<<< JPCERT/CC WEEKLY REPORT 2020-06-24 >>>
■06/14(日)〜06/20(土) のセキュリティ関連情報
目 次
【1】Google Chrome に複数の脆弱性
【2】ISC BIND に複数の脆弱性
【3】複数の Cisco 製品に脆弱性
【4】Drupal に複数の脆弱性
【5】複数の Adobe 製品に脆弱性
【6】Treck 製 IP スタックに複数の脆弱性
【7】EC-CUBE にディレクトリトラバーサルの脆弱性
【8】VLC media player に複数の脆弱性
【今週のひとくちメモ】Adobe Flash Player が 2020年末でサポート終了
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr202401.txt
https://www.jpcert.or.jp/wr/2020/wr202401.xml
【1】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/06/16/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 83.0.4103.106 より前のバージョン この問題は、Google が提供する修正済みのバージョンに更新することで解決 します。詳細は、Google が提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/06/stable-channel-update-for-desktop_15.html
【2】ISC BIND に複数の脆弱性
情報源
US-CERT Current Activity
ISC Releases Security Advisories for BIND
https://www.us-cert.gov/ncas/current-activity/2020/06/18/isc-releases-security-advisories-bind
概要
ISC BIND には、複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.16.0 から 9.16.3 までのバージョン - BIND 9.14.9 から 9.14.12 までのバージョン - BIND 9.11.14 から 9.11.19 までのバージョン - BIND Supported Preview Edition 9.11.14-S1 から 9.11.19-S1 までのバージョン この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、ISC が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
ISC BIND 9 における脆弱性 (CVE-2020-8618、CVE-2020-8619) について
https://www.jpcert.or.jp/newsflash/2020061801.html株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8618)- バージョンアップを推奨 -
https://jprs.jp/tech/security/2020-06-18-bind9-vuln-zone-transfer.html株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8619)- バージョンアップを推奨 -
https://jprs.jp/tech/security/2020-06-18-bind9-vuln-asterisk.htmlJapan Vulnerability Notes JVNVU#91012351
ISC BIND に複数の脆弱性
https://jvn.jp/vu/JVNVU91012351/
関連文書 (英語)
ISC Knowledge Base
CVE-2020-8618: A buffer boundary check assertion in rdataset.c can fail incorrectly during zone transfer
https://kb.isc.org/docs/cve-2020-8618ISC Knowledge Base
CVE-2020-8619: An asterisk character in an empty non-terminal can cause an assertion failure in rbtdb.c
https://kb.isc.org/docs/cve-2020-8619
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/06/18/cisco-releases-multiple-security-updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 影響度 High の脆弱性情報の対象となる製品は次のとおりです。 - Cisco Small Business RV Series Routers - Cisco TelePresence Collaboration Endpoint Software - Cisco RoomOS Software - Cisco Webex Meetings - Cisco Webex Meetings Server - Cisco Webex Meetings Desktop App (Mac) ※影響度 Critical の脆弱性は、対象製品および対策方法が調査中です。詳細 は、Cisco が提供する情報を参照してください。 ※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、 影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が 提供する情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Multiple Vulnerabilities in Treck IP Stack Affecting Cisco Products: June 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-treck-ip-stack-JyBQ5GyCCisco Security Advisory
Cisco Small Business RV Series Routers Stack Overflow Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-routers-stack-vUxHmnNzCisco Security Advisory
Cisco Small Business RV110W, RV130, RV130W, and RV215W Series Routers Management Interface Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-routers-injection-tWC7krKQCisco Security Advisory
Cisco Small Business RV Series Routers Command Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-routers-Rj5JRfF8Cisco Security Advisory
Cisco TelePresence Collaboration Endpoint and RoomOS Software Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-tp-cmd-inj-7ZpWhvZbCisco Security Advisory
Cisco Webex Meetings and Cisco Webex Meetings Server Token Handling Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-token-zPvEjKNCisco Security Advisory
Cisco Webex Meetings Desktop App URL Filtering Arbitrary Program Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-client-url-fcmpdfVYCisco Security Advisory
Cisco Webex Meetings Desktop App for Mac Update Feature Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-client-mac-X7vp65BL
【4】Drupal に複数の脆弱性
情報源
US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/06/18/drupal-releases-security-updates
概要
Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 の PHP コードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.0.1 より前の 9.0 系のバージョン - Drupal 8.9.1 より前の 8.9 系のバージョン - Drupal 8.8.8 より前の 8.8 系のバージョン - Drupal 7.72 より前の 7 系のバージョン なお、Drupal によると Drupal 8.8 系より前の 8 系のバージョンは、サポー トが終了しているため、Drupal 8.8.8 に更新することを推奨しています。 この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Drupal が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Critical - Cross Site Request Forgery - SA-CORE-2020-004
https://www.drupal.org/sa-core-2020-004Drupal
Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-005
https://www.drupal.org/sa-core-2020-005
【5】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/06/17/adobe-releases-security-updates-multiple-products
概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Campaign Classic 20.1 およびそれ以前 (Windows および Linux) - Adobe After Effects 17.1 およびそれ以前 (Windows) - Adobe Illustrator 2020 24.1.2 およびそれ以前 (Windows) - Adobe Premiere Pro 14.2 およびそれ以前 (Windows) - Adobe Premiere Rush 1.5.12 およびそれ以前 (Windows) - Adobe Audition 13.0.6 およびそれ以前 (Windows) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020061701.htmlAdobe
Adobe Campaign Classic に関するセキュリティアップデート公開 | APSB19-34
https://helpx.adobe.com/jp/security/products/campaign/apsb20-34.htmlAdobe
Adobe After Effects に関するセキュリティアップデート公開 | APSB20-35
https://helpx.adobe.com/jp/security/products/after_effects/apsb20-35.htmlAdobe
Adobe Illustrator に関するセキュリティアップデート公開 | APSB20-37
https://helpx.adobe.com/jp/security/products/illustrator/apsb20-37.htmlAdobe
Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB20-38
https://helpx.adobe.com/jp/security/products/premiere_pro/apsb20-38.htmlAdobe
Adobe Premiere Rush に関するセキュリティアップデート公開 | APSB20-39
https://helpx.adobe.com/jp/security/products/premiere_rush/apsb20-39.htmlAdobe
Adobe Audition に関するセキュリティアップデート公開 | APSB20-40
https://helpx.adobe.com/jp/security/products/audition/apsb20-40.html
【6】Treck 製 IP スタックに複数の脆弱性
情報源
US-CERT Current Activity
Ripple20 Vulnerabilities Affecting Treck IP Stacks
https://www.us-cert.gov/ncas/current-activity/2020/06/16/ripple20-vulnerabilities-affecting-treck-ip-stacksJapan Vulnerability Notes JVNVU#94736763
Treck 製 IP スタックに複数の脆弱性
https://jvn.jp/vu/JVNVU94736763/
概要
Treck 社が提供する組み込み製品向け IP スタックには、複数の脆弱性があり ます。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運 用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Treck 社が提供する IP スタック 6.0.1.67 より前のバージョンを使用している製品 - 図研エルミック株式会社が提供する IP スタック KASAGO 6.0.1.33 より前のバージョンを使用している製品 この問題は、使用する IP スタックを、開発者が提供する情報をもとに修正済 みのバージョンに更新することで解決します。詳細は、開発者が提供する情報 を参照してください。
関連文書 (日本語)
図研エルミック株式会社
KASAGO製品における脆弱性に関するお知らせ
https://www.elwsc.co.jp/news/4136/
関連文書 (英語)
JSOF
Overview- Ripple20
https://www.jsof-tech.com/ripple20/
【7】EC-CUBE にディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#77458946
EC-CUBE におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN77458946/
概要
EC-CUBE には、ディレクトリトラバーサルの脆弱性があります。結果として、 ユーザ権限を持つ第三者が、サーバ内の任意のファイルやディレクトリを削除 する可能性があります。 対象となるバージョンは次のとおりです。 - EC-CUBE 4.0.0 から 4.0.3 までのバージョン - EC-CUBE 3.0.0 から 3.0.18 までのバージョン この問題は、該当する製品を株式会社イーシーキューブが提供する修正済みの バージョンに更新するか、パッチを適用することで解決します。詳細は、株式 会社イーシーキューブが提供する情報を参照してください。
関連文書 (日本語)
株式会社イーシーキューブ
ディレクトリトラバーサルの脆弱性(4.0系)
https://www.ec-cube.net/info/weakness/weakness.php?id=74株式会社イーシーキューブ
ディレクトリトラバーサルの脆弱性(3.0系)
https://www.ec-cube.net/info/weakness/weakness.php?id=73
【8】VLC media player に複数の脆弱性
情報源
Video LAN
Security Bulletin VLC 3.0.11
http://www.videolan.org/security/sb-vlc3011.html
概要
Video LAN が提供する VLC media player には、バッファオーバーフローの脆 弱性があります。結果として、第三者が特別に細工したコンテンツをユーザに 開かせることで、任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - VLC media player 3.0.10 およびそれ以前のバージョン この問題は、VLC media player を Video LAN が提供する修正済みのバージョン に更新することで解決します。詳細は、Video LAN が提供する情報を参照して ください。
■今週のひとくちメモ
○Adobe Flash Player が 2020年末でサポート終了
Adobe が提供する Adobe Flash Player は、2020年12月31日にサポートが終了 します。サポートが終了すると、アップデートやセキュリティパッチが提供さ れません。Adobe Flash Player をインストールしている場合は、サポート終 了日より前にアンインストールすることを推奨します。 なお、サポート終了日以降は、Adobe Flash Player のコンテンツ実行がブロック されるとのことです。詳細は Adobe が提供する情報を参照してください。
参考文献 (日本語)
Adobe
Adobe Flash Playerサポート終了情報ページ
https://www.adobe.com/jp/products/flashplayer/end-of-life.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/