JPCERT コーディネーションセンター

Weekly Report 2019-06-05号

JPCERT-WR-2019-2101
JPCERT/CC
2019-06-05

<<< JPCERT/CC WEEKLY REPORT 2019-06-05 >>>

■05/26(日)〜06/01(土) のセキュリティ関連情報

目 次

【1】PHP に複数の脆弱性

【2】複数の Apple 製品に脆弱性

【3】WordPress 用プラグイン Zoho SalesIQ に複数の脆弱性

【4】Quest 製 KACEシステム管理アプライアンス (K1000) に複数の脆弱性

【今週のひとくちメモ】JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン2019年版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr192101.txt
https://www.jpcert.or.jp/wr/2019/wr192101.xml

【1】PHP に複数の脆弱性

情報源

The PHP Group
PHP 7.3.6 Release Announcement
https://php.net/archive/2019.php#id2019-05-30-1

The PHP Group
PHP 7.2.19 Release Announcement
https://php.net/archive/2019.php#id2019-05-30-2

The PHP Group
PHP 7.1.30 Released
https://php.net/archive/2019.php#id2019-05-30-3

概要

PHP には、複数の脆弱性があります。結果として、第三者がサービス運用妨害
(DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.3.6 より前のバージョン
- PHP 7.2.19 より前のバージョン
- PHP 7.1.30 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)

The PHP Group
PHP 7 ChangeLog Version 7.3.6
https://www.php.net/ChangeLog-7.php#7.3.6

The PHP Group
PHP 7 ChangeLog Version 7.2.19
https://www.php.net/ChangeLog-7.php#7.2.19

The PHP Group
PHP 7 ChangeLog Version 7.1.30
https://www.php.net/ChangeLog-7.php#7.1.30

【2】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates for AirPort Extreme, AirPort Time Capsule
https://www.us-cert.gov/ncas/current-activity/2019/05/30/Apple-Releases-Security-Updates-AirPort-Extreme-AirPort-Time

Japan Vulnerability Notes JVNVU#98453159
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98453159/

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- AirPort Base Station Firmware Update 7.9.1 より前のバージョン
- iTunes for Windows 12.9.5 より前のバージョン
- iCloud for Windows 7.12 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Apple
AirMac ベースステーション ファームウェア・アップデート 7.9.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210090

Apple
iTunes for Windows 12.9.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210124

Apple
Windows 用 iCloud 7.12 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210125

【3】WordPress 用プラグイン Zoho SalesIQ に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#88962935
WordPress 用プラグイン Zoho SalesIQ における複数の脆弱性
https://jvn.jp/jp/JVN88962935/

概要

WordPress 用プラグイン Zoho SalesIQ には、複数の脆弱性があります。結果
として、遠隔の第三者が、管理画面にログインしているユーザのウェブブラウ
ザ上で任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Zoho SalesIQ 1.0.8 およびそれ以前

この問題は、Zoho SalesIQ を開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Zoho SalesIQ Team
Changelog
https://wordpress.org/plugins/zoho-salesiq/#developers

Zoho SalesIQ Team
SalesIQ
https://www.zoho.com/salesiq/

【4】Quest 製 KACEシステム管理アプライアンス (K1000) に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#877837
Multiple vulnerabilities in Quest Kace System Management Appliance
https://kb.cert.org/vuls/id/877837/

概要

Quest 製 KACEシステム管理アプライアンス (K1000) には、複数の脆弱性があ
ります。結果として、当該製品にアクセスできる第三者が、管理アカウントを
作成したり、製品の設定を変更したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- KACEシステム管理アプライアンス (K1000) Version 9.1.317 より前のバージョン

この問題は、Quest 製 KACEシステム管理アプライアンス (K1000) を Quest
が提供する修正済みのバージョンに更新することで解決します。詳細は、Quest
が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#91210160
Quest 製 Kace システム管理アプライアンス (K1000) における複数の脆弱性
https://jvn.jp/vu/JVNVU91210160/

関連文書 (英語)

Quest Software Inc.
CERT Coordination Center report update (288310)
https://support.quest.com/kb/288310/cert-coordination-center-report-update

■今週のひとくちメモ

○JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン2019年版」を公開

2019年5月30日、JPCERT/CC と情報処理推進機構 (IPA) は「情報セキュリティ
早期警戒パートナーシップガイドライン2019年版」を公開しました。

本ガイドラインは、国内におけるソフトウエア等の脆弱性関連情報を適切に流
通させることを目的に作られている枠組み「情報セキュリティ早期警戒パート
ナーシップ」に関わる担当者の行動指針を記載したものです。

脆弱性の発見者が脆弱性関連情報を届け出る際や、製品開発者およびウェブサ
イト運営者が脆弱性に関する通知を受けた際には、本ガイドラインに基づいた
対応をご検討ください。

参考文献 (日本語)

JPCERT/CC
脆弱性対策情報 ガイドライン
https://www.jpcert.or.jp/vh/top.html#guideline

情報処理推進機構 (IPA)
情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter