<<< JPCERT/CC WEEKLY REPORT 2018-09-20 >>>

■09/09(日)〜09/15(土) のセキュリティ関連情報

目　次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】Google Chrome に複数の脆弱性

【4】PHP に複数の脆弱性

【5】複数の Intel 製品に脆弱性

【6】サイボウズ Garoon にディレクトリトラバーサルの脆弱性

【7】FXC 製の複数のネットワーク機器にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】Microsoft が Windows や Office 製品のサポート期間などに関する情報を公開

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases September 2018 Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/09/11/Microsoft-Releases-September-2018-Security-Updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- ChakraCore
- .NET Framework
- Microsoft.Data.OData
- ASP.NET

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2018 年 9 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/498f2484-a096-e811-a978-000d3a33c573

JPCERT/CC Alert 2018-09-12
2018年 9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180038.html

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/09/11/Adobe-Releases-Security-Updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player デスクトップランタイム 30.0.0.154 およびそれ以前 (Windows 版、macOS 版 および Linux 版)
- Google Chrome 用の Adobe Flash Player 30.0.0.154 およびそれ以前 (Windows 版、macOS 版、Linux 版 および Chrome OS 版)
- Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 30.0.0.154 およびそれ以前 (Windows 10 版 および 8.1 版)
- ColdFusion (2018 release) 7月12日リリース (2018.0.0.310739)
- ColdFusion (2016 release) Update 6 およびそれ以前
- ColdFusion 11 Update 14 およびそれ以前

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe
Flash Player 用のセキュリティアップデート公開 | APSB18-31
https://helpx.adobe.com/jp/security/products/flash-player/apsb18-31.html

Adobe
ColdFusion に関するセキュリティアップデート公開 | APSB18-33
https://helpx.adobe.com/jp/security/products/coldfusion/apsb18-33.html

JPCERT/CC Alert 2018-09-12
Adobe Flash Player の脆弱性 (APSB18-31) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180037.html

JPCERT/CC CyberNewsFlash
Adobe 製品のアップデート (APSB18-33) について
https://www.jpcert.or.jp/newsflash/2018091201.html

【3】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2018/09/11/Google-Releases-Security-Update-Chrome

概要

Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 69.0.3497.92 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2018/09/stable-channel-update-for-desktop_11.html

【4】PHP に複数の脆弱性

情報源

US-CERT Current Activity
MS-ISAC Releases Advisory on PHP Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2018/09/14/MS-ISAC-Releases-Advisory-PHP-Vulnerabilities

概要

PHP には、複数の脆弱性があります。結果として、第三者が任意のコードを実
行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.2.10 より前のバージョン
- PHP 7.1.22 より前のバージョン
- PHP 7.0.32 より前のバージョン
- PHP 5.6.38 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)

The PHP Group
PHP 7 ChangeLog Version 7.2.10
http://www.php.net/ChangeLog-7.php#7.2.10

The PHP Group
PHP 7 ChangeLog Version 7.1.22
http://www.php.net/ChangeLog-7.php#7.1.22

The PHP Group
PHP 7 ChangeLog Version 7.0.32
http://www.php.net/ChangeLog-7.php#7.0.32

The PHP Group
PHP 5 ChangeLog Version 5.6.38
http://www.php.net/ChangeLog-5.php#5.6.38

Center for Internet Security
Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2018-101/

【5】複数の Intel 製品に脆弱性

情報源

Japan Vulnerability Notes JVNVU#99931791
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU99931791/

概要

複数の Intel 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となる製品は次のとおりです。

- Intel CSME
- Intel Server Platform Services
- Intel Trusted Execution Engine
- Power Management Controller (PMC)
- Intel Active Management Technology (AMT)
- Intel Data Center Manager SDK
- Intel Baseboard Management Controller (BMC)
- Intel Extreme Tuning Utility
- Intel Driver & Support Assistant
- Intel Software Asset Manager
- Intel Computing Improvement Program
- OpenVINO Toolkit for Windows
- Intel NUC

この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新
することで解決します。詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)

Intel
Intel CSME Assets Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00125.html

