JPCERT コーディネーションセンター

Weekly Report 2019-06-26号

JPCERT-WR-2019-2401
JPCERT/CC
2019-06-26

<<< JPCERT/CC WEEKLY REPORT 2019-06-26 >>>

■06/16(日)〜06/22(土) のセキュリティ関連情報

目 次

【1】複数の Mozilla 製品に脆弱性

【2】Oracle WebLogic Server に安全でないデシリアライゼーションの脆弱性

【3】複数の Cisco 製品に脆弱性

【4】ISC BIND 9 にサービス運用妨害 (DoS) 攻撃の脆弱性

【5】Apple AirPort に複数の脆弱性

【6】Apache Tomcat にサービス運用妨害 (DoS) 攻撃の脆弱性

【7】Linux カーネルおよび FreeBSD カーネルにサービス運用妨害 (DoS) 攻撃の脆弱性

【8】Android 版 Microsoft Outlook にスプーフィング攻撃が可能な脆弱性

【9】Samba に複数の脆弱性

【10】Dell SupportAssist に DLL 読み込みに関する脆弱性

【11】VAIO Update に複数の脆弱性

【12】WordPress 用プラグイン Related YouTube Videos にクロスサイトリクエストフォージェリの脆弱性

【13】WordPress 用プラグイン Personalized WooCommerce Cart Page にクロスサイトリクエストフォージェリの脆弱性

【14】Weekly Reportや注意喚起等の配信用メールアドレス変更のお知らせ

【今週のひとくちメモ】NISC が「普及啓発・人材育成専門調査会会合」の資料を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr192401.txt
https://www.jpcert.or.jp/wr/2019/wr192401.xml

【1】複数の Mozilla 製品に脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2019/06/18/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox, Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/06/20/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Firefox 67.0.4 より前のバージョン
- Firefox ESR 60.7.2 より前のバージョン
- Thunderbird 60.7.2 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (日本語)

JPCERT/CC 注意喚起
Firefox の脆弱性 (CVE-2019-11707) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190027.html

JPCERT/CC CyberNewsFlash
Mozilla 製品における脆弱性 (CVE-2019-11708) について
https://www.jpcert.or.jp/newsflash/2019062101.html

関連文書 (英語)

Mozilla
Security vulnerabilities fixed in Firefox 67.0.3 and Firefox ESR 60.7.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/

Mozilla
Security vulnerabilities fixed in Firefox 67.0.4 and Firefox ESR 60.7.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-19/

Mozilla
Security vulnerabilities fixed in Thunderbird 60.7.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-20/

【2】Oracle WebLogic Server に安全でないデシリアライゼーションの脆弱性

情報源

US-CERT Current Activity
Oracle Releases Security Advisory for WebLogic
https://www.us-cert.gov/ncas/current-activity/2019/06/19/Oracle-Releases-Security-Advisory-WebLogic

概要

Oracle WebLogic Server には、安全でないデシリアライゼーションの脆弱性
があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能
性があります。

対象となるバージョンは次のとおりです。

- Oracle WebLogic Server 12.2.1.3.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 10.3.6.0.0

この問題は、Oracle WebLogic Server を Oracle が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Oracle が提供する情報を参照
してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Oracle WebLogic Server の脆弱性 (CVE-2019-2729) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190028.html

関連文書 (英語)

Oracle
Oracle Security Alert Advisory - CVE-2019-2729
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

Oracle
Security Alert CVE-2019-2729 Released
https://blogs.oracle.com/security/security-alert-cve-2019-2729-released

【3】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/06/19/Cisco-Releases-Security-Updates-Multiple-Products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
root 権限でコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり
するなどの可能性があります。

