<<< JPCERT/CC WEEKLY REPORT 2019-02-20 >>>

■02/10(日)〜02/16(土) のセキュリティ関連情報

目　次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】複数の Mozilla 製品に脆弱性

【4】runc に権限昇格の脆弱性

【5】複数の VMware 製品に脆弱性

【6】Cisco Network Assurance Engine CLI に認証回避の脆弱性

【7】複数の Intel 製品に脆弱性

【8】V20 PRO L-01J にクラッシュが引き起こされる脆弱性

【今週のひとくちメモ】総務省および NICT IoT 機器の調査及び利用者への注意喚起を行う「NOTICE」を実施

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases February 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/12/Microsoft-Releases-February-2019-Security-Updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- ChakraCore
- .NET Framework
- Microsoft Exchange Server
- Microsoft Visual Studio
- Azure IoT SDK
- Microsoft Dynamics
- Team Foundation Server
- Visual Studio Code

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2019 年 2 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

JPCERT/CC 注意喚起
2019年 2月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190006.html

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/12/Adobe-Releases-Security-Updates

Adobe
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1705

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player Desktop Runtime (32.0.0.114) およびそれ以前 (Windows, macOS および Linux)
- Adobe Flash Player for Google Chrome (32.0.0.114) およびそれ以前 (Windows, macOS, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.114) およびそれ以前 (Windows 10 および Windows 8.1)
- Adobe Acrobat Reader DC Continuous (2019.010.20069) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30113) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader DC Classic 2015 (2015.006.30464) およびそれ以前 (Windows, macOS)
- Adobe Acrobat DC Continuous (2019.010.20069) およびそれ以前 (Windows, macOS)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30113) およびそれ以前 (Windows, macOS)
- Adobe Acrobat DC Classic 2015 (2015.006.30464) およびそれ以前 (Windows, macOS)
- Adobe ColdFusion 2018 Update 1 およびそれ以前
- Adobe ColdFusion 2016 Update 7 およびそれ以前
- Adobe ColdFusion 11 Update 15 およびそれ以前
- Adobe Creative Cloud デスクトップアプリケーション (インストーラ) 4.7.0.400 およびそれ以前 (Windows)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB19-07) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190004.html

JPCERT/CC 注意喚起
Adobe Flash Player の脆弱性 (APSB19-06) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190005.html

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019021301.html

Adobe
Flash Player に関するセキュリティアップデート公開 | APSB19-06
https://helpx.adobe.com/jp/security/products/flash-player/apsb19-06.html

Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-07
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-07.html

Adobe
ColdFusion に関するセキュリティアップデート公開 | APSB19-10
https://helpx.adobe.com/jp/security/products/coldfusion/apsb19-10.html

Adobe
Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB19-11
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb19-11.html

Japan Vulnerability Notes JVN#50810870
Creative Cloud Desktop Application のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN50810870/

【3】複数の Mozilla 製品に脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/02/12/Mozilla-Releases-Security-Updates-Firefox

US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/02/14/Mozilla-Releases-Security-Update-Thunderbird

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 65.0.1 より前のバージョン
- Mozilla Firefox ESR 60.5.1 より前のバージョン
- Mozilla Thunderbird 60.5.1 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)

Mozilla
Security vulnerabilities fixed in Firefox 65.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-04/

Mozilla
Security vulnerabilities fixed in Firefox ESR 60.5.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-05/

Mozilla
Security vulnerabilities fixed in Thunderbird 60.5.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-06/

【4】runc に権限昇格の脆弱性

情報源

US-CERT Current Activity
runc Open-Source Container Vulnerability
https://www.us-cert.gov/ncas/current-activity/2019/02/11/runc-Open-Source-Container-Vulnerability

概要

Docker コンテナ等で使用される runc には、権限昇格の脆弱性があります。
結果として、第三者が、コンテナを起動しているホスト上の runc を上書きし、
root 権限で任意のコマンドを実行する可能性があります。

各ディストリビューションにおける対象バージョンは次のとおりです。

- Ubuntu : runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1 より前のバージョン
- Debian : runc 0.1.1+dfsg1-2 より前のバージョン
- RedHat Enterprise Linux : docker 1.13.1-91.git07f3374.el7 より前のバージョン
- Amazon Linux : docker 18.06.1ce-7.25.amzn1.x86_64 より前のバージョン
- Docker : docker 18.09.2 より前のバージョン

※上記以外の runc を使用するコンテナサービスも該当する可能性があります。
脆弱性の影響については、利用しているコンテナサービスの提供元の情報をご
確認ください。

この問題は、該当する製品を修正済みのバージョンに更新することで解決しま
す。詳細は、各ディストリビュータが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
runc の権限昇格の脆弱性 (CVE-2019-5736) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190007.html

関連文書 (英語)

MITRE
CVE-2019-5736
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736

Openwall
CVE-2019-5736: runc container breakout (all versions)
https://www.openwall.com/lists/oss-security/2019/02/11/2

Github (Docker)
docker/docker-ce Release
https://github.com/docker/docker-ce/releases/tag/v18.09.2

