-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-2201 JPCERT/CC 2019-06-12 <<< JPCERT/CC WEEKLY REPORT 2019-06-12 >>> ―――――――――――――――――――――――――――――――――――――― ■06/02(日)〜06/08(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chrome に複数の脆弱性 【2】複数の Cisco 製品に脆弱性 【3】複数の VMware 製品に脆弱性 【4】GROWI に複数の脆弱性 【5】Joruri CMS 2017 にクロスサイトスクリプティングの脆弱性 【6】Joruri Mail に複数の脆弱性 【今週のひとくちメモ】CSA ジャパンが「CSA Japan Summit 2019 講演資料」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr192201.html https://www.jpcert.or.jp/wr/2019/wr192201.xml ============================================================================ 【1】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Update for Chrome https://www.us-cert.gov/ncas/current-activity/2019/06/04/Google-Releases-Security-Update-Chrome 概要 Google Chrome には、解放済みメモリの使用などに関する脆弱性があります。 対象となるバージョンは次のとおりです。 - Chrome 75.0.3770.80 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2019/06/stable-channel-update-for-desktop.html 【2】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2019/06/05/Cisco-Releases-Security-Updates-Multiple-Products 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品は次のとおりです。 - Cisco Industrial Network Director - Cisco Unified Communications Manager IM&P Service - Cisco TelePresence Video Communication Server - Cisco Expressway Series software - Cisco Webex Meetings Server - UCS C125 M5 Rack Server Node - UCS C220 M4 Rack Server - UCS C220 M5 Rack Server - UCS C240 M4 Rack Server - UCS C240 M5 Rack Server - UCS C460 M4 Rack Server - UCS C480 M5 Rack Server - SSH server 機能が有効になっている Cisco IOS XR Software - Cisco Enterprise Chat and Email (ECE) Center この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Industrial Network Director Remote Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-ind-rce Cisco Cisco Unified Communications Manager IM&P Service, Cisco TelePresence VCS, and Cisco Expressway Series Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-cucm-imp-dos Cisco Cisco TelePresence Video Communication Server and Cisco Expressway Series Server-Side Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-vcs Cisco Cisco Webex Meetings Server Information Disclosure Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-webexmeetings-id Cisco Cisco TelePresence Video Communication Server and Cisco Expressway Series Server-Side Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-vcs Cisco Cisco Webex Meetings Server Information Disclosure Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-webexmeetings-id Cisco Cisco Unified Computing System BIOS Signature Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-ucs-biossig-bypass Cisco Cisco IOS XR Software Secure Shell Authentication Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-iosxr-ssh Cisco Cisco Industrial Network Director Stored Cross-Site Scripting Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-ind-xss Cisco Cisco Industrial Network Director Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-ind-csrf Cisco Cisco Enterprise Chat and Email Cross-Site Scripting Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190605-ece-xss 【3】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates for Tools and Workstation https://www.us-cert.gov/ncas/current-activity/2019/06/06/VMware-Releases-Security-Updates-Tools-and-Workstation 概要 複数の VMware 製品には、脆弱性があります。結果として、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware Tools for Windows 10.3.10 より前の 10 系のバージョン - VMware Workstation Pro / Player for Linux 15.1.0 より前の 15 系のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2019-0009 https://www.vmware.com/security/advisories/VMSA-2019-0009.html 【4】GROWI に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#84876282 GROWI における複数の脆弱性 https://jvn.jp/jp/JVN84876282/ 概要 株式会社WESEEK が提供する GROWI には、複数の脆弱性があります。結果とし て、遠隔の第三者がユーザの意図しない操作をさせるなどの可能性があります。 対象となるバージョンは次のとおりです。 - GROWI v3.4.6 およびそれ以前 この問題は、GROWI を株式会社WESEEK が提供する修正済みのバージョンに更 新することで解決します。詳細は、株式会社WESEEK が提供する情報を参照し てください。 関連文書 (日本語) 株式会社WESEEK GROWI 脆弱性対応のお知らせ (JVN#84876282) https://weseek.co.jp/security/2019/06/04/growi-fix-jvn84876282/ 【5】Joruri CMS 2017 にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#29188908 Joruri CMS 2017 におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN29188908/ 概要 サイトブリッジ株式会社が提供する Joruri CMS 2017 には、クロスサイトス クリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのウェ ブブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Joruri CMS 2017 Release2 およびそれ以前 この問題は、Joruri CMS 2017 を サイトブリッジ株式会社が提供する修正済 みのバージョンに更新することで解決します。詳細は、サイトブリッジ株式会 社が提供する情報を参照してください。 関連文書 (日本語) Joruri [JVN#29188908]Joruri CMS 2017 におけるクロスサイト・スクリプティングの脆弱性 https://joruri.org/docs/2018060400058/ 【6】Joruri Mail に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#58052567 Joruri Mail における複数の脆弱性 https://jvn.jp/jp/JVN58052567/ 概要 サイトブリッジ株式会社が提供する Joruri Mail には、複数の脆弱性があり ます。結果として、遠隔の第三者が情報を改ざんするなどの可能性があります。 対象となるバージョンは次のとおりです。 - Joruri Mail 2.1.4 およびそれ以前 この問題は、Joruri Mail をサイトブリッジ株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、サイトブリッジ株式会社が提供 する情報を参照してください。 関連文書 (日本語) Joruri [JVN#58052567]Joruri Mail における複数の脆弱性 https://joruri.org/docs/2018060400041/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○CSA ジャパンが「CSA Japan Summit 2019 講演資料」を公開 2019年6月2日、日本クラウドセキュリティアライアンス (CSA ジャパン) は、 2019年5月15日に開催された「CSA Japan Summit 2019」の講演資料を公開しま した。「クラウド時代に向けて変化するセキュリティ対策・運用」など5つの テーマの講演資料が公開されています。 参考文献 (日本語) 日本クラウドセキュリティアライアンス (CSA ジャパン) CSA Japan Summit 2019 講演資料 https://cloudsecurityalliance.jp/site/?page_id=6125 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJc/bMzAAoJEDF9l6Rp7OBILGgH/RjisFcX3MltE4K7zOgDHOFa HqOBoAEDHSmX1IEseArlkiKBbW37dieSCoUDWSVq6Wjksf3JcQzWtwAk9LDo3SFg /xL3xZFwZoaumNqSY/Ls3twFGpbYGMTOsTvl+XL1jCLIOLjIcpeVqbvll2vYh6Fa GgxUAf+knqRLHjAQTDK7jhTXtmbdXRY3vFYfZUWwprB59JLAjcfFsDlBsJgW+CGl //S98Al0510jzUwHpmcpeOfypDq603L9EBTIQtPeDYP4XOQy6vVO4YkX+blUaytJ FJD1W6UhEEYJUuzlEXZ3alMQOnKjolrReVr7tjrSyN5+OI9Ubd1Ixv0qyi18Udw= =j8yO -----END PGP SIGNATURE-----