<<< JPCERT/CC WEEKLY REPORT 2019-08-15 >>>

■08/04(日)〜08/10(土) のセキュリティ関連情報

目　次

【1】複数の Cisco 製品に脆弱性

【2】複数ベンダの CPU に投機的実行機能に関する脆弱性

【3】Google Chrome に複数の脆弱性

【4】キヤノン製デジタルカメラに複数の脆弱性

【5】WonderCMS にディレクトリトラバーサルの脆弱性

【6】EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】「JAIPA Cloud Conference 2019」開催

【1】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/08/08/cisco-releases-security-updates-multiple-products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで
す。

- Cisco Small Business 220 Series Smart Switches
- Cisco Webex Business Suite sites
- Cisco Webex Meetings Online
- Cisco Webex Meetings Server
- Cisco Enterprise NFV Infrastructure Software
- Cisco IOS XR Software
- Cisco Adaptive Security Appliance (ASA) Software

※上記製品以外にも、影響度 Medium などの複数の脆弱性情報が公開されてい
ます。これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照
してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、Cisco が提供する情報
を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Small Business 220 Series Smart Switches Remote Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce

Cisco Security Advisory
Cisco Small Business 220 Series Smart Switches Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypass

Cisco Security Advisory
Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-webex-player

Cisco Security Advisory
Cisco Enterprise NFV Infrastructure Software VNC Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-nfvis-vnc-authbypass

Cisco Security Advisory
Cisco IOS XR Software Intermediate System-to-Intermediate System Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-iosxr-isis-dos-1918

Cisco Security Advisory
Cisco IOS XR Software Intermediate System-to-Intermediate System Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-iosxr-isis-dos-1910

Cisco Security Advisory
Cisco Adaptive Security Appliance Software Web-Based Management Interface Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-asa-privescala

【2】複数ベンダの CPU に投機的実行機能に関する脆弱性

情報源

US-CERT Current Activity
SWAPGS Spectre Side-Channel Vulnerability
https://www.us-cert.gov/ncas/current-activity/2019/08/06/swapgs-spectre-side-channel-vulnerability

概要

複数ベンダの CPU には、投機的実行機能に関する脆弱性があります。結果と
して、第三者が機微な情報を窃取する可能性があります。

この問題に対して、複数のベンダから対策に関する情報が公開されています。
使用している各ソフトウエアのベンダや配布元などの情報を確認し、対策の施
されたバージョンが公開されている場合、適用することをおすすめします。詳
細は、各ベンダなどが提供する情報を参照してください。

関連文書 (英語)

Microsoft
CVE-2019-1125 | Windows Kernel Information Disclosure Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1125

Red Hat
CVE-2019-1125: Spectre SWAPGS gadget vulnerability
https://access.redhat.com/articles/4329821

Google
Spectre Side Channels
https://chromium.googlesource.com/chromiumos/third_party/kernel/+/cc4c818b2219c58af5f0ca59f3e9f02c48bc0b65/Documentation/admin-guide/hw-vuln/spectre.rst

【3】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/08/08/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 76.0.3809.100 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/08/stable-channel-update-for-desktop.html

【4】キヤノン製デジタルカメラに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#97511331
キヤノン製デジタルカメラにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97511331/

概要

キヤノン製デジタルカメラには、複数の脆弱性があります。結果として、遠隔
の第三者が、当該製品上で任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- EOSシリーズ (デジタル一眼レフ、ミラーレス)
- PowerShot SX70HS
- PowerShot SX740HS
- PowerShot G5XMarkII

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

キヤノン株式会社/キヤノンマーケティングジャパン株式会社
キヤノン製デジタルカメラにおけるPTP（画像転送プロトコル）通信機能およびファームウエアアップデート機能の脆弱性について
https://cweb.canon.jp/e-support/products/eos-d/190806dilc-firm.html

【5】WonderCMS にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVNVU#93628467
WonderCMS におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU93628467/

概要

WonderCMS には、ディレクトリトラバーサルの脆弱性があります。結果として、
遠隔の第三者がサーバ上の任意のファイルを削除する可能性があります。

対象となるバージョンは次のとおりです。

- WonderCMS 2.4.2 およびそれ以前のバージョン

この問題は、WonderCMS を開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

WonderCMS
News
https://www.wondercms.com/whatsnew

【6】EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#29343839
EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN29343839/

概要

EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」には、クロスサイ
トスクリプティングの脆弱性があります。結果として、遠隔の第三者が任意の
スクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」 バージョン 2.4.2 およびそれ以前のバージョン

この問題は、本プラグインを開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

アイピーロジック株式会社
Amazon Payプラグイン(2.12、2.13系)
https://www.ec-cube.net/products/detail.php?product_id=1602

■今週のひとくちメモ

○「JAIPA Cloud Conference 2019」開催

2019年9月5日、日本インターネットプロバイダー協会 (JAIPA) クラウド部会
は、「JAIPA Cloud Conference 2019」を開催します。本カンファレンスは、
クラウドサービスプロバイダ、システムインテグレータ、ソリューションベン
ダーなど、クラウドサービス事業に携わる関係者が参加し、クラウド業界の知
見を深めるイベントです。また、クラウドだけではなく、法律や AI などのテー
マに関する講演やパネルディスカッションも行われます。

本イベントの参加には事前登録が必要です。詳細は、公式サイトの情報を参照
してください。

参考文献 (日本語)

JAIPA Cloud Conference
JAIPA Cloud Conference 2019
https://cloudconference.jaipa.or.jp/

■JPCERT/CC からのお願い