<<< JPCERT/CC WEEKLY REPORT 2020-10-28 >>>
■10/18(日)〜10/24(土) のセキュリティ関連情報
目 次
【1】2020年 10月 Oracle Critical Patch Update について
【2】複数の Adobe 製品に脆弱性
【3】Google Chrome に複数の脆弱性
【4】複数の VMware 製品に脆弱性
【5】複数の Mozilla 製品に脆弱性
【6】複数の Cisco 製品に脆弱性
【7】WordPress 用プラグイン Simple Download Monitor に複数の脆弱性
【8】Chocolatey Boxstarter に ACL 設定不備による脆弱性
【9】OneThird CMS にローカルファイルインクルージョンの脆弱性
【今週のひとくちメモ】IPA が「情報セキュリティ安心相談窓口の相談状況[ 2020年第3四半期 (7月〜9月) ]」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204201.txt
https://www.jpcert.or.jp/wr/2020/wr204201.xml
【1】2020年 10月 Oracle Critical Patch Update について
情報源
CISA Current Activity
Oracle Releases October 2020 Security Bulletin
https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/oracle-releases-october-2020-security-bulletin-0
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細は、Oracle が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200040.html
関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - October 2020
https://www.oracle.com/security-alerts/cpuoct2020.html
【2】複数の Adobe 製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/adobe-releases-security-updates-multiple-products
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Illustrator - Adobe Dreamweaver - Marketo - Adobe Animate - Adobe After Effects - Adobe Photoshop - Adobe Premiere Pro - Adobe Media Encoder - Adobe InDesign - Adobe Creative Cloud Desktop Application この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020102101.htmlAdobe
Adobe Illustrator に関するセキュリティアップデート公開 | APSB20-53
https://helpx.adobe.com/jp/security/products/illustrator/apsb20-53.htmlAdobe
Adobe Dreamweaver に関するセキュリティアップデート公開 | APSB20-55
https://helpx.adobe.com/jp/security/products/dreamweaver/apsb20-55.htmlAdobe
Marketo に関するセキュリティアップデート公開 | APSB20-60
https://helpx.adobe.com/jp/security/products/marketo/apsb20-60.htmlAdobe
Adobe Animate に関するセキュリティアップデート公開 | APSB20-61
https://helpx.adobe.com/jp/security/products/animate/apsb20-61.htmlAdobe
Adobe After Effects に関するセキュリティアップデート公開 | APSB20-62
https://helpx.adobe.com/jp/security/products/after_effects/apsb20-62.htmlAdobe
Adobe Photoshop に関するセキュリティアップデート公開 | APSB20-63
https://helpx.adobe.com/jp/security/products/photoshop/apsb20-63.htmlAdobe
Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB20-64
https://helpx.adobe.com/jp/security/products/premiere_pro/apsb20-64.htmlAdobe
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB20-65
https://helpx.adobe.com/jp/security/products/media-encoder/apsb20-65.htmlAdobe
Adobe InDesign に関するセキュリティアップデート公開 | APSB20-66
https://helpx.adobe.com/jp/security/products/indesign/apsb20-66.htmlAdobe
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB20-68
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb20-68.html
【3】Google Chrome に複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 86.0.4240.111 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html
【4】複数の VMware 製品に脆弱性
情報源
CISA Current Activity
VMware Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/vmware-releases-security-updates-multiple-products
概要
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、 製品内の情報を窃取したり、任意のコードを実行したりするなどの可能性があ ります。 対象となる製品は次のとおりです。 - VMware ESXi - VMware Workstation Pro / Player (Workstation) - VMware Fusion Pro / Fusion (Fusion) - NSX-T - VMware Cloud Foundation - VMware Horizon Server - VMware Horizon Client for Windows この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2020-0023