影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで
す。

- Cisco vBond Orchestrator Software
- Cisco vEdge 100 Series Routers
- Cisco vEdge 1000 Series Routers
- Cisco vEdge 2000 Series Routers
- Cisco vEdge 5000 Series Routers
- Cisco vEdge Cloud Router Platform
- Cisco vManage Network Management Software
- Cisco vSmart Controller Software
- Cisco DNA Center Software
- Cisco TelePresence Integrator C Series
- Cisco TelePresence EX Series
- Cisco TelePresence MX Series
- Cisco TelePresence SX Series
- Cisco Webex Room Series
- Cisco Virtualized Packet Core-Single Instance
- Cisco Virtualized Packet Core-Distributed Instance
- Cisco RV110W Wireless-N VPN Firewall
- Cisco RV130W Wireless-N Multifunction VPN Router
- Cisco RV215W Wireless-N VPN Router
- Cisco Prime Service Catalog Software
- Cisco Meeting Server

※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。
これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してく
ださい。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す
る情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco SD-WAN Solution Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-sdwan-privesca

Cisco Security Advisory
Cisco DNA Center Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-dnac-bypass

Cisco Security Advisory
Cisco TelePresence Endpoint Command Shell Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-tele-shell-inj

Cisco Security Advisory
Cisco StarOS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-staros-asr-dos

Cisco Security Advisory
Cisco SD-WAN Solution Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-sdwan-privilescal

Cisco Security Advisory
Cisco SD-WAN Solution Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-sdwan-cmdinj

Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers Management Interface Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-rvrouters-dos

Cisco Security Advisory
Cisco Prime Service Catalog Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-psc-csrf

Cisco Security Advisory
Cisco Meeting Server CLI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-cms-codex

【4】ISC BIND 9 にサービス運用妨害 (DoS) 攻撃の脆弱性

情報源

US-CERT Current Activity
ISC Releases BIND Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/06/19/ISC-Releases-BIND-Security-Updates

概要

ISC BIND 9 には、脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.11.0 から 9.11.7 までのバージョン
- BIND 9.12.0 から 9.12.4-P1 までのバージョン
- BIND 9.14.0 から 9.14.2 までのバージョン

この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6471)- バージョンアップを推奨 -
https://jprs.jp/tech/security/2019-06-20-bind9-vuln-malformed-packets.html

JPCERT/CC CyberNewsFlash
ISC BIND 9 における脆弱性 (CVE-2019-6471) について
https://www.jpcert.or.jp/newsflash/2019062001.html

Japan Vulnerability Notes JVNVU#90363752
ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU90363752/

一般社団法人日本ネットワークインフォメーションセンター(JPNIC)
BIND 9における脆弱性について(2019年6月)
https://www.nic.ad.jp/ja/topics/2019/20190620-01.html

関連文書 (英語)

ISC advisory
CVE-2019-6471: A race condition when discarding malformed packets can cause BIND to exit with an assertion failure
https://kb.isc.org/docs/cve-2019-6471

【5】Apple AirPort に複数の脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates for AirPort 802.11n Wi-Fi Base Stations
https://www.us-cert.gov/ncas/current-activity/2019/06/20/Apple-Releases-Security-Updates-AirPort-Express-Extreme-Time

概要

Apple AirPort (AirMac) には、複数の脆弱性があります。結果として、遠隔
の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- AirPort Base Station Firmware 7.8.1 より前のバージョン

この問題は、Apple AirPort (AirMac) を Apple が提供する修正済みのバージョ
ンに更新することで解決します。詳細は、Apple が提供する情報を参照してく
ださい。

関連文書 (英語)

Apple
About the security content of AirPort Base Station Firmware Update 7.8.1
https://support.apple.com/en-us/HT210091

【6】Apache Tomcat にサービス運用妨害 (DoS) 攻撃の脆弱性

情報源

US-CERT Current Activity
Apache Releases Security Advisory for Apache Tomcat
https://www.us-cert.gov/ncas/current-activity/2019/06/20/Apache-Releases-Security-Advisory-Apache-Tomcat

概要

Apache Tomcat には、脆弱性があります。結果として、遠隔の第三者がサービ
ス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 9.0.0.M1 から 9.0.19 までのバージョン
- Apache Tomcat 8.5.0 から 8.5.40 までのバージョン