Intel
Power Management Controller (PMC) Security Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00131.html

Intel
Intel Active Management Technology 9.x/10.x/11.x/12.x Security Review Cumulative Update Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00141.html

Intel
Intel Data Center Manager SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00143.html

Intel
Intel Baseboard Management Controller (BMC) firmware Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00149.html

Intel
Intel Extreme Tuning Utility Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00162.html

Intel
Intel Driver & Support Assistant and Intel Software Asset Manager Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00165.html

Intel
OpenVINO Toolkit for Windows Permissions Issue Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00172.html

Intel
Intel NUC Firmware Security Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00176.html

【6】サイボウズ Garoon にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#12583112
サイボウズ Garoon におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN12583112/

概要

サイボウズ Garoon には、ディレクトリトラバーサルの脆弱性があります。結
果として、当該製品にログイン可能なユーザが、サーバ上の任意のファイルを
取得したり、改ざんしたりする可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ Garoon 3.5.0 から 4.6.3 まで

この問題は、サイボウズ Garoon にサイボウズ株式会社が提供するパッチを適
用することで解決します。詳細は、サイボウズ株式会社が提供する情報を参照
してください。

関連文書 (日本語)

サイボウズ株式会社
「Garoon 3.7 / 4.6 パッチプログラム」リリースのお知らせ (2018/9/7)
https://cs.cybozu.co.jp/2018/006717.html

【7】FXC 製の複数のネットワーク機器にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#68528150
FXC 製の複数のネットワーク機器におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN68528150/

概要

FXC 製の複数のネットワーク機器には、クロスサイトスクリプティングの脆弱
性があります。結果として、当該製品の管理者が、別の管理者のウェブブラウ
ザ上で任意のスクリプトを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- 管理機能付レイヤ2スイッチ FXC5210/5218/5224 用ファームウェア Ver1.00.22 より前のバージョン
- 管理機能付レイヤ2スイッチ FXC5426F 用ファームウェア Ver1.00.06 より前のバージョン
- 管理機能付レイヤ2スイッチ FXC5428 用ファームウェア Ver1.00.07 より前のバージョン
- 給電機能付 (PoE) スイッチ FXC5210PE/5218PE/5224PE 用ファームウェア Ver1.00.14 より前のバージョン
- 無線LANルータ AE1021/AE1021PE 用ファームウェアすべてのバージョン

この問題への対策として、対象となるレイヤ 2 スイッチおよび PoE スイッチ
製品については、修正済みのバージョンが公開されています。該当する製品を
FXC株式会社が提供する修正済みのバージョンに更新してください。
また、対象となる無線 LAN ルータ製品については、次の回避策を適用するこ
とで、本脆弱性の影響を軽減することが可能です。

- 当該製品の管理画面へのアクセスを、信頼できるメンバのみに制限する

詳細は、FXC株式会社が提供する情報を参照してください。

関連文書 (日本語)

FXC株式会社
弊社一部製品の脆弱性対策のファームウェアご提供のお知らせ
https://www.fxc.jp/news/20171228.html

■今週のひとくちメモ

○Microsoft が Windows や Office 製品のサポート期間などに関する情報を公開

2018年9月6日(米国時間)、Microsoft 社が同社のブログを更新し、Windows や
Office 製品のサポート期間などに関する情報を公開しました。

本ブログでは、2020年1月14日で終了を予定している Windows 7 のサポートに
ついて、有償で 2023年1月まで延長することが可能となる Windows 7 Extended
Security Updates (ESU) が紹介されています。また、Windows 8.1 および
Windows Server 2016 における Office 365 ProPlus などのサポート期間延長
も発表されました。

利用している製品のサポート期間が終了する前に、サポート対象製品へ移行す
ることをお勧めします。詳細は、Microsoft が提供する情報を参照してくださ
い。

参考文献 (英語)

Microsoft
Helping customers shift to a modern desktop
https://www.microsoft.com/en-us/microsoft-365/blog/2018/09/06/helping-customers-shift-to-a-modern-desktop/

■JPCERT/CC からのお願い