-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-1601 JPCERT/CC 2019-04-24 <<< JPCERT/CC WEEKLY REPORT 2019-04-24 >>> ―――――――――――――――――――――――――――――――――――――― ■04/14(日)〜04/20(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2019年 4月 Oracle Critical Patch Update について 【2】複数の Cisco 製品に脆弱性 【3】Drupal に複数の脆弱性 【4】Broadcom 製 Wi-Fi チップセット向けの複数のドライバに脆弱性 【5】「Internet Week ショーケース in 仙台」開催のお知らせ 【今週のひとくちメモ】長期休暇に備えて 2019/04 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr191601.html https://www.jpcert.or.jp/wr/2019/wr191601.xml ============================================================================ 【1】2019年 4月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Oracle Releases April 2019 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2019/04/16/Oracle-Releases-April-2019-Security-Bulletin 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細は、Oracle が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 2019年 4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2019/at190017.html 関連文書 (英語) Oracle Corporation Oracle Critical Patch Update Advisory - April 2019 https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html 【2】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/04/17/Cisco-Releases-Security-Update-Cisco-IOS-XR 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで す。 - Cisco IOS XR 64-Bit ソフトウエアが稼働している Cisco ASR 9000 Series Aggregation Services Routers - Cisco Wireless LAN Controller (WLC) ソフトウエア - Cisco Expressway Series - Cisco TelePresence Video Communication Server (VCS) - Cisco Aironet 1540 Series Access Points - Cisco Aironet 1560 Series Access Points - Cisco Aironet 1800 Series Access Points - Cisco Aironet 2800 Series Access Points - Cisco Aironet 3800 Series Access Points ※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。 これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してく ださい。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco IOS XR 64-Bit Software for Cisco ASR 9000 Series Aggregation Services Routers Network Isolation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-asr9k-exr Cisco Security Advisory Cisco Wireless LAN Controller Software IAPP Message Handling Denial of Service Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-iapp Cisco Security Advisory Cisco Wireless LAN Controller Software GUI Configuration Denial of Service Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-gui Cisco Security Advisory Cisco Wireless LAN Controller Software Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-csrf Cisco Security Advisory Cisco Expressway Series and Cisco TelePresence Video Communication Server Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-es-tvcs-dos Cisco Security Advisory Cisco Aironet Series Access Points Development Shell Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-aironet-shell 【3】Drupal に複数の脆弱性 情報源 US-CERT Current Activity Drupal Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/04/17/Drupal-Releases-Security-Updates 概要 Drupal には、複数の脆弱性があります。 結果として、遠隔の第三者が任意の コードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 8.6.15 より前の 8.6 系のバージョン - Drupal 8.5.15 より前の 8.5 系のバージョン - Drupal 7.66 より前の 7 系のバージョン なお、Drupal 8.5 系より前の 8 系のバージョンは、サポートが終了しており、 今回のセキュリティに関する情報は提供されていません。 この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Drupal が提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Moderately critical - Multiple Vulnerabilities - SA-CORE-2019-005 https://www.drupal.org/sa-core-2019-005 Drupal Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-006 https://www.drupal.org/sa-core-2019-006 【4】Broadcom 製 Wi-Fi チップセット向けの複数のドライバに脆弱性 情報源 CERT/CC Vulnerability Note VU#166939 Broadcom WiFi chipset drivers contain multiple vulnerabilities https://www.kb.cert.org/vuls/id/166939/ US-CERT Current Activity Multiple Vulnerabilities in Broadcom WiFi Chipset Drivers https://www.us-cert.gov/ncas/current-activity/2019/04/17/Multiple-Vulnerabilities-Broadcom-WiFi-Chipset-Drivers Japan Vulnerability Notes JVNVU#90663693 Broadcom 製 Wi-Fi チップセット向けの複数のドライバに複数の脆弱性 https://jvn.jp/vu/JVNVU90663693/ 概要 Broadcom 製 Wi-Fi チップセット用 Broadcom wl ドライバおよびオープンソー スの brcmfmac ドライバには、複数の脆弱性があります。結果として、遠隔の 第三者が、細工した Wi-Fi フレームを処理させることで、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品は次のとおりです。 - Broadcom wl ドライバ - brcmfmac ドライバ この問題は、brcmfmac ドライバについては、開発者が提供するパッチを適用 することで解決します。2019年4月23日現在、Broadcom wl ドライバの問題に 対する解決策は提供されていません。 なお、この問題について、ベンダなどからも情報が公開されています。修正済 みのバージョンが公開されている場合は適用することをおすすめします。詳細 は、開発者やベンダなどが提供する情報を参照してください。 【5】「Internet Week ショーケース in 仙台」開催のお知らせ 情報源 JPNIC Internet Week ショーケース in 仙台 https://www.nic.ad.jp/sc-sendai/ 概要 2019年5月30日(木) から 5月31日(金) にかけて、JPNIC が東北学術研究イン ターネットコミュニティと東北大学との共催により、東北大学 片平さくらホー ルにて「Internet Week ショーケース in 仙台」を開催いたします。プログラ ム内容などの詳細は、Web ページをご確認ください。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○長期休暇に備えて 2019/04 2019年4月18日、JPCERT/CC は「長期休暇に備えて 2019/04」を公開しました。 この呼びかけでは、JPCERT/CC が報告を受けた複数のインシデントを例に挙げ、 インシデント発生の予防および緊急時の対応に関して、対策などの要点をまと めて記載しています。休暇期間中のインシデント発生に備え、自組織のセキュ リティ対策や対応を今一度ご確認ください。 参考文献 (日本語) JPCERT/CC 長期休暇に備えて 2019/04 https://www.jpcert.or.jp/pr/2019/pr190001.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJcv6dvAAoJEDF9l6Rp7OBIoFkH/1m0Gt29p7HjSR5T5yNY61jb 8F8bsixG/AXzR3Zv28TYomiokQlnKReg8nLQ7FXMburM5BAoA1TRH97S45lTfg/f UwWNwRlnnC2K9/yPoXh0qgrIyPo7WY8cYL0yPvK7DYP2o6y6hcL8xkR6RJrs2Z/L sX9aUldcrAIhd8dmCEl5J+4mx7+/lrpsXu7wjLWNNQyA1SRrog+Se0gSfhQegieK /u+ptDrGeWMFg6/18os/VwzperTTK53P7cp/o40Ax5DT7lcUfayAGfXiGivVEVGm gXeiVxMosyhS7C7zfuN5Ytd192JTOnOW+tiNfuph+BiG3tEKLZIyjMJ8Skf7CuY= =7VvT -----END PGP SIGNATURE-----