-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-3601 JPCERT/CC 2018-09-20 <<< JPCERT/CC WEEKLY REPORT 2018-09-20 >>> ―――――――――――――――――――――――――――――――――――――― ■09/09(日)〜09/15(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】Google Chrome に複数の脆弱性 【4】PHP に複数の脆弱性 【5】複数の Intel 製品に脆弱性 【6】サイボウズ Garoon にディレクトリトラバーサルの脆弱性 【7】FXC 製の複数のネットワーク機器にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】Microsoft が Windows や Office 製品のサポート期間などに関する情報を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr183601.html https://www.jpcert.or.jp/wr/2018/wr183601.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases September 2018 Security Updates https://www.us-cert.gov/ncas/current-activity/2018/09/11/Microsoft-Releases-September-2018-Security-Updates 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office、Microsoft Office Services および Web Apps - ChakraCore - .NET Framework - Microsoft.Data.OData - ASP.NET この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2018 年 9 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/498f2484-a096-e811-a978-000d3a33c573 JPCERT/CC Alert 2018-09-12 2018年 9月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2018/at180038.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/09/11/Adobe-Releases-Security-Updates 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Flash Player デスクトップランタイム 30.0.0.154 およびそれ以前 (Windows 版、macOS 版 および Linux 版) - Google Chrome 用の Adobe Flash Player 30.0.0.154 およびそれ以前 (Windows 版、macOS 版、Linux 版 および Chrome OS 版) - Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 30.0.0.154 およびそれ以前 (Windows 10 版 および 8.1 版) - ColdFusion (2018 release) 7月12日リリース (2018.0.0.310739) - ColdFusion (2016 release) Update 6 およびそれ以前 - ColdFusion 11 Update 14 およびそれ以前 この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe Flash Player 用のセキュリティアップデート公開 | APSB18-31 https://helpx.adobe.com/jp/security/products/flash-player/apsb18-31.html Adobe ColdFusion に関するセキュリティアップデート公開 | APSB18-33 https://helpx.adobe.com/jp/security/products/coldfusion/apsb18-33.html JPCERT/CC Alert 2018-09-12 Adobe Flash Player の脆弱性 (APSB18-31) に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180037.html JPCERT/CC CyberNewsFlash Adobe 製品のアップデート (APSB18-33) について https://www.jpcert.or.jp/newsflash/2018091201.html 【3】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Update for Chrome https://www.us-cert.gov/ncas/current-activity/2018/09/11/Google-Releases-Security-Update-Chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 69.0.3497.92 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2018/09/stable-channel-update-for-desktop_11.html 【4】PHP に複数の脆弱性 情報源 US-CERT Current Activity MS-ISAC Releases Advisory on PHP Vulnerabilities https://www.us-cert.gov/ncas/current-activity/2018/09/14/MS-ISAC-Releases-Advisory-PHP-Vulnerabilities 概要 PHP には、複数の脆弱性があります。結果として、第三者が任意のコードを実 行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - PHP 7.2.10 より前のバージョン - PHP 7.1.22 より前のバージョン - PHP 7.0.32 より前のバージョン - PHP 5.6.38 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。 関連文書 (英語) The PHP Group PHP 7 ChangeLog Version 7.2.10 http://www.php.net/ChangeLog-7.php#7.2.10 The PHP Group PHP 7 ChangeLog Version 7.1.22 http://www.php.net/ChangeLog-7.php#7.1.22 The PHP Group PHP 7 ChangeLog Version 7.0.32 http://www.php.net/ChangeLog-7.php#7.0.32 The PHP Group PHP 5 ChangeLog Version 5.6.38 http://www.php.net/ChangeLog-5.php#5.6.38 Center for Internet Security Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2018-101/ 【5】複数の Intel 製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#99931791 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU99931791/ 概要 複数の Intel 製品には、脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品は次のとおりです。 - Intel CSME - Intel Server Platform Services - Intel Trusted Execution Engine - Power Management Controller (PMC) - Intel Active Management Technology (AMT) - Intel Data Center Manager SDK - Intel Baseboard Management Controller (BMC) - Intel Extreme Tuning Utility - Intel Driver & Support Assistant - Intel Software Asset Manager - Intel Computing Improvement Program - OpenVINO Toolkit for Windows - Intel NUC この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新 することで解決します。詳細は、Intel が提供する情報を参照してください。 関連文書 (英語) Intel Intel CSME Assets Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00125.html Intel Power Management Controller (PMC) Security Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00131.html Intel Intel Active Management Technology 9.x/10.x/11.x/12.x Security Review Cumulative Update Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00141.html Intel Intel Data Center Manager SDK Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00143.html Intel Intel Baseboard Management Controller (BMC) firmware Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00149.html Intel Intel Extreme Tuning Utility Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00162.html Intel Intel Driver & Support Assistant and Intel Software Asset Manager Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00165.html Intel OpenVINO Toolkit for Windows Permissions Issue Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00172.html Intel Intel NUC Firmware Security Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00176.html 【6】サイボウズ Garoon にディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#12583112 サイボウズ Garoon におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN12583112/ 概要 サイボウズ Garoon には、ディレクトリトラバーサルの脆弱性があります。結 果として、当該製品にログイン可能なユーザが、サーバ上の任意のファイルを 取得したり、改ざんしたりする可能性があります。 対象となるバージョンは次のとおりです。 - サイボウズ Garoon 3.5.0 から 4.6.3 まで この問題は、サイボウズ Garoon にサイボウズ株式会社が提供するパッチを適 用することで解決します。詳細は、サイボウズ株式会社が提供する情報を参照 してください。 関連文書 (日本語) サイボウズ株式会社 「Garoon 3.7 / 4.6 パッチプログラム」リリースのお知らせ (2018/9/7) https://cs.cybozu.co.jp/2018/006717.html 【7】FXC 製の複数のネットワーク機器にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#68528150 FXC 製の複数のネットワーク機器におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN68528150/ 概要 FXC 製の複数のネットワーク機器には、クロスサイトスクリプティングの脆弱 性があります。結果として、当該製品の管理者が、別の管理者のウェブブラウ ザ上で任意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - 管理機能付レイヤ2スイッチ FXC5210/5218/5224 用ファームウェア Ver1.00.22 より前のバージョン - 管理機能付レイヤ2スイッチ FXC5426F 用ファームウェア Ver1.00.06 より前のバージョン - 管理機能付レイヤ2スイッチ FXC5428 用ファームウェア Ver1.00.07 より前のバージョン - 給電機能付 (PoE) スイッチ FXC5210PE/5218PE/5224PE 用ファームウェア Ver1.00.14 より前のバージョン - 無線LANルータ AE1021/AE1021PE 用ファームウェアすべてのバージョン この問題への対策として、対象となるレイヤ 2 スイッチおよび PoE スイッチ 製品については、修正済みのバージョンが公開されています。該当する製品を FXC株式会社が提供する修正済みのバージョンに更新してください。 また、対象となる無線 LAN ルータ製品については、次の回避策を適用するこ とで、本脆弱性の影響を軽減することが可能です。 - 当該製品の管理画面へのアクセスを、信頼できるメンバのみに制限する 詳細は、FXC株式会社が提供する情報を参照してください。 関連文書 (日本語) FXC株式会社 弊社一部製品の脆弱性対策のファームウェアご提供のお知らせ https://www.fxc.jp/news/20171228.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Microsoft が Windows や Office 製品のサポート期間などに関する情報を公開 2018年9月6日(米国時間)、Microsoft 社が同社のブログを更新し、Windows や Office 製品のサポート期間などに関する情報を公開しました。 本ブログでは、2020年1月14日で終了を予定している Windows 7 のサポートに ついて、有償で 2023年1月まで延長することが可能となる Windows 7 Extended Security Updates (ESU) が紹介されています。また、Windows 8.1 および Windows Server 2016 における Office 365 ProPlus などのサポート期間延長 も発表されました。 利用している製品のサポート期間が終了する前に、サポート対象製品へ移行す ることをお勧めします。詳細は、Microsoft が提供する情報を参照してくださ い。 参考文献 (英語) Microsoft Helping customers shift to a modern desktop https://www.microsoft.com/en-us/microsoft-365/blog/2018/09/06/helping-customers-shift-to-a-modern-desktop/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJbot8iAAoJEDF9l6Rp7OBIDTUIAIX/vtkw3ZK7JXsVWPZc63l1 tjmmzBbQPuvLwsmA0sWKg2Y2wu3aup2BK5LJPyYnt2WUFF86hRhZHJaL8P8eZCO/ zrs97c7rZA61yOcq3hyvaVyhhsqQ55zyLVOwMMhGrYPrwNnu7emms3n010pDc5Jc t3MAMpXJy/7r88DviQJqvq6CpzuiRzI8bSFwfeCVnJRh+mfCLuYRbi08RrHIP26t fpwbfxVAyuV9K2JCY4Omf5OB5F/AqM88101EfMvYc+rhTD1OfMqj0ulLaDkzvMIk CQUD0xQTgs7cVBqIIqaR6pQQdTcO3WbLX9TAsj6z38YvgmXH8Nxj6i68PHO07lA= =9eIQ -----END PGP SIGNATURE-----