<<< JPCERT/CC WEEKLY REPORT 2020-07-01 >>>
■06/21(日)〜06/27(土) のセキュリティ関連情報
目 次
【1】Windows Spatial Data Service に権限昇格の脆弱性
【2】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性
【3】Apache Tomcat にサービス運用妨害 (DoS) の脆弱性
【4】Cisco IOS XE Software に Telnet に起因するバッファオーバーフローの脆弱性
【5】複数の VMware 製品に脆弱性
【6】Magento に複数の脆弱性
【7】Chrome拡張機能e-Tax受付システムAP に任意のコマンドが実行可能な脆弱性
【8】三菱電機製 MELSEC iQ-R、iQ-F、Q、L、FX シリーズの CPU ユニットと GX Works3 および GX Works2 間の通信が平文で行われている脆弱性
【今週のひとくちメモ】IPA が「サイバーレスキュー隊(J-CRAT)活動状況 [2019年度下半期]」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr202501.txt
https://www.jpcert.or.jp/wr/2020/wr202501.xml
【1】Windows Spatial Data Service に権限昇格の脆弱性
情報源
US-CERT Current Activity
Microsoft Releases Security Updates for Windows
https://www.us-cert.gov/ncas/current-activity/2020/06/19/microsoft-releases-security-updates-windows
概要
Windows Spatial Data Service には、権限昇格の脆弱性があります。 対象となる製品は次のとおりです。 - Windows 10 Version 1903 for x64-based Systems - Windows 10 Version 1903 for 32-bit Systems この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (英語)
マイクロソフト株式会社
CVE-2020-1441 | Windows Spatial Data Service Elevation of Privilege Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1441
【2】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/06/23/google-releases-security-updates-chrome
概要
Google Chrome には、解放済みメモリの使用に関する脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 83.0.4103.116 より前のバージョン この問題は、Google が提供する修正済みのバージョンに更新することで解決 します。詳細は、Google が提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/06/stable-channel-update-for-desktop_22.html
【3】Apache Tomcat にサービス運用妨害 (DoS) の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99474519
Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU99474519/
概要
Apache Software Foundation が提供する Apache Tomcat には、サービス運用 妨害 (DoS) の脆弱性があります。結果として、遠隔の第三者が、大量の細工 された一連の HTTP / 2リクエストによるサービス運用妨害 (DoS) 攻撃を行う 可能性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 10.0.0-M1 から 10.0.0-M5 まで - Apache Tomcat 9.0.0.M1 から 9.0.35 まで - Apache Tomcat 8.5.0 から 8.5.55 まで この問題は、Apache Tomcat を Apache Software Foundation が提供する修正 済みのバージョンに更新することで解決します。詳細は Apache Software Foundation が提供する情報を参照してください。
関連文書 (英語)
Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M6
http://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M6Apache Software Foundation
Fixed in Apache Tomcat 9.0.36
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.36Apache Software Foundation
Fixed in Apache Tomcat 8.5.56
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.56
【4】Cisco IOS XE Software に Telnet に起因するバッファオーバーフローの脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Advisory for Telnet Vulnerability in IOS XE Software
https://www.us-cert.gov/ncas/current-activity/2020/06/25/cisco-releases-security-advisory-telnet-vulnerability-ios-xe
概要
Cisco IOS XE Software には Telnet に起因するバッファーオーバーフローの 脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能 性があります。 対象となる製品は次のとおりです。 - persistent Telnet 機能を設定している Cisco IOS XE 2020年7月1日時点で、修正済みのバージョンは提供されていません。Cisco が この問題に対する回避策に関する情報を提供しています。詳細は、Cisco が提 供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Telnet Vulnerability Affecting Cisco Products: June 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-telnetd-EFJrEzPx
