JPCERT コーディネーションセンター

Weekly Report 2019-08-21号

JPCERT-WR-2019-3201
JPCERT/CC
2019-08-21

<<< JPCERT/CC WEEKLY REPORT 2019-08-21 >>>

■08/11(日)〜08/17(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】複数の Intel 製品に脆弱性

【4】HTTP/2 の実装に複数の問題

【5】SwiftNIO HTTP/2 に複数の脆弱性

【6】Apache HTTP Web Server に複数の脆弱性

【7】Bluetooth BR/EDR での暗号鍵エントロピーのネゴシエーションの問題

【8】富士ゼロックス株式会社の複数の製品にオープンリダイレクトの脆弱性

【今週のひとくちメモ】Microsoft 製品における複数の脆弱性 (CVE-2019-1181/CVE-2019-1182) について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr193201.txt
https://www.jpcert.or.jp/wr/2019/wr193201.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases August 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/08/13/microsoft-releases-august-2019-security-updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Internet Explorer
- Microsoft Edge
- ChakraCore
- Microsoft Office および Microsoft Office Services および Web Apps
- Visual Studio
- Online Services
- Active Directory
- Microsoft Dynamics

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2019 年 8 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/312890cc-3673-e911-a991-000d3a33a34d

JPCERT/CC
2019年 8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190032.html

関連文書 (英語)

US-CERT Current Activity
Microsoft Releases Security Updates to Address Remote Code Execution Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2019/08/14/microsoft-releases-security-updates-address-remote-code-execution

US-CERT Current Activity
Microsoft Releases Security Update for Windows Elevation of Privilege Vulnerability
https://www.us-cert.gov/ncas/current-activity/2019/08/15/microsoft-releases-security-update-windows-elevation-privilege

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/08/13/adobe-releases-security-updates-multiple-products

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
情報を窃取したり、任意のコードを実行したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Acrobat Reader DC Continuous (2019.012.20034) およびそれ以前 (macOS)
- Adobe Acrobat Reader DC Continuous (2019.012.20035) およびそれ以前 (Windows)
- Adobe Acrobat Reader DC Classic 2017 (2017.011.30142) およびそれ以前 (macOS)
- Adobe Acrobat Reader DC Classic 2017 (2017.011.30143) およびそれ以前 (Windows)
- Adobe Acrobat Reader DC Classic 2015 (2015.006.30497) およびそれ以前 (macOS)
- Adobe Acrobat Reader DC Classic 2015 (2015.006.30498) およびそれ以前 (Windows)
- Adobe Acrobat DC Continuous (2019.012.20034) およびそれ以前 (macOS)
- Adobe Acrobat DC Continuous (2019.012.20035) およびそれ以前 (Windows)
- Adobe Acrobat DC Classic 2017 (2017.011.30142) およびそれ以前 (macOS)
- Adobe Acrobat DC Classic 2017 (2017.011.30143) およびそれ以前 (Windows)
- Adobe Acrobat DC Classic 2015 (2015.006.30497) およびそれ以前 (macOS)
- Adobe Acrobat DC Classic 2015 (2015.006.30498) およびそれ以前 (Windows)
- Adobe After Effects CC 2019 16 およびそれ以前 (Windows)
- Adobe Character Animator CC 2019 2.1 およびそれ以前 (Windows)
- Adobe Premiere Pro CC 2019 13.1.2 およびそれ以前 (Windows)
- Adobe Prelude CC 2019 8.1 およびそれ以前 (Windows)
- Adobe Creative Cloud Desktop Application 4.6.1 およびそれ以前 (Windows, macOS)
- Adobe Experience Manager 6.5, 6.4 
- Adobe Photoshop CC 19.1.8 およびそれ以前 (Windows, macOS)
- Adobe Photoshop CC 20.0.5 およびそれ以前 (Windows, macOS)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC
Adobe Acrobat および Reader の脆弱性 (APSB19-41) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190031.html

JPCERT/CC
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019081402.html

Adobe
Adobe After Effects に関するセキュリティアップデート公開 | APSB19-31
https://helpx.adobe.com/jp/security/products/after_effects/apsb19-31.html

Adobe
Adobe Character Animator に関するセキュリティアップデート公開 | APSB19-32
https://helpx.adobe.com/jp/security/products/character_animator/apsb19-32.html