この問題は、Apache Tomcat を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は、The Apache
Software Foundation が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99826833
Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU99826833/

関連文書 (英語)

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.20
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.20

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.41
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.41

The Apache Software Foundation
[SECURITY][CORRECTION] CVE-2019-10072 Apache Tomcat HTTP/2 DoS
http://mail-archives.us.apache.org/mod_mbox/www-announce/201906.mbox/%3Cca69531a-1592-be7b-60ce-729549c7f812%40apache.org%3E

【7】Linux カーネルおよび FreeBSD カーネルにサービス運用妨害 (DoS) 攻撃の脆弱性

情報源

CERT/CC Vulnerability Note VU#905115
Multiple TCP Selective Acknowledgement (SACK) and Maximum Segment Size (MSS) networking vulnerabilities may cause denial-of-service conditions in Linux and FreeBSD kernels
https://www.kb.cert.org/vuls/id/905115/

概要

Linux カーネルおよび FreeBSD カーネルには、脆弱性があります。結果とし
て遠隔の第三者が細工したパケットを送信することで、サービス運用妨害 (DoS)
攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Linux カーネル 全てのバージョン
- RACK TCP スタックを有効にしている FreeBSD 12

この問題は、Linux カーネルおよび FreeBSD カーネルを各ベンダが提供する
修正済みのバージョンに更新することで解決します。詳細は、各ベンダが提供
する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#93800789
Linux および FreeBSD カーネルにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU93800789/

関連文書 (英語)

US-CERT Current Activity
Multiple Vulnerabilities Affecting Linux, FreeBSD Kernels
https://www.us-cert.gov/ncas/current-activity/2019/06/20/Multiple-Vulnerabilities-Affecting-Linux-FreeBSD-Kernels

【8】Android 版 Microsoft Outlook にスプーフィング攻撃が可能な脆弱性

情報源

US-CERT Current Activity
Microsoft Releases Outlook for Android Security Update
https://www.us-cert.gov/ncas/current-activity/2019/06/20/Microsoft-Releases-Outlook-Android-Security-Update

概要

Android 版 Microsoft Outlook には、スプーフィング攻撃が可能な脆弱性が
あります。結果として、遠隔の第三者が細工したメールを送信することで、メー
ルの受信者の security context 上でスクリプトを実行する可能性があります。

この問題は、Android 版 Microsoft Outlook を Microsoft が提供する修正済
みのバージョンに更新することで解決します。詳細は、Microsoft が提供する
情報を参照してください。

関連文書 (英語)

Microsoft
CVE-2019-1105 | Outlook for Android Spoofing Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1105

【9】Samba に複数の脆弱性

情報源

US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/06/19/Samba-Releases-Security-Updates

概要

Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.9.9 より前のバージョン
- Samba 4.10.5 より前のバージョン

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新することで解決します。詳細は、The Samba Team が提供する情報を参照し
てください。

関連文書 (英語)

The Samba Team
Samba AD DC Denial of Service in DNS management server (dnsserver)
https://www.samba.org/samba/security/CVE-2019-12435.html

The Samba Team
Samba AD DC LDAP server crash (paged searches)
https://www.samba.org/samba/security/CVE-2019-12436.html

【10】Dell SupportAssist に DLL 読み込みに関する脆弱性

情報源

US-CERT Current Activity
Dell Releases Security Advisory for Dell SupportAssist
https://www.us-cert.gov/ncas/current-activity/2019/06/21/Dell-Releases-Security-Advisory-Dell-SupportAssist

概要

Dell SupportAssist には、DLL 読み込みに関する脆弱性があります。結果と
して、第三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Dell SupportAssist for Business PCs バージョン 2.0
- Dell SupportAssist for Home PCs バージョン 3.2.1 およびそれ以前

この問題は、Dell SupportAssist を DELL が提供する修正済みのバージョン
に更新することで解決します。詳細は、DELL が提供する情報を参照してくだ
さい。

関連文書 (英語)

