<<< JPCERT/CC WEEKLY REPORT 2019-10-24 >>>
■10/13(日)〜10/19(土) のセキュリティ関連情報
目 次
【1】複数の Cisco 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】2019年 10月 Oracle Critical Patch Update について
【4】WordPress に複数の脆弱性
【5】ISC BIND 9 に複数の脆弱性
【6】NetCommons3 にクロスサイトスクリプティングの脆弱性
【7】複数の VMware 製品にアクセス制御不備の脆弱性
【8】Apple Swift にファイルディスクリプタの不適切な管理に関する問題
【今週のひとくちメモ】Windows 7 および Windows Server 2008 R2 の延長サポート終了について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194101.txt
https://www.jpcert.or.jp/wr/2019/wr194101.xml
【1】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/17/cisco-releases-security-updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで す。 - Cisco Aironet AP Software - Cisco WLC Software - Cisco SPA100 Series ATAs - Cisco Small Business Smart Switches - Cisco Small Business Managed Switches ※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、 影響度 Medium の脆弱性情報、アドバイザリが公開されています。詳細は、 Cisco が提供する情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、Cisco が提供する情報 を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Aironet Access Points Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-unauth-accessCisco Security Advisory
Cisco Wireless LAN Controller Secure Shell Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-wlc-ssh-dosCisco Security Advisory
Cisco SPA100 Series Analog Telephone Adapters Remote Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-spa-rceCisco Security Advisory
Cisco Small Business Smart and Managed Switches Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-sbss-csrfCisco Security Advisory
Cisco Aironet Access Points Point-to-Point Tunneling Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-pptp-dosCisco Security Advisory
Cisco Aironet Access Points and Catalyst 9100 Access Points CAPWAP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-capwap-dos
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/10/15/adobe-releases-security-updates-multiple-products
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、 情報を窃取したり、実行ユーザの権限で任意のコードを実行したりするなどの 可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Acrobat Reader DC Continuous (2019.012.20040) およびそれ以前 (Windows, macOS) - Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30148) およびそれ以前 (Windows, macOS) - Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30503) およびそれ以前 (Windows, macOS) - Adobe Acrobat DC Continuous (2019.012.20040) およびそれ以前 (Windows, macOS) - Adobe Acrobat 2017 Classic 2017 (2017.011.30148) およびそれ以前 (Windows, macOS) - Adobe Acrobat 2015 Classic 2015 (2015.006.30503) およびそれ以前 (Windows, macOS) - Adobe Experience Manager 6.5, 6.4, 6.3 - Adobe Experience Manager Forms 6.5, 6.4, 6.3 - Adobe Download Manager 2.0.0.363 (Windows) なお、既にコアサポート期間が終了している Adobe Experience Manager 6.2、 6.1、6.0 も本脆弱性の影響を受けるとのことです。該当のバージョンを使用 している場合は、サポート対象のバージョンをご使用ください。 この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC
Adobe Acrobat および Reader の脆弱性 (APSB19-49) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190039.htmlJPCERT/CC
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019101602.htmlAdobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB19-48
https://helpx.adobe.com/jp/security/products/experience-manager/apsb19-48.htmlAdobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-49
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-49.htmlAdobe
Adobe Experience Manager Forms に関するセキュリティアップデート公開 | APSB19-50
https://helpx.adobe.com/jp/security/products/aem-forms/apsb19-50.htmlAdobe
Adobe Download Manager に関するセキュリティアップデート公開 | APSB19-51
https://helpx.adobe.com/jp/security/products/adm/apsb19-51.html
【3】2019年 10月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity
Oracle Releases October 2019 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2019/10/15/oracle-releases-october-2019-security-bulletin
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細は、Oracle が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
2019年 10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190040.html
関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - October 2019
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
【4】WordPress に複数の脆弱性
情報源
US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/10/15/wordpress-releases-security-update
概要
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - WordPress 5.2.4 より前のバージョン この問題は、WordPress を WordPress が提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。