Adobe
Adobe Premiere Pro CC に関するセキュリティアップデート公開 | APSB19-33
https://helpx.adobe.com/jp/security/products/premiere_pro/apsb19-33.html

Adobe
Adobe Prelude CC に関するセキュリティアップデート公開 | APSB19-35
https://helpx.adobe.com/jp/security/products/prelude/apsb19-35.html

Adobe
Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB19-39
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb19-39.html

Adobe
Adobe Acrobat および Reader に関するセキュリティ速報 | APSB19-41
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-41.html

Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB19-42
https://helpx.adobe.com/jp/security/products/experience-manager/apsb19-42.html

Adobe
Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB19-44
https://helpx.adobe.com/jp/security/products/photoshop/apsb19-44.html

【3】複数の Intel 製品に脆弱性

情報源

US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/08/13/intel-releases-security-updates

概要

複数の Intel 製品には、脆弱性があります。結果として、第三者が、サービ
ス運用妨害 (DoS) 攻撃を行ったり、権限昇格を行ったりするなどの可能性が
あります。

対象となる製品は次のとおりです。

- Intel RAID Web Console 2
- Intel NUC Kit NUC7i7DNx
- Intel NUC Kit NUC7i5DNx
- Intel NUC Kit NUC7i3DNx
- Intel Compute Stick STK2MV64CC
- Intel Compute Card CD1IV128MK
- Intel Authenticate
- Intel Driver & Support Assistant
- Intel Remote Displays SDK
- Intel Processor Identification Utility for Windows
- Intel Computing Improvement Program

※ 影響を受けるバージョンは多岐に渡ります。対象の詳細は、Intel が提供
する情報を参照してください。

この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新
することで解決します。詳細は、Intel が提供する情報を参照してください。
なお、Intel RAID Web Console 2 は開発が終了しており、後継製品である
Intel RAID Web Console 3 のインストールが推奨されています。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99945432
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU99945432/

JPCERT/CC
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019081401.html

関連文書 (英語)

Intel
INTEL-SA-00246: Intel RAID Web Console 2 Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00246.html

Intel
INTEL-SA-00272: Intel NUC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00272.html

Intel
INTEL-SA-00275: Intel Authenticate Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00275.html

Intel
INTEL-SA-00276: Intel Driver & Support Assistant Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00276.html

Intel
INTEL-SA-00277: Intel Remote Displays SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00277.html

Intel
INTEL-SA-00281: Intel Processor Identification Utility for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00281.html

Intel
INTEL-SA-00283: Intel Computing Improvement Program Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00283.html

【4】HTTP/2 の実装に複数の問題

情報源

US-CERT Current Activity
Multiple HTTP/2 Implementation Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2019/08/14/multiple-http2-implementation-vulnerabilities

概要

HTTP/2 の実装には、複数の問題があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。

この問題に対して、複数のベンダから情報が公開されています。使用している
各ソフトウエアのベンダや配布元などの情報を確認し、対策の施されたバージョ
ンが公開されている場合、適用することをおすすめします。詳細は、各ベンダ
などが提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98433488
HTTP/2 の実装に対するサービス運用妨害 (DoS) 攻撃手法
https://jvn.jp/vu/JVNVU98433488/

Apple
SwiftNIO HTTP/2 1.5.0 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210436

関連文書 (英語)

CERT/CC Vulnerability Note VU#605641
HTTP/2 implementations do not robustly handle abnormal traffic and resource exhaustion
https://www.kb.cert.org/vuls/id/605641/

Apache Software Foundation
HTTP/2 DoS issues announced today - Impact for Apache Tomcat
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201908.mbox/%3C71e8f5f2-86ff-26b3-e792-73eeb8655acb%40apache.org%3E

h2o
HTTP/2 DoS attack vulnerabilities CVE-2019-9512 CVE-2019-9514 CVE-2019-9515 #2090
https://github.com/h2o/h2o/issues/2090

nginx
[nginx-announce] nginx security advisory (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516)
https://mailman.nginx.org/pipermail/nginx-announce/2019/000249.html

【5】SwiftNIO HTTP/2 に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#93696206
Apple SwiftNIO HTTP/2 における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93696206/

概要

SwiftNIO HTTP/2 には、複数の脆弱性があります。結果として、遠隔の第三者
がサービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- macOS Sierra 10.12 以降 および Ubuntu 14.04 以降で動作している SwiftNIO HTTP/2 1.0.0 から 1.4.0