【5】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/06/24/vmware-releases-security-updates-multiple-products
概要
複数の VMware 製品には、脆弱性があります。結果として、第三者が仮想マシ ン上からハイパーバイザーで任意のコードを実行したり、情報窃取したりする などの可能性があります。 対象となる製品は次のとおりです。 - VMware ESXi - VMware Workstation Pro / Player (Workstation) - VMware Fusion Pro / Fusion (Fusion) - VMware Cloud Foundation この問題は、該当する製品に VMware が提供するパッチを適用することで解決 します。詳細は、VMware が提供する情報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2020-0015.1
https://www.vmware.com/security/advisories/VMSA-2020-0015.html
【6】Magento に複数の脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Magento
https://www.us-cert.gov/ncas/current-activity/2020/06/23/adobe-releases-security-updates-magento
概要
Magento には、複数の脆弱性があります。結果として、第三者が任意のコード を実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Magento Commerce 1 1.14.4.5 およびそれ以前 - Magento Open Source 1 1.9.4.5 およびそれ以前 この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 なお Adobe によると、Magento Commerce 1.14 および Magento Open Source 1 のサポートは 2020年6月30日に終了し、今回のセキュリティアップデートが最 後であるとのことです。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Magento に関するアップデート (APSB20-41) について
https://www.jpcert.or.jp/newsflash/2020062301.html
関連文書 (英語)
Adobe
Security Updates Available for Magento | APSB20-41
https://helpx.adobe.com/security/products/magento/apsb20-41.html
【7】Chrome拡張機能e-Tax受付システムAP に任意のコマンドが実行可能な脆弱性
情報源
Japan Vulnerability Notes JVN#40039627
Chrome拡張機能e-Tax受付システムAP において任意のコマンドが実行可能な脆弱性
https://jvn.jp/jp/JVN40039627/
概要
Chrome拡張機能e-Tax受付システムAP には、特定の条件下で任意のコマンドが 実行可能な脆弱性があります。結果として、遠隔の第三者が任意のコマンドを 実行する可能性があります。 対象となるバージョンは次のとおりです。 - Chrome拡張機能e-Tax受付システムAP Ver1.0.0.0 この問題は、該当する製品を国税庁が提供する修正済みのバージョンに更新す ることで解決します。詳細は、国税庁が提供する情報を参照してください。
関連文書 (日本語)
国税庁
国税庁が提供するChrome拡張機能のバージョンアップについて(令和2年6月18日)
https://www.e-tax.nta.go.jp/topics/topics_200618.htm
【8】三菱電機製 MELSEC iQ-R、iQ-F、Q、L、FX シリーズの CPU ユニットと GX Works3 および GX Works2 間の通信が平文で行われている脆弱性
情報源
Japan Vulnerability Notes JVNVU#91424496
三菱電機製 MELSEC iQ-R、iQ-F、Q、L、FX シリーズの CPU ユニットと GX Works3 および GX Works2 間の通信が平文で行われている脆弱性
https://jvn.jp/vu/JVNVU91424496/
概要
三菱電機製 MELSEC iQ-R、iQ-F、Q、L、FX シリーズには、CPU ユニットと GX Works3 および GX Works2 間の通信が平文で行われている脆弱性があります。 結果として、遠隔の第三者が、不正な操作をしたり、サービス運用妨害 (DoS) 攻撃をしたりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - MELSEC iQ-R、iQ-F、Q、L、FX シリーズの CPU ユニット すべてのバージョン 三菱電機株式会社はこの問題に対する回避策に関する情報を提供しています。 詳細は、三菱電機株式会社が提供する情報を参照してください。
関連文書 (日本語)
三菱電機株式会社
MELSEC iQ-R、iQ-F、Q、L、FXシリーズ のCPUユニットとGX Works3およびGX Works2間の通信に、情報漏えい、情報改ざん、不正操作、サービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-003.pdf
■今週のひとくちメモ
○IPA が「サイバーレスキュー隊(J-CRAT)活動状況 [2019年度下半期]」を公開
2020年6月24日、情報処理推進機構 (IPA) は「サイバーレスキュー隊(J-CRAT) 活動状況 [2019年度下半期]」を公開しました。2019年4月から2020年3月に、 「標的型サイバー攻撃特別相談窓口」に対して寄せられた相談件数、緊急を要 する事案に対してレスキュー支援を行った件数、およびオンサイトでの支援件 数をまとめています。また2019年度下半期の活動で観測された攻撃キャンペー ンや SSLVPN 装置の侵入事例について述べられています。
参考文献 (日本語)
情報処理推進機構 (IPA)
サイバーレスキュー隊(J-CRAT)活動状況 [2019年度下半期]
https://www.ipa.go.jp/files/000083013.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/