DELL
DSA-2019-084: Dell SupportAssist for Business PCs and Dell SupportAssist for Home PCs Security Update for PC Doctor Vulnerability
https://www.dell.com/support/article/us/en/04/sln317291/dsa-2019-084-dell-supportassist-for-business-pcs-and-dell-supportassist-for-home-pcs-security-update-for-pc-doctor-vulnerability

【11】VAIO Update に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#13555032
VAIO Update における複数の脆弱性
https://jvn.jp/jp/JVN13555032/

概要

ソニー株式会社が提供する VAIO Update には、複数の脆弱性があります。結
果として、第三者が任意の実行ファイルを管理者権限で実行するなどの可能性
があります。

対象となるバージョンは次のとおりです。

- VAIO Update 7.3.0.03150 およびそれ以前

この問題は、VAIO Update をソニー株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、ソニー株式会社が提供する情報を参照
してください。

関連文書 (日本語)

ソニー株式会社
VAIO Updateの脆弱性について
https://www.sony.jp/support/vaio/info2/20190620.html

【12】WordPress 用プラグイン Related YouTube Videos にクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#31406910
WordPress 用プラグイン Related YouTube Videos におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN31406910/

概要

WordPress 用プラグイン Related YouTube Videos には、クロスサイトリクエ
ストフォージェリの脆弱性があります。結果として、遠隔の第三者が、細工し
たページにユーザをアクセスさせることにより、当該製品にログインしている
ユーザの権限で任意の操作を行う可能性があります。

対象となるバージョンは次のとおりです。

- Related YouTube Videos 1.9.9 より前のバージョン

この問題は、Related YouTube Videos を開発者が提供する修正済みのバージョ
ンに更新することで解決します。詳細は、開発者が提供する情報を参照してく
ださい。

関連文書 (英語)

Chris Doerr
Related YouTube Videos
https://wordpress.org/plugins/related-youtube-videos/

【13】WordPress 用プラグイン Personalized WooCommerce Cart Page にクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#88804335
WordPress 用プラグイン Personalized WooCommerce Cart Page におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN88804335/

概要

WordPress 用プラグイン Personalized WooCommerce Cart Page には、クロス
サイトリクエストフォージェリの脆弱性があります。結果として、遠隔の第三
者が、細工したページにユーザをアクセスさせることにより、当該製品にログ
インしているユーザの権限で任意の操作を行う可能性があります。

対象となるバージョンは次のとおりです。

- Personalized WooCommerce Cart Page 2.4 およびそれ以前

この問題は、Personalized WooCommerce Cart Page を開発者が提供する修正
済みのバージョンに更新することで解決します。詳細は、開発者が提供する情
報を参照してください。

関連文書 (英語)

N-MEDIA
Personalized WooCommerce Cart Page
https://wordpress.org/plugins/personalize-woocommerce-cart-page/

【14】Weekly Reportや注意喚起等の配信用メールアドレス変更のお知らせ

情報源

JPCERT/CC
Weekly Reportや注意喚起等の配信用メールアドレス変更のお知らせ
https://www.jpcert.or.jp/pr/2019/pr190002.html

概要

JPCERT/CC では、2019年7月1日から Weekly Report や注意喚起の発行に用い
るメールアドレスを変更します。詳細は、情報源のお知らせを参照してくださ
い。

■今週のひとくちメモ

○NISC が「普及啓発・人材育成専門調査会会合」の資料を公開

2019年6月19日、内閣サイバーセキュリティセンター (NISC) は、2019年5月17日
に開催した「普及啓発・人材育成専門調査会第11回会合」の資料を公開しまし
た。企業のサイバーセキュリティ対策に関する調査結果や、各省庁のサイバー
セキュリティ人材育成や普及啓発に関する取り組み状況が記載されています。

参考文献 (日本語)

内閣サイバーセキュリティセンター (NISC)
普及啓発・人材育成専門調査会
https://www.nisc.go.jp/conference/cs/jinzai/index.html#jinzai11

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter