<<< JPCERT/CC WEEKLY REPORT 2019-08-28 >>>

■08/18(日)〜08/24(土) のセキュリティ関連情報

目　次

【1】複数の Cisco 製品に脆弱性

【2】Smart TV Box にアクセス制限不備の脆弱性

【3】Webmin に任意のコマンドが実行可能な脆弱性

【4】VLC media player に複数の脆弱性

【5】複数の Palo Alto Networks 製品に脆弱性

【6】NSD にバッファオーバーフローの脆弱性

【今週のひとくちメモ】Webmin の脆弱性を標的としたアクセスの観測について

【1】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/08/22/cisco-releases-security-updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
認証を回避したり、管理者権限で任意の操作を実行したりなどの可能性があり
ます。

影響度 Critical の脆弱性情報の対象となる製品は次のとおりです。

- Cisco Integrated Management Controller (IMC) Supervisor
- Cisco UCS Director
- Cisco UCS Director Express for Big Data

※上記製品以外にも、影響度 High や Medium の複数の脆弱性情報が公開され
ています。これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を
参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Integrated Management Controller Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190821-imcs-ucs-authby

Cisco Security Advisory
Cisco IMC Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190821-imcs-ucs-authbypass

Cisco Security Advisory
Cisco Integrated Management Controller Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data SCP User Default Credentials Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190821-imcs-usercred

Cisco Security Advisory
Cisco UCS Director and Cisco UCS Director Express for Big Data API Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190821-ucsd-authbypass

Cisco Security Advisory
Cisco Security Advisories and Alerts
https://tools.cisco.com/security/center/publicationListing.x

【2】Smart TV Box にアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#17127920
Smart TV Box におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN17127920/

概要

Smart TV Box には、アクセス制限不備の脆弱性があります。結果として、遠
隔の第三者が、ユーザが意図しないソフトウェアをインストールしたり、当該
製品の設定を変更したりする可能性があります。

対象となるバージョンは次のとおりです。

- Smart TV Box ファームウェア バージョン 1300 より前のバージョン

この問題は、Smart TV Box を開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

ＫＤＤＩ株式会社
[お知らせ] Smart TV Box ソフトウェア更新のお知らせ
https://news.kddi.com/kddi/cable-service/smart-tv-box/201902273642.html

【3】Webmin に任意のコマンドが実行可能な脆弱性

情報源

Webmin
Webmin 1.882 to 1.921 - Remote Command Execution (CVE-2019-15231)
http://www.webmin.com/security.html

概要

Webmin には、脆弱性があります。結果として、遠隔の第三者が任意のコマン
ドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Webmin 1.882 から 1.921 のバージョン

この問題は、Webmin を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Webmin
Webmin 1.890 Exploit - What Happened?
http://www.webmin.com/exploit.html

【4】VLC media player に複数の脆弱性

情報源

Video LAN
Security Bulletin VLC 3.0.8
https://www.videolan.org/security/sb-vlc308.html

概要

Video LAN が提供する VLC media player には、複数の脆弱性があります。結
果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- VLC media player 3.0.7.1 およびそれ以前のバージョン

この問題は、VLC media player を Video LAN が提供する修正済みのバージョン
に更新することで解決します。詳細は、Video LAN が提供する情報を参照して
ください。

【5】複数の Palo Alto Networks 製品に脆弱性

情報源

Palo Alto Networks
Mitigation Bypass in PAN-OS (PAN-SA-2019-0022)
https://securityadvisories.paloaltonetworks.com/Home/Detail/160

Palo Alto Networks
Memory Corruption in PAN-OS (PAN-SA-2019-0021)
https://securityadvisories.paloaltonetworks.com/Home/Detail/159

概要

Palo Alto Networks が提供する複数の製品には、脆弱性があります。結果と
して、遠隔の第三者が任意のコードを実行するなどの可能性があります。

影響度 Critical の脆弱性情報の対象となる製品およびバージョンは次のとお
りです。

- PAN-OS 9.0.3 およびそれ以前のバージョン
- PAN-OS 8.1.9 およびそれ以前のバージョン
- PAN-OS 8.0.19 およびそれ以前のバージョン
- PAN-OS 7.1.24 およびそれ以前のバージョン

※上記製品以外にも、影響度 High や Low の複数の脆弱性情報が公開されて
います。これらの対象製品の情報は、Palo Alto Networks が提供するアドバ
イザリ情報を参照してください。

この問題は、該当する製品を Palo Alto Networks が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Palo Alto Networks が提供す
る情報を参照してください。

関連文書 (英語)

Palo Alto Networks
Escalation of Privilege in Twistlock (PAN-SA-2019-0024)
https://securityadvisories.paloaltonetworks.com/Home/Detail/162

Palo Alto Networks
Memory Corruption in PAN-OS (PAN-SA-2019-0023)
https://securityadvisories.paloaltonetworks.com/Home/Detail/161

【6】NSD にバッファオーバーフローの脆弱性

情報源

NLnet Labs
NSD 4.2.2 released
https://nlnetlabs.nl/news/2019/Aug/19/nsd-4.2.2-released/

概要

NLnet Labs が提供する NSD には、バッファオーバーフローの脆弱性がありま
す。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、
情報を窃取したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- NSD 4.2.0

この問題は、使用している OS のベンダや NLnet Labs が提供する修正済みの
バージョンに更新することで解決します。詳細は、NLnet Labs が提供する情
報を参照してください。

関連文書 (日本語)

株式会社日本レジストリサービス（JPRS）
NSDの脆弱性情報が公開されました（CVE-2019-13207）
https://jprs.jp/tech/security/2019-08-22-nsd.html

関連文書 (英語)

CVE
CVE-2019-13207
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13207

■今週のひとくちメモ

○Webmin の脆弱性を標的としたアクセスの観測について

2019年8月中旬より、Webmin の脆弱性 (CVE-2019-15107) を標的としたアクセ
スが観測されているとの情報が複数公開されています。今月23日には、警察庁
が「Webmin の脆弱性（CVE-2019-15107）を標的としたアクセスの観測につい
て」を公開しました。警察庁によると、本脆弱性を標的とし、サーバ稼働状況
や脆弱性の有無の確認などを行うアクセスが観測されているとのことです。ま
た、NICTER 解析チームも同脆弱性を標的とした攻撃を観測しているとのツイー
トを公開しています。

本脆弱性は、先述のとおり、Webmin を開発者が提供する修正済みのバージョン
に更新することで解決します。開発者が提供する情報を参照し、早期のアップ
デートをご検討ください。

なお、Webmin の脆弱性には CVE-2019-15231 という CVE 番号も採番されてい
ますが、MITRE 社によると、CVE-2019-15231 は CVE-2019-15107 と同じ脆弱
性について採番された番号であり、本脆弱性を指す場合は CVE-2019-15107 を
使用することが推奨されています。

参考文献 (日本語)

警察庁
Webminの脆弱性（CVE-2019-15107）を標的としたアクセスの観測について
https://www.npa.go.jp/cyberpolice/important/2019/201908231.html

NICTER 解析チーム（試験運用中）
https://twitter.com/nicter_jp/status/1166228427713597440

参考文献 (英語)

CVE
CVE-2019-15107
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15107

CVE
CVE-2019-15231
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15231

■JPCERT/CC からのお願い