https://www.vmware.com/security/advisories/VMSA-2020-0023.htmlVMware Security Advisories
VMSA-0020-0024
https://www.vmware.com/security/advisories/VMSA-2020-0024.html
【5】複数の Mozilla 製品に脆弱性
情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/mozilla-releases-security-updates-firefox-firefox-esr-and
概要
複数の Mozilla 製品には、脆弱性があります。結果として、第三者が任意の コードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 82 より前のバージョン - Mozilla Firefox ESR 78.4 より前のバージョン - Mozilla Thunderbird 78.4 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 82
https://www.mozilla.org/en-US/security/advisories/mfsa2020-45/Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-46/Mozilla
Security Vulnerabilities fixed in Thunderbird 78.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-47/
【6】複数の Cisco 製品に脆弱性
情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/22/cisco-releases-security-updates-multiple-products
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x
【7】WordPress 用プラグイン Simple Download Monitor に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#31425618
WordPress 用プラグイン Simple Download Monitor における複数の脆弱性
https://jvn.jp/jp/JVN31425618/
概要
WordPress 用プラグイン Simple Download Monitor には、複数の脆弱性があ ります。結果として、遠隔の第三者が当該製品の管理画面にログインしている ユーザのブラウザ上で任意のスクリプトを実行したり、細工した URL にアク セスさせることで、任意の SQL コマンドを実行したりする可能性があります。 対象となるバージョンは次のとおりです。 - Simple Download Monitor バージョン 3.8.9 より前のバージョン この問題は、Simple Download Monitor を開発者が提供する修正済みのバージ ョンに更新することで解決します。詳細は、開発者が提供する情報を参照して ださい。
関連文書 (英語)
WordPress
Simple Download Monitor
https://wordpress.org/plugins/simple-download-monitor/
【8】Chocolatey Boxstarter に ACL 設定不備による脆弱性
情報源
CERT/CC Current Activity
Chocolatey Boxstarter vulnerable to privilege escalation due to weak ACLs
https://kb.cert.org/vuls/id/208577
概要
Chocolatey が提供する Boxstarter には、ACL 設定不備による脆弱性があり ます。結果として、第三者が管理者権限で任意のコードを実行する可能性があ ります。 対象となるバージョンは次のとおりです。 - Chocolatey Boxstarter 2.13.0 より前のバージョン この問題は、Chocolatey Boxstarter を修正済みのバージョンに更新すること で解決します。詳細は Chocolatey が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90267651
Chocolatey Boxstarter に DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU90267651/
【9】OneThird CMS にローカルファイルインクルージョンの脆弱性
情報源
Japan Vulnerability Notes JVNVU#99467898
OneThird CMS におけるローカルファイルインクルージョンの脆弱性
https://jvn.jp/vu/JVNVU99467898/
概要
SpiQeソフトウェアが提供する OneThird CMS には、ローカルファイルインク ルージョンの脆弱性があります。結果として、遠隔の第三者が、機微な情報を 取得したり、任意のコードを実行したりする可能性があります。 対象となるバージョンは次のとおりです。 - OneThird CMS v1.96d より前のバージョン この問題は、OneThird CMS を修正済みのバージョンに更新することで解決し ます。詳細は SpiQeソフトウェアが提供する情報を参照してください。
関連文書 (日本語)
SpiQeソフトウェア
緊急リリース (v1.96d)について
https://onethird.net/p1340.html
■今週のひとくちメモ
○IPA が「情報セキュリティ安心相談窓口の相談状況[ 2020年第3四半期 (7月〜9月) ]」を公開
2020年10月21日、情報処理推進機構 (IPA) は「情報セキュリティ安心相談窓 口の相談状況[ 2020年第3四半期 (7月〜9月) ]」を公開しました。 Emotet 関連の相談が 7月以降増えており、特に 9月に入ってから急増してい るようです。多数の国内企業・組織で被害が発生している可能性があるため、 改めて対策状況の確認を行うことを推奨します。
参考文献 (日本語)
情報処理推進機構 (IPA)
情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月〜9月)]
https://www.ipa.go.jp/security/txt/2020/q3outline.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/