-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-2401 JPCERT/CC 2019-06-26 <<< JPCERT/CC WEEKLY REPORT 2019-06-26 >>> ―――――――――――――――――――――――――――――――――――――― ■06/16(日)〜06/22(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Mozilla 製品に脆弱性 【2】Oracle WebLogic Server に安全でないデシリアライゼーションの脆弱性 【3】複数の Cisco 製品に脆弱性 【4】ISC BIND 9 にサービス運用妨害 (DoS) 攻撃の脆弱性 【5】Apple AirPort に複数の脆弱性 【6】Apache Tomcat にサービス運用妨害 (DoS) 攻撃の脆弱性 【7】Linux カーネルおよび FreeBSD カーネルにサービス運用妨害 (DoS) 攻撃の脆弱性 【8】Android 版 Microsoft Outlook にスプーフィング攻撃が可能な脆弱性 【9】Samba に複数の脆弱性 【10】Dell SupportAssist に DLL 読み込みに関する脆弱性 【11】VAIO Update に複数の脆弱性 【12】WordPress 用プラグイン Related YouTube Videos にクロスサイトリクエストフォージェリの脆弱性 【13】WordPress 用プラグイン Personalized WooCommerce Cart Page にクロスサイトリクエストフォージェリの脆弱性 【14】Weekly Reportや注意喚起等の配信用メールアドレス変更のお知らせ 【今週のひとくちメモ】NISC が「普及啓発・人材育成専門調査会会合」の資料を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr192401.html https://www.jpcert.or.jp/wr/2019/wr192401.xml ============================================================================ 【1】複数の Mozilla 製品に脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox and Firefox ESR https://www.us-cert.gov/ncas/current-activity/2019/06/18/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR US-CERT Current Activity Mozilla Releases Security Updates for Firefox, Thunderbird https://www.us-cert.gov/ncas/current-activity/2019/06/20/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR 概要 複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Firefox 67.0.4 より前のバージョン - Firefox ESR 60.7.2 より前のバージョン - Thunderbird 60.7.2 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (日本語) JPCERT/CC 注意喚起 Firefox の脆弱性 (CVE-2019-11707) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190027.html JPCERT/CC CyberNewsFlash Mozilla 製品における脆弱性 (CVE-2019-11708) について https://www.jpcert.or.jp/newsflash/2019062101.html 関連文書 (英語) Mozilla Security vulnerabilities fixed in Firefox 67.0.3 and Firefox ESR 60.7.1 https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/ Mozilla Security vulnerabilities fixed in Firefox 67.0.4 and Firefox ESR 60.7.2 https://www.mozilla.org/en-US/security/advisories/mfsa2019-19/ Mozilla Security vulnerabilities fixed in Thunderbird 60.7.2 https://www.mozilla.org/en-US/security/advisories/mfsa2019-20/ 【2】Oracle WebLogic Server に安全でないデシリアライゼーションの脆弱性 情報源 US-CERT Current Activity Oracle Releases Security Advisory for WebLogic https://www.us-cert.gov/ncas/current-activity/2019/06/19/Oracle-Releases-Security-Advisory-WebLogic 概要 Oracle WebLogic Server には、安全でないデシリアライゼーションの脆弱性 があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能 性があります。 対象となるバージョンは次のとおりです。 - Oracle WebLogic Server 12.2.1.3.0 - Oracle WebLogic Server 12.1.3.0.0 - Oracle WebLogic Server 10.3.6.0.0 この問題は、Oracle WebLogic Server を Oracle が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Oracle が提供する情報を参照 してください。 関連文書 (日本語) JPCERT/CC 注意喚起 Oracle WebLogic Server の脆弱性 (CVE-2019-2729) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190028.html 関連文書 (英語) Oracle Oracle Security Alert Advisory - CVE-2019-2729 https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html Oracle Security Alert CVE-2019-2729 Released https://blogs.oracle.com/security/security-alert-cve-2019-2729-released 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2019/06/19/Cisco-Releases-Security-Updates-Multiple-Products 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 root 権限でコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり するなどの可能性があります。 影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで す。 - Cisco vBond Orchestrator Software - Cisco vEdge 100 Series Routers - Cisco vEdge 1000 Series Routers - Cisco vEdge 2000 Series Routers - Cisco vEdge 5000 Series Routers - Cisco vEdge Cloud Router Platform - Cisco vManage Network Management Software - Cisco vSmart Controller Software - Cisco DNA Center Software - Cisco TelePresence Integrator C Series - Cisco TelePresence EX Series - Cisco TelePresence MX Series - Cisco TelePresence SX Series - Cisco Webex Room Series - Cisco Virtualized Packet Core-Single Instance - Cisco Virtualized Packet Core-Distributed Instance - Cisco RV110W Wireless-N VPN Firewall - Cisco RV130W Wireless-N Multifunction VPN Router - Cisco RV215W Wireless-N VPN Router - Cisco Prime Service Catalog Software - Cisco Meeting Server ※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。 これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してく ださい。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す る情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco SD-WAN Solution Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-sdwan-privesca Cisco Security Advisory Cisco DNA Center Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-dnac-bypass Cisco Security Advisory Cisco TelePresence Endpoint Command Shell Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-tele-shell-inj Cisco Security Advisory Cisco StarOS Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-staros-asr-dos Cisco Security Advisory Cisco SD-WAN Solution Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-sdwan-privilescal Cisco Security Advisory Cisco SD-WAN Solution Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-sdwan-cmdinj Cisco Security Advisory Cisco RV110W, RV130W, and RV215W Routers Management Interface Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-rvrouters-dos Cisco Security Advisory Cisco Prime Service Catalog Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-psc-csrf Cisco Security Advisory Cisco Meeting Server CLI Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190619-cms-codex 【4】ISC BIND 9 にサービス運用妨害 (DoS) 攻撃の脆弱性 情報源 US-CERT Current Activity ISC Releases BIND Security Updates https://www.us-cert.gov/ncas/current-activity/2019/06/19/ISC-Releases-BIND-Security-Updates 概要 ISC BIND 9 には、脆弱性があります。結果として、遠隔の第三者がサービス 運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.11.0 から 9.11.7 までのバージョン - BIND 9.12.0 から 9.12.4-P1 までのバージョン - BIND 9.14.0 から 9.14.2 までのバージョン この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6471)- バージョンアップを推奨 - https://jprs.jp/tech/security/2019-06-20-bind9-vuln-malformed-packets.html JPCERT/CC CyberNewsFlash ISC BIND 9 における脆弱性 (CVE-2019-6471) について https://www.jpcert.or.jp/newsflash/2019062001.html Japan Vulnerability Notes JVNVU#90363752 ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU90363752/ 一般社団法人日本ネットワークインフォメーションセンター(JPNIC) BIND 9における脆弱性について(2019年6月) https://www.nic.ad.jp/ja/topics/2019/20190620-01.html 関連文書 (英語) ISC advisory CVE-2019-6471: A race condition when discarding malformed packets can cause BIND to exit with an assertion failure https://kb.isc.org/docs/cve-2019-6471 【5】Apple AirPort に複数の脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for AirPort 802.11n Wi-Fi Base Stations https://www.us-cert.gov/ncas/current-activity/2019/06/20/Apple-Releases-Security-Updates-AirPort-Express-Extreme-Time 概要 Apple AirPort (AirMac) には、複数の脆弱性があります。結果として、遠隔 の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - AirPort Base Station Firmware 7.8.1 より前のバージョン この問題は、Apple AirPort (AirMac) を Apple が提供する修正済みのバージョ ンに更新することで解決します。詳細は、Apple が提供する情報を参照してく ださい。 関連文書 (英語) Apple About the security content of AirPort Base Station Firmware Update 7.8.1 https://support.apple.com/en-us/HT210091 【6】Apache Tomcat にサービス運用妨害 (DoS) 攻撃の脆弱性 情報源 US-CERT Current Activity Apache Releases Security Advisory for Apache Tomcat https://www.us-cert.gov/ncas/current-activity/2019/06/20/Apache-Releases-Security-Advisory-Apache-Tomcat 概要 Apache Tomcat には、脆弱性があります。