ソフトウエアが稼働している Cisco ASR 9000 Series Aggregation Services Routers - Cisco Wireless LAN Controller (WLC) ソフトウエア - Cisco Expressway Series - Cisco TelePresence Video Communication Server (VCS) - Cisco Aironet 1540 Series Access Points - Cisco Aironet 1560 Series Access Points - Cisco Aironet 1800 Series Access Points - Cisco Aironet 2800 Series Access Points - Cisco Aironet 3800 Series Access Points ※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。 これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してく ださい。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco IOS XR 64-Bit Software for Cisco ASR 9000 Series Aggregation Services Routers Network Isolation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-asr9k-exrCisco Security Advisory
Cisco Wireless LAN Controller Software IAPP Message Handling Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-iappCisco Security Advisory
Cisco Wireless LAN Controller Software GUI Configuration Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-guiCisco Security Advisory
Cisco Wireless LAN Controller Software Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-csrfCisco Security Advisory
Cisco Expressway Series and Cisco TelePresence Video Communication Server Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-es-tvcs-dosCisco Security Advisory
Cisco Aironet Series Access Points Development Shell Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-aironet-shell
【3】Drupal に複数の脆弱性
情報源
US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/17/Drupal-Releases-Security-Updates
概要
Drupal には、複数の脆弱性があります。 結果として、遠隔の第三者が任意の コードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 8.6.15 より前の 8.6 系のバージョン - Drupal 8.5.15 より前の 8.5 系のバージョン - Drupal 7.66 より前の 7 系のバージョン なお、Drupal 8.5 系より前の 8 系のバージョンは、サポートが終了しており、 今回のセキュリティに関する情報は提供されていません。 この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Drupal が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Multiple Vulnerabilities - SA-CORE-2019-005
https://www.drupal.org/sa-core-2019-005Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-006
https://www.drupal.org/sa-core-2019-006
【4】Broadcom 製 Wi-Fi チップセット向けの複数のドライバに脆弱性
情報源
CERT/CC Vulnerability Note VU#166939
Broadcom WiFi chipset drivers contain multiple vulnerabilities
https://www.kb.cert.org/vuls/id/166939/US-CERT Current Activity
Multiple Vulnerabilities in Broadcom WiFi Chipset Drivers
https://www.us-cert.gov/ncas/current-activity/2019/04/17/Multiple-Vulnerabilities-Broadcom-WiFi-Chipset-DriversJapan Vulnerability Notes JVNVU#90663693
Broadcom 製 Wi-Fi チップセット向けの複数のドライバに複数の脆弱性
https://jvn.jp/vu/JVNVU90663693/
概要
Broadcom 製 Wi-Fi チップセット用 Broadcom wl ドライバおよびオープンソー スの brcmfmac ドライバには、複数の脆弱性があります。結果として、遠隔の 第三者が、細工した Wi-Fi フレームを処理させることで、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品は次のとおりです。 - Broadcom wl ドライバ - brcmfmac ドライバ この問題は、brcmfmac ドライバについては、開発者が提供するパッチを適用 することで解決します。2019年4月23日現在、Broadcom wl ドライバの問題に 対する解決策は提供されていません。 なお、この問題について、ベンダなどからも情報が公開されています。修正済 みのバージョンが公開されている場合は適用することをおすすめします。詳細 は、開発者やベンダなどが提供する情報を参照してください。
【5】「Internet Week ショーケース in 仙台」開催のお知らせ
情報源
JPNIC
Internet Week ショーケース in 仙台
https://www.nic.ad.jp/sc-sendai/
概要
2019年5月30日(木) から 5月31日(金) にかけて、JPNIC が東北学術研究イン ターネットコミュニティと東北大学との共催により、東北大学 片平さくらホー ルにて「Internet Week ショーケース in 仙台」を開催いたします。プログラ ム内容などの詳細は、Web ページをご確認ください。
■今週のひとくちメモ
○長期休暇に備えて 2019/04
2019年4月18日、JPCERT/CC は「長期休暇に備えて 2019/04」を公開しました。 この呼びかけでは、JPCERT/CC が報告を受けた複数のインシデントを例に挙げ、 インシデント発生の予防および緊急時の対応に関して、対策などの要点をまと めて記載しています。休暇期間中のインシデント発生に備え、自組織のセキュ リティ対策や対応を今一度ご確認ください。
参考文献 (日本語)
JPCERT/CC
長期休暇に備えて 2019/04
https://www.jpcert.or.jp/pr/2019/pr190001.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/