<<< JPCERT/CC WEEKLY REPORT 2019-02-27 >>>

■02/17(日)〜02/23(土) のセキュリティ関連情報

目　次

【1】Drupal に任意のコードが実行可能な脆弱性

【2】ISC BIND 9 に複数の脆弱性

【3】複数の Cisco 製品に脆弱性

【4】Adobe Acrobat および Reader に情報漏えいの脆弱性

【5】azure-umqtt-c にサービス運用妨害 (DoS) の脆弱性

【今週のひとくちメモ】フィッシング対策協議会、サイバー犯罪被害防止啓発キャンペーンを開始

【1】Drupal に任意のコードが実行可能な脆弱性

情報源

US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/21/Drupal-Releases-Security-Updates

概要

Drupal には、脆弱性があります。結果として、遠隔の第三者が任意のコード
を実行する可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 8.6.10 より前の 8.6 系のバージョン
- Drupal 8.5.11 より前の 8.5 系のバージョン

Drupal によると、次のような条件を満たす場合に本脆弱性の影響を受けると
のことです。

- Drupal 8系で "RESTful Web Services" モジュールを有効にしている
- Drupal 8系で "JSON:API" モジュールを有効にしている
- Drupal 7系で "RESTful Web Services" モジュールを有効にしている
- Drupal 7系で "Services" モジュールを有効にしている

なお、Drupal 8.5 系より前の 8系のバージョンは、サポートが終了しており、
今回のセキュリティに関する情報は提供されていません。また、Drupal 7系に
ついても、上記条件を満たす場合は本脆弱性の影響を受けるとのことです。

この問題は、Drupal や Drupal のモジュールを Drupal などが提供する修正
済みのバージョンに更新することで解決します。詳細は、Drupal が提供する
情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190010.html

関連文書 (英語)

Drupal
Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003
https://www.drupal.org/sa-core-2019-003

Drupal
SA-CORE-2019-003 Notice of increased risk and Additional exploit path - PSA-2019-02-22
https://www.drupal.org/psa-2019-02-22

【2】ISC BIND 9 に複数の脆弱性

情報源

US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2019/02/22/ISC-Releases-Security-Updates-BIND

概要

ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.12.0 から 9.12.3-P2 まで
- BIND 9.11.0 から 9.11.5-P2 まで

なお、既にサポートが終了している、BIND 9.9 系および 9.10 系が影響する
脆弱性も含まれています。

この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
ISC BIND 9 に対する複数の脆弱性 (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190009.html

株式会社日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（メモリリークの発生）について（CVE-2018-5744） - フルリゾルバー（キャッシュDNSサーバー）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-edns-options.html

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2018-5745）- バージョンアップを推奨 -
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-managed-keys.html

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（アクセス制限の不具合によるゾーンデータの流出）について（CVE-2019-6465）- バージョンアップを推奨 -
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-dlz.html

Japan Vulnerability Notes JVNVU#92881878
ISC BIND 9 に複数の脆弱性
https://jvn.jp/vu/JVNVU92881878/

関連文書 (英語)

ISC Knowledge Base
CVE-2018-5744: A specially crafted packet can cause named to leak memory
https://kb.isc.org/docs/cve-2018-5744

ISC Knowledge Base
CVE-2018-5745: An assertion failure can occur if a trust anchor rolls over to an unsupported key algorithm when using managed-keys
https://kb.isc.org/docs/cve-2018-5745

ISC Knowledge Base
CVE-2019-6465: Zone transfer controls for writable DLZ zones were not effective
https://kb.isc.org/docs/cve-2019-6465

【3】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/20/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が権
限昇格などを行う可能性があります。

影響度 High の脆弱性情報の対象となる製品およびバージョンは次のとおりで
す。

- Cisco Container Platform
- Cisco Cloudlock
- Cisco Defense Orchestrator
- Cisco Prime Infrastructure Software 2.2 から 3.4.0 までのバージョン
- Cisco Prime Collaboration Assurance (PCA) Software 12.1 SP2 より前のバージョン
- Cisco Network Convergence System 1000 シリーズ向けの Cisco IOS XR 6.5.2 より前のバージョン
- Cisco HyperFlex Software 3.5(2a) より前のバージョン