この問題は、SwiftNIO HTTP/2 を Apple が提供する修正済みのバージョンに
更新することで解決します。詳細は、Apple が提供する情報を参照してくださ
い。

関連文書 (日本語)

Apple
SwiftNIO HTTP/2 1.5.0 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210436

【6】Apache HTTP Web Server に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#98790275
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98790275/

概要

Apache HTTP Web Server には、複数の脆弱性があります。結果として、遠隔
の第三者が情報改ざんや、サービス運用妨害 (DoS) 攻撃を行うなどの可能性
があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Web Server 2.4.41 より前のバージョン

この問題は、Apache HTTP Server を Apache Software Foundation が提供す
る修正済みのバージョンに更新することで解決します。詳細は、Apache 
Software Foundation が提供する情報を参照してください。

関連文書 (英語)

Apache Software Foundation
Fixed in Apache httpd 2.4.41
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.41

Apache Software Foundation
Apache HTTP Server 2.4.41 Released
https://www.apache.org/dist/httpd/Announcement2.4.html

【7】Bluetooth BR/EDR での暗号鍵エントロピーのネゴシエーションの問題

情報源

CERT/CC Vulnerability Note VU#918987
Bluetooth BR/EDR supported devices are vulnerable to key negotiation attacks
https://kb.cert.org/vuls/id/918987/

概要

Bluetooth BR/EDR 接続の暗号化で用いられる暗号鍵のエントロピーのネゴシ
エーションには、中間者による攻撃に脆弱である問題があります。結果として、
第三者が中間者攻撃によって暗号通信を盗聴するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Bluetooth BR/EDR Core v5.1 およびそれ以前

2019年8月21日現在、この問題に対する解決策は提供されていません。各ベン
ダの情報を確認し、対策が施されたバージョンが公開されている場合は速やか
に適用することをおすすめします。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90240762
Bluetooth BR/EDR での暗号鍵エントロピーのネゴシエーションにおける問題
https://jvn.jp/vu/JVNVU90240762/

関連文書 (英語)

Bluetooth
Key Negotiation of Bluetooth
https://www.bluetooth.com/security/statement-key-negotiation-of-bluetooth/

Bluetooth
The building blocks of all Bluetooth devices
https://www.bluetooth.com/specifications/

Bluetooth
Keep up to date with Errata
https://www.bluetooth.com/specifications/errata/

【8】富士ゼロックス株式会社の複数の製品にオープンリダイレクトの脆弱性

情報源

Japan Vulnerability Notes JVN#07679150
ApeosWare Management Suite および ApeosWare Management Suite 2 におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN07679150/

概要

富士ゼロックス株式会社が提供する複数の製品には、オープンリダイレクトの
脆弱性があります。結果として、遠隔の第三者がユーザに細工したページを開
かせることで、任意のウェブサイトにリダイレクトさせる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- ApeosWare Management Suite Ver.1.4.0.18 およびそれ以前
- ApeosWare Management Suite 2 Ver.2.1.2.4 およびそれ以前

この問題は、該当する製品を富士ゼロックス株式会社が提供する修正パッチを
適用することで解決します。詳細は、富士ゼロックス株式会社が提供する情報
を参照してください。

関連文書 (日本語)

富士ゼロックス株式会社
ApeosWare Management Suiteのオープンリダイレクト脆弱性について
https://www.fujixerox.co.jp/support/software/aw_manage_suite_1/contents/awms_notice02

■今週のひとくちメモ

○Microsoft 製品における複数の脆弱性 (CVE-2019-1181/CVE-2019-1182) について

2019年8月13日 (米国時間)、Microsoft が、リモートデスクトップサービスに
おいて、遠隔から任意のコード実行が可能な脆弱性に関する情報を公開しまし
た。今後、この脆弱性を悪用するマルウエアが登場した場合に、脆弱な端末に
感染が広がる可能性があるとのことです。この問題は、2019年8月のセキュリ
ティ更新プログラムを適用することで解決します。本プログラムをまだ適用し
ていない場合、Microsoft Update などを用いて、速やかに適用することをお
すすめします。

参考文献 (日本語)

JPCERT/CC
2019年 8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190032.html

参考文献 (英語)

Microsoft Security Response Center (MSRC)
Patch new wormable vulnerabilities in Remote Desktop Services (CVE-2019-1181/1182)
https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter