<<< JPCERT/CC WEEKLY REPORT 2020-06-03 >>>
■05/24(日)〜05/30(土) のセキュリティ関連情報
目 次
【1】複数の Cisco 製品に SaltStack Salt に起因する脆弱性
【2】Microsoft Edge に権限昇格の脆弱性
【3】複数の VMware 製品に脆弱性
【4】Gitlab に複数の脆弱性
【5】複数の Apple 製品に脆弱性
【6】複数のサイボウズ製品に脆弱性
【今週のひとくちメモ】IPA が「情報セキュリティ対策支援サイト」刷新版を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr202101.txt
https://www.jpcert.or.jp/wr/2020/wr202101.xml
【1】複数の Cisco 製品に SaltStack Salt に起因する脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates for CML and VIRL-PE
https://www.us-cert.gov/ncas/current-activity/2020/05/29/cisco-releases-security-updates-cml-and-virl-pe
概要
複数の Cisco 製品には、SaltStack Salt に起因する脆弱性があります。結果 として、遠隔の第三者が、任意のコマンドを実行したり、情報を窃取したりす るなどの可能性があります。 対象となる製品は次のとおりです。 - Cisco Modeling Labs Corporate Edition (CML) - Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) この問題は、該当する製品を Cisco が提供するパッチを適用することで解決 します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200020.html
関連文書 (英語)
Cisco Security Advisory
SaltStack FrameWork Vulnerabilities Affecting Cisco Products
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-salt-2vx545AGSaltStack
Critical Vulnerabilities Update: CVE-2020-11651 and CVE-2020-11652
https://community.saltstack.com/blog/critical-vulnerabilities-update-cve-2020-11651-and-cve-2020-11652/
【2】Microsoft Edge に権限昇格の脆弱性
情報源
US-CERT Current Activity
Microsoft Releases Security Update for Edge
https://www.us-cert.gov/ncas/current-activity/2020/05/22/microsoft-releases-security-update-edge
概要
Microsoft Edge には、権限昇格の脆弱性があります。結果として、第三者が 上位の権限を取得する可能性があります。 対象となるバージョンは次のとおりです。 - Microsoft Edge (Chromium ベース) 83.0.478.37 より前のバージョン この問題は、Microsoft Edge を Microsoft が提供する修正済みのバージョン に更新することで解決します。詳細は、Microsoft が提供する情報を参照して ください。
関連文書 (日本語)
マイクロソフト株式会社
CVE-2020-1195 | Microsoft Edge (Chromium ベース) の特権の昇格の脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2020-1195
【3】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/05/29/vmware-releases-security-updates-multiple-products
概要
複数の VMware 製品には、脆弱性があります。結果として、該当製品のユーザ 権限を持つ第三者が、root 権限を取得するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware ESXi 6.7 - VMware ESXi 6.5 - VMware Workstation Pro / Player 15 系のバージョン - VMware Fusion Pro / Fusion 11 系のバージョン - VMware Remote Console for Mac 11 系のバージョンおよびそれ以前 - VMware Horizon Client for Mac 5 系のバージョンおよびそれ以前 この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2020-0011
https://www.vmware.com/security/advisories/VMSA-2020-0011.html
【4】Gitlab に複数の脆弱性
情報源
GitLab
GitLab Security Release: 13.0.1, 12.10.7, 12.9.8
https://about.gitlab.com/releases/2020/05/27/security-release-13-0-1-released/
概要
GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用 妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - GitLab Community および Enterprise Edition 13.0.1 より前の 13.0 系バージョン - GitLab Community および Enterprise Edition 12.10.7 より前の 12.10 系バージョン - GitLab Community および Enterprise Edition 12.9.8 より前の 12.9 系バージョン なお、上記に記載されていないバージョンも影響を受けるとのことです。詳細 は GitLab が提供する情報を参照してください。 この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新 することで解決します。詳細は、GitLab が提供する情報を参照してください。
【5】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/06/02/apple-releases-security-updatesUS-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/05/27/apple-releases-security-updatesCERT/CC Vulnerability Note VU#127371
iOS, iPadOS, tvOS, watchOS, and macOS contain an unspecified kernel vulnerability
https://kb.cert.org/vuls/id/127371/
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を窃取したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 13.5.1 より前のバージョン - iOS 12.4.7 より前のバージョン - iPadOS 13.5.1 より前のバージョン - macOS Catalina 10.15.5 (Supplemental Update 未適用) - macOS Mojave (Security Update 2020-003 未適用) - macOS High Sierra (Security Update 2020-003 未適用) - tvOS 13.4.6 より前のバージョン - watchOS 6.2.6 より前のバージョン - watchOS 5.3.7 より前のバージョン - Safari 13.1.1 より前のバージョン - iTunes 12.10.7 for Windows より前のバージョン - iCloud for Windows 11.2 より前のバージョン - iCloud for Windows 7.19 より前のバージョン - Windows Migration Assistant 2.2.0.0 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96200968
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU96200968/Japan Vulnerability Notes JVNVU#98042162
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98042162/Japan Vulnerability Notes JVNVU#98960050
iOS のカーネルに Jailbreak につながる脆弱性
https://jvn.jp/vu/JVNVU98960050/
関連文書 (英語)
Apple
About the security content of iOS 13.5.1 and iPadOS 13.5.1
https://support.apple.com/en-us/HT211214Apple
About the security content of iOS 12.4.7
https://support.apple.com/en-us/HT211169Apple
About the security content of macOS Catalina 10.15.5 Supplemental Update, Security Update 2020-003 High Sierra
https://support.apple.com/ja-jp/HT211215Apple
About the security content of macOS Catalina 10.15.5, Security Update 2020-003 Mojave, Security Update 2020-003 High Sierra
https://support.apple.com/en-us/HT211170Apple
About the security content of tvOS 13.4.6
https://support.apple.com/ja-jp/HT211216Apple
About the security content of watchOS 6.2.6
https://support.apple.com/ja-jp/HT211217Apple
About the security content of watchOS 5.3.7
https://support.apple.com/en-us/HT211176Apple
About the security content of Safari 13.1.1
https://support.apple.com/en-us/HT211177Apple
About the security content of iTunes 12.10.7 for Windows
https://support.apple.com/en-us/HT211178Apple
About the security content of iCloud for Windows 11.2
https://support.apple.com/en-us/HT211179Apple
About the security content of iCloud for Windows 7.19
https://support.apple.com/en-us/HT211181Apple
About the security content of Windows Migration Assistant 2.2.0.0
https://support.apple.com/en-us/HT211186
【6】複数のサイボウズ製品に脆弱性
情報源
Japan Vulnerability Notes JVN#59552136
Cybozu Desktop Windows版において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN59552136/Japan Vulnerability Notes JVN#78745667
複数のサイボウズ製品における脆弱性に対するアップデート
https://jvn.jp/jp/JVN78745667/
概要
複数のサイボウズ製品には脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cybozu Desktop Windows版 2.0.23 から 2.2.40 まで - メールワイズ for Android 1.0.0 から 1.0.1 まで - kintone mobile for Android 1.0.0 から 2.5 まで この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、サイボウズ株式会社が提供する 情報を参照してください。
関連文書 (日本語)
サイボウズからのお知らせ
Cybozu Desktop 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2020/007043.htmlサイボウズからのお知らせ
メールワイズ for Android 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2020/007011.htmlサイボウズからのお知らせ
kintone mobile for Android 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2020/007002.html
■今週のひとくちメモ
○IPA が「情報セキュリティ対策支援サイト」刷新版を公開
2020年5月28日、独立行政法人情報処理推進機構 (IPA) は、「情報セキュリ ティ対策支援サイト」の刷新版を公開しました。今回の刷新版では、Web サイ トの操作性の向上を図り、組織の情報セキュリティへの取組状況を自己診断す るサービスや、利用者の立場に合わせた学習コースを新たに提供しています。 企業・組織内の情報セキュリティ対策水準の向上にご活用ください。
参考文献 (日本語)
IPA 独立行政法人 情報処理推進機構
情報セキュリティ対策支援サイトの公開について
https://www.ipa.go.jp/security/isec-portal/index.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/