関連文書 (英語)
WordPress
WordPress 5.2.4 Security Release
https://wordpress.org/news/2019/10/wordpress-5-2-4-security-release/
【5】ISC BIND 9 に複数の脆弱性
情報源
US-CERT Current Activity
ISC Releases Security Advisories for BIND
https://www.us-cert.gov/ncas/current-activity/2019/10/17/isc-releases-security-advisories-bind
概要
ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.14.0 から BIND 9.14.6 まで なお、開発版の BIND 9.15 系についても影響を受けるとのことです。 この問題は、ISC BIND 9 を ISC が提供する修正済みのバージョンに更新する ことで解決します。詳細は、ISC が提供する情報を参照してください。
関連文書 (日本語)
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(mirror zones機能におけるDNSSEC検証のバイパス)について(CVE-2019-6475)- mirror zones機能を設定している場合のみ対象、バージョンアップを推奨
https://jprs.jp/tech/security/2019-10-17-bind9-vuln-mirror-zones.html株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6476)- バージョンアップを推奨
https://jprs.jp/tech/security/2019-10-17-bind9-vuln-qname-minimisation.htmlJapan Vulnerability Notes JVNVU#98919979
ISC BIND 9 における複数の脆弱性
https://jvn.jp/vu/JVNVU98919979/JPCERT/CC
ISC BIND 9 における脆弱性 (CVE-2019-6475、CVE-2019-6476) について
https://www.jpcert.or.jp/newsflash/2019101701.html
関連文書 (英語)
Internet Systems Consortium, Inc. (ISC)
CVE-2019-6475: A flaw in mirror zone validity checking can allow zone data to be spoofed
https://kb.isc.org/docs/cve-2019-6475Internet Systems Consortium, Inc. (ISC)
CVE-2019-6476: An error in QNAME minimization code can cause BIND to exit with an assertion failure
https://kb.isc.org/docs/cve-2019-6476Internet Systems Consortium, Inc. (ISC)
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913
【6】NetCommons3 にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#74530672
NetCommons3 におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN74530672/
概要
NetCommonsプロジェクトが提供する NetCommons3 には、クロスサイトスクリ プティングの脆弱性があります。結果として、遠隔の第三者が、当該製品にロ グインしているユーザのウェブブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは次のとおりです。 - NetCommons3.2.2 およびそれ以前の 3.0 系バージョン この問題は、NetCommons3 を NetCommonsプロジェクトが提供する修正済みの バージョンに更新することで解決します。詳細は、NetCommonsプロジェクトが 提供する情報を参照してください。
関連文書 (日本語)
NetCommonsプロジェクト
次世代の情報共有基盤システムNetCommons(ネットコモンズ)
https://www.netcommons.org/NetCommons3/
【7】複数の VMware 製品にアクセス制御不備の脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Update for Harbor Container Registry for PCF
https://www.us-cert.gov/ncas/current-activity/2019/10/16/vmware-releases-security-update-harbor-container-registry-pcf
概要
複数の VMware 製品には、アクセス制御不備の脆弱性があります。結果として、 遠隔の第三者が、当該ソフトウェアを介してアクセス可能なプロジェクトに隣 接する別プロジェクトのコンテナイメージを取得・変更する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Harbor Registry がデプロイされている VMware Cloud Foundation - VMware Harbor Container Registry for PCF 1.8.4 より前の 1.8 系バージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2019-0016
https://www.vmware.com/security/advisories/VMSA-2019-0016.html
【8】Apple Swift にファイルディスクリプタの不適切な管理に関する問題
情報源
Japan Vulnerability Notes JVNVU#91825432
Apple Swift における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU91825432/
概要
Apple Swift には、URLSession でのファイルディスクリプタの管理に問題が あります。結果として、第三者が情報を窃取する可能性があります。 対象となるバージョンは次のとおりです。 - Swift 5.1.1 for Ubuntu より前のバージョン この問題は、Apple Swift を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Apple
Ubuntu 向け Swift 5.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210647
■今週のひとくちメモ
○Windows 7 および Windows Server 2008 R2 の延長サポート終了について
2019年10月17日 (米国時間)、US-CERT から Windows 7 および Windows Server 2008 R2 の延長サポート終了についての注意喚起が公開されました。 2020年1月14日をもって、当該製品の延長サポートが終了します。サポート終 了後は、マルウエアへの感染や情報漏えいなどの被害を受けやすくなります。 当該製品を利用している場合、サポートが行われているバージョンへの移行を お勧めします。
参考文献 (日本語)
JPCERT/CC
Windows 7 および Windows Server 2008 R2 の延長サポート終了について
https://www.jpcert.or.jp/newsflash/2019101801.htmlマイクロソフト株式会社
2020 年 1 月 14 日に Windows 7 のサポートが終了します
https://www.microsoft.com/ja-jp/windows/windows-7-end-of-life-support-informationマイクロソフト株式会社
Windows Server 2008 および Windows Server 2008 R2 のサポート終了
https://support.microsoft.com/ja-jp/help/4456235/end-of-support-for-windows-server-2008-and-windows-server-2008-r2マイクロソフト株式会社
Windows ライフサイクルのファクト シート
https://support.microsoft.com/ja-jp/help/13853/windows-lifecycle-fact-sheet
参考文献 (英語)
US-CERT
Microsoft Ending Support for Windows 7 and Windows Server 2008 R2
https://www.us-cert.gov/ncas/alerts/aa19-290a
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/