AWS
Container Security Issue (CVE-2019-5736)
https://aws.amazon.com/jp/security/security-bulletins/AWS-2019-002/

Github (Azure)
AKS 2019-02-12 - Hotfix Release
https://github.com/Azure/AKS/releases/tag/2019-02-12

Kubernetes
Runc and CVE-2019-5736
https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/

Ubuntu
CVE-2019-5736 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-5736.html

Redhat
runc - Malicious container escape - CVE-2019-5736
https://access.redhat.com/security/vulnerabilities/runcescape

【5】複数の VMware 製品に脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/15/VMware-Releases-Security-Updates

概要

複数の VMware 製品には、脆弱性があります。結果として、第三者が、コンテ
ナを起動しているホスト上の runc を上書きし、root 権限で任意のコマンド
を実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware Integrated OpenStack with Kubernetes (VIO-K) 5.x 系のバージョン
- VMware PKS (PKS) 1.2.x 系および 1.3.x 系のバージョン
- VMware vCloud Director Container Service Extension (CSE) 1.x 系のバージョン
- vSphere Integrated Containers (VIC) 1.x 系のバージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。なお、2019年2月20日現在、
VIO-K 向けのパッチはまだ提供されていません。詳細は、VMware が提供する情
報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2019-0001.2
https://www.vmware.com/security/advisories/VMSA-2019-0001.html

【6】Cisco Network Assurance Engine CLI に認証回避の脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/02/12/Cisco-Releases-Security-Update

概要

Cisco Network Assurance Engine CLI には、認証回避の脆弱性があります。
結果として、第三者が、情報を窃取したり、サービス運用妨害 (DoS) 攻撃を
行ったりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Cisco Network Assurance Engine (NAE) Release 3.0(1)

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Network Assurance Engine CLI Access with Default Password Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190212-nae-dos

【7】複数の Intel 製品に脆弱性

情報源

Japan Vulnerability Notes JVNVU#99119322
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU99119322/

概要

Intel 製品には、複数の脆弱性があります。結果として、遠隔の第三者が権限
を昇格するなどの可能性があります。

対象となる製品は次のとおりです。

- Intel PROSet Wireless Driver
- Intel USB 3.0 eXtensible Host Controller Driver for Microsoft Windows 7
- Intel Unite
- Intel Data Center Manager SDK
- Intel OpenVINO 2018 for Linux

この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新
することで解決します。詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)

Intel
INTEL-SA-00169 - Intel PROSet Wireless Driver Denial of Service Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00169.html

Intel
INTEL-SA-00200 - Intel USB 3.0 eXtensible Host Controller Driver Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00200.html

Intel
INTEL-SA-00214 - Intel Unite Privilege Escalation Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00214.html

Intel
INTEL-SA-00215 - Intel Data Center Manager SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00215.html

Intel
INTEL-SA-00222 - Intel OpenVINO 2018 for Linux Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00222.html

【8】V20 PRO L-01J にクラッシュが引き起こされる脆弱性

情報源

Japan Vulnerability Notes JVN#40439414
V20 PRO L-01J においてクラッシュが引き起こされる脆弱性
https://jvn.jp/jp/JVN40439414/

概要

株式会社NTTドコモが提供する Android スマートフォン端末 V20 PRO L-01J 
には、Wi-Fi CERTIFIED Passpoint を利用した接続処理に不備があります。結
果として、Passpoint を有効にしている当該製品がクラッシュする可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- V20 PRO L-01J ソフトウェアバージョン L01J20c および L01J20d

この問題は、該当する製品を株式会社NTTドコモが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社NTTドコモが提供する情報を
参照してください。

関連文書 (日本語)

株式会社NTTドコモ
V20 PRO L-01Jの製品アップデート情報
https://www.nttdocomo.co.jp/support/utilization/product_update/list/l01j/

■今週のひとくちメモ

○総務省および NICT IoT 機器の調査及び利用者への注意喚起を行う「NOTICE」を実施

総務省および NICT は、2019年2月20日 (水) からインターネットサービスプ
ロバイダと連携し、サイバー攻撃に悪用されるおそれのある IoT 機器の調査
及び当該機器の利用者への注意喚起を行う取組「NOTICE (National Operation
Towards IoT Clean Environment) 」を実施します。

近年、IoT 機器を狙ったサイバー攻撃は増加傾向にあり、センサや Web カメ
ラなどの IoT 機器は、管理が行き届きにくい等の理由から、サイバー攻撃に
狙われやすい特徴を持っています。諸外国においては、IoT 機器を悪用した大
規模なサイバー攻撃によりインターネットに障害が生じるなど、深刻な被害が
発生していることから、対策の必要性が高まっているとして取り組みが行われ
るとのことです

「NOTICE」の詳細は、NICT が提供する情報を参照してください。

参考文献 (日本語)

国立研究開発法人情報通信研究機構 (NICT)
IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施
https://www.nict.go.jp/press/2019/02/01-1.html

国立研究開発法人情報通信研究機構 (NICT)
IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて (2月14日更新)
https://www.nict.go.jp/info/topics/2019/02/13-2.html

■JPCERT/CC からのお願い