※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。
これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してく
ださい。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。なお、2019年2月26日現在、Cisco Container Platform、
Cisco Cloudlock および Cisco Defense Orchestrator 向けの解決策は提供さ
れていません。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Container Privilege Escalation Vulnerability Affecting Cisco Products: February 2019
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190215-runc

Cisco Security Advisory
Cisco Prime Infrastructure Certificate Validation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-prime-validation

Cisco Security Advisory
Cisco Prime Collaboration Assurance Software Unauthenticated Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-pca-access

Cisco Security Advisory
Cisco Network Convergence System 1000 Series TFTP Directory Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-ncs

Cisco Security Advisory
Cisco HyperFlex Software Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-hyperflex-injection

Cisco Security Advisory
Cisco HyperFlex Software Unauthenticated Root Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-chn-root-access

【4】Adobe Acrobat および Reader に情報漏えいの脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/21/Adobe-Releases-Security-Updates

概要

Adobe Acrobat および Reader には、情報漏えいの脆弱性があります。結果と
して、遠隔の第三者が機微な情報を取得する可能性があります。

対象となるバージョンは次のとおりです。

- Adobe Acrobat Reader DC Continuous (2019.010.20091) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30120) およびそれ以前 (Windows)
- Adobe Acrobat Reader DC Classic 2015 (2015.006.30475) およびそれ以前 (Windows)
- Adobe Acrobat DC Continuous (2019.010.20091) およびそれ以前 (Windows, macOS)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30120) およびそれ以前 (Windows)
- Adobe Acrobat DC Classic 2015 (2015.006.30475) およびそれ以前 (Windows)

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB19-13) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190008.html

アドビシステムズ株式会社
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-13
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-13.html

【5】azure-umqtt-c にサービス運用妨害 (DoS) の脆弱性

情報源

Japan Vulnerability Notes JVN#05875753
azure-umqtt-c におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN05875753/

概要

azure-umqtt-c には、サービス運用妨害 (DoS) の脆弱性があります。結果と
して、遠隔の第三者が、本脆弱性の影響を受ける azure-umqtt-c を使用した
ソフトウエアに細工したメッセージを送信することで、サービス運用妨害
(DoS) 攻撃を行う可能性があります。

対象となるシステムは次のとおりです。

- 2017年10月06日より前に GitHub で公開されていた azure-umqtt-c のソース

この問題は、azure-umqtt-c を開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Github
Azure/azure-umqtt-c
https://github.com/Azure/azure-umqtt-c

■今週のひとくちメモ

○フィッシング対策協議会、サイバー犯罪被害防止啓発キャンペーンを開始

2019年2月20日より、フィッシング対策協議会の STOP. THINK. CONNECT. 普及
啓発ワーキンググループが、日本クレジットカード協会と協業し、偽メール、
偽メッセージを発端とするサイバー犯罪被害の防止のための啓発キャンペーン
を開始しています。

本啓発キャンペーンは、サイバーセキュリティ月間の関連行事として登録され
ているもので、フィッシングの急増によるクレジットカード不正利用の被害の
拡大を背景に、被害の起点であるフィッシングメールなどの「偽の通知」への
注意を促しています。本ワーキンググループが公開する啓発ポスターは、
STOP. THINK. CONNECT. 普及啓発キャンペーンサイトで公開されています。

参考文献 (日本語)

フィッシング対策協議会
フィッシング対策協議会、 日本クレジットカード協会と協業しサイバー 犯罪被害防止啓発キャンペーンを開始
https://www.antiphishing.jp/news/info/stc_promotion2019.html

STOP. THINK. CONNECT. 普及啓発キャンペーンサイト
資料ダウンロードセンター
https://stopthinkconnect.jp/interest/download/

■JPCERT/CC からのお願い