<<< JPCERT/CC WEEKLY REPORT 2019-03-13 >>>
■03/03(日)〜03/09(土) のセキュリティ関連情報
目 次
【1】複数の Cisco 製品に脆弱性
【2】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性
【3】Adobe ColdFusion にファイルアップロードの制限が回避される脆弱性
【4】Dradis Community Edition および Dradis Professional Edition にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】2018年度 中南米CSIRT動向調査
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191001.txt
https://www.jpcert.or.jp/wr/2019/wr191001.xml
【1】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/06/Cisco-Releases-Security-Updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔またはローカ ルの第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりするなどの可能性があります。 影響度 High の脆弱性情報の対象となる製品は次のとおりです。 - Cisco Firepower 4100 Series Next-Generation Firewalls - Cisco Firepower 9300 Security Appliance - Cisco MDS 9000 Series Multilayer Switches - Cisco Nexus 1000V Switch for Microsoft Hyper-V - Cisco Nexus 1000V Switch for VMware vSphere - Cisco Nexus 2000 Series Fabric Extenders - Cisco Nexus 3000 Series Switches - Cisco Nexus 3500 Series Switches - Cisco Nexus 3500 Platform Switches - Cisco Nexus 3600 Platform Switches - Cisco Nexus 5500 Platform Switches - Cisco Nexus 5600 Platform Switches - Cisco Nexus 6000 Series Switches - Cisco Nexus 7000 Series Switches - Cisco Nexus 7700 Series Switches - Cisco Nexus 9000 Series Switches in standalone NX-OS mode - Cisco Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode - Cisco Nexus 9500 R-Series Line Cards and Fabric Modules - Cisco UCS 6200 Series Fabric Interconnects - Cisco UCS 6300 Series Fabric Interconnects - Cisco UCS 6400 Series Fabric Interconnects ※上記製品以外にも、影響度 Medium および Informational の複数の脆弱性 情報が公開されています。これらの対象製品の情報は、Cisco が提供するアド バイザリ情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Nexus 9000 Series Switches Standalone NX-OS Mode Tetration Analytics Agent Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-tetra-aceCisco Security Advisory
Cisco FXOS and NX-OS Lightweight Directory Access Protocol Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxosldapCisco Security Advisory
Cisco NX-OS Software Image Signature Verification Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-sig-verifCisco Security Advisory
Cisco NX-OS Software Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-privescaCisco Security Advisory
Cisco NX-OS Software Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-privescCisco Security Advisory
Cisco NX-OS Software Bash Shell Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-peCisco Security Advisory
Cisco Nexus 9000 Series Switches Standalone NX-OS Mode Fibre Channel over Ethernet NPV Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-npv-dosCisco Security Advisory
Cisco NX-OS Software Netstack Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-netstackCisco Security Advisory
Cisco NX-OS Software Unauthorized Filesystem Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-file-accessCisco Security Advisory
Cisco NX-OS Software Cisco Fabric Services Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-fabric-dosCisco Security Advisory
Cisco NX-OS Software Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-escalationCisco Security Advisory
Cisco FXOS and NX-OS Software Unauthorized Directory Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-directoryCisco Security Advisory
Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1613)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1613Cisco Security Advisory
Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1612)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1612Cisco Security Advisory
Cisco FXOS and NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1611)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1611Cisco Security Advisory
Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1607)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1607Cisco Security Advisory
Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1606)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1606Cisco Security Advisory
Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1610)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1610Cisco Security Advisory
Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1609)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1609Cisco Security Advisory
Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1608)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1608Cisco Security Advisory
Cisco NX-OS Software NX-API Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-NXAPI-cmdinjCisco Security Advisory
Cisco NX-OS Software 802.1X Extensible Authentication Protocol over LAN Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nx-os-lan-authCisco Security Advisory
Cisco NX-OS Software Bash Shell Role-Based Access Control Bypass Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nx-os-bash-escalCisco Security Advisory
Cisco NX-OS Software NX-API Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nx-os-api-exCisco Security Advisory
Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Shell Escape Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-aci-shell-escape
【2】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/03/07/Google-Releases-Security-Updates-Chrome
概要
Google Chrome には、FileReader における解放済みメモリ使用の脆弱性があ ります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性が あります。 対象となるバージョンは次のとおりです。 - Google Chrome 72.0.3626.121 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html
【3】Adobe ColdFusion にファイルアップロードの制限が回避される脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for ColdFusion
https://www.us-cert.gov/ncas/current-activity/2019/03/01/Adobe-Releases-Security-Updates-ColdFusion
概要
Adobe ColdFusion には、特定の設定が施された ColdFusion の実行サーバに おいて、ファイルアップロードの制限を回避してファイルをアップロードする ことができる脆弱性があります。結果として、ファイルのアップロード先を外 部から URL で指定できる場所に設定している場合、遠隔の第三者が任意のコー ドを実行する可能性があります。 対象となる製品とバージョンは次のとおりです。 - Adobe ColdFusion 2018 Update 2 およびそれ以前 - Adobe ColdFusion 2016 Update 9 およびそれ以前 - Adobe ColdFusion 11 Update 17 およびそれ以前 この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC
Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190011.html
関連文書 (英語)
アドビシステムズ株式会社
Security updates available for ColdFusion | APSB19-14
https://helpx.adobe.com/security/products/coldfusion/apsb19-14.htmlアドビシステムズ株式会社
Security Updates Available for ColdFusion (APSB19-14)
https://blogs.adobe.com/psirt/?p=1715
【4】Dradis Community Edition および Dradis Professional Edition にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#40288903
Dradis Community Edition および Dradis Professional Edition におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN40288903/
概要
Security Roots Ltd が提供する Dradis Community Edition および Dradis Professional Edition には、クロスサイトスクリプティングの脆弱性 があります。結果として、遠隔の第三者がユーザのウェブブラウザ上で、任意 のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Dradis Community Edition v3.11 およびそれ以前 - Dradis Professional Edition v3.1.1 およびそれ以前 この問題は、該当する製品を Security Roots Ltd が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Security Roots Ltd が提供する 情報を参照してください。
関連文書 (英語)
Security Roots Ltd
Fixed in Dradis 3.11.1
https://dradisframework.com/ce/security_reports.html#fixed-3.11.1
■今週のひとくちメモ
○2018年度 中南米CSIRT動向調査
JPCERT/CC は、2019年3月7日に「2018年度 中南米CSIRT動向調査」を公開しま した。これは中南米地域全体での CSIRT 間連携の現状に加え、メキシコとブ ラジル両国の窓口 CSIRT の活動状況と、彼らが直面するサイバー脅威の実態 について、公開文献と現地でのヒアリングをもとに調査した結果をまとめたも のです。海外におけるサイバーセキュリティの取組みに関心のある組織、また 中南米地域でビジネスを展開している組織において、現状の把握のための参考 資料としてご活用ください。
参考文献 (日本語)
JPCERT/CC
中南米CSIRT動向調査
https://www.jpcert.or.jp/research/LACSIRT-survey.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