結果として、遠隔の第三者がサービ ス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 9.0.0.M1 から 9.0.19 までのバージョン - Apache Tomcat 8.5.0 から 8.5.40 までのバージョン この問題は、Apache Tomcat を The Apache Software Foundation が提供する 修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99826833 Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU99826833/ 関連文書 (英語) The Apache Software Foundation Fixed in Apache Tomcat 9.0.20 http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.20 The Apache Software Foundation Fixed in Apache Tomcat 8.5.41 http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.41 The Apache Software Foundation [SECURITY][CORRECTION] CVE-2019-10072 Apache Tomcat HTTP/2 DoS http://mail-archives.us.apache.org/mod_mbox/www-announce/201906.mbox/%3Cca69531a-1592-be7b-60ce-729549c7f812%40apache.org%3E 【7】Linux カーネルおよび FreeBSD カーネルにサービス運用妨害 (DoS) 攻撃の脆弱性 情報源 CERT/CC Vulnerability Note VU#905115 Multiple TCP Selective Acknowledgement (SACK) and Maximum Segment Size (MSS) networking vulnerabilities may cause denial-of-service conditions in Linux and FreeBSD kernels https://www.kb.cert.org/vuls/id/905115/ 概要 Linux カーネルおよび FreeBSD カーネルには、脆弱性があります。結果とし て遠隔の第三者が細工したパケットを送信することで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Linux カーネル 全てのバージョン - RACK TCP スタックを有効にしている FreeBSD 12 この問題は、Linux カーネルおよび FreeBSD カーネルを各ベンダが提供する 修正済みのバージョンに更新することで解決します。詳細は、各ベンダが提供 する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93800789 Linux および FreeBSD カーネルにおけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU93800789/ 関連文書 (英語) US-CERT Current Activity Multiple Vulnerabilities Affecting Linux, FreeBSD Kernels https://www.us-cert.gov/ncas/current-activity/2019/06/20/Multiple-Vulnerabilities-Affecting-Linux-FreeBSD-Kernels 【8】Android 版 Microsoft Outlook にスプーフィング攻撃が可能な脆弱性 情報源 US-CERT Current Activity Microsoft Releases Outlook for Android Security Update https://www.us-cert.gov/ncas/current-activity/2019/06/20/Microsoft-Releases-Outlook-Android-Security-Update 概要 Android 版 Microsoft Outlook には、スプーフィング攻撃が可能な脆弱性が あります。結果として、遠隔の第三者が細工したメールを送信することで、メー ルの受信者の security context 上でスクリプトを実行する可能性があります。 この問題は、Android 版 Microsoft Outlook を Microsoft が提供する修正済 みのバージョンに更新することで解決します。詳細は、Microsoft が提供する 情報を参照してください。 関連文書 (英語) Microsoft CVE-2019-1105 | Outlook for Android Spoofing Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1105 【9】Samba に複数の脆弱性 情報源 US-CERT Current Activity Samba Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/06/19/Samba-Releases-Security-Updates 概要 Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス 運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - Samba 4.9.9 より前のバージョン - Samba 4.10.5 より前のバージョン この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更 新することで解決します。詳細は、The Samba Team が提供する情報を参照し てください。 関連文書 (英語) The Samba Team Samba AD DC Denial of Service in DNS management server (dnsserver) https://www.samba.org/samba/security/CVE-2019-12435.html The Samba Team Samba AD DC LDAP server crash (paged searches) https://www.samba.org/samba/security/CVE-2019-12436.html 【10】Dell SupportAssist に DLL 読み込みに関する脆弱性 情報源 US-CERT Current Activity Dell Releases Security Advisory for Dell SupportAssist https://www.us-cert.gov/ncas/current-activity/2019/06/21/Dell-Releases-Security-Advisory-Dell-SupportAssist 概要 Dell SupportAssist には、DLL 読み込みに関する脆弱性があります。結果と して、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Dell SupportAssist for Business PCs バージョン 2.0 - Dell SupportAssist for Home PCs バージョン 3.2.1 およびそれ以前 この問題は、Dell SupportAssist を DELL が提供する修正済みのバージョン に更新することで解決します。詳細は、DELL が提供する情報を参照してくだ さい。 関連文書 (英語) DELL DSA-2019-084: Dell SupportAssist for Business PCs and Dell SupportAssist for Home PCs Security Update for PC Doctor Vulnerability https://www.dell.com/support/article/us/en/04/sln317291/dsa-2019-084-dell-supportassist-for-business-pcs-and-dell-supportassist-for-home-pcs-security-update-for-pc-doctor-vulnerability 【11】VAIO Update に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#13555032 VAIO Update における複数の脆弱性 https://jvn.jp/jp/JVN13555032/ 概要 ソニー株式会社が提供する VAIO Update には、複数の脆弱性があります。結 果として、第三者が任意の実行ファイルを管理者権限で実行するなどの可能性 があります。 対象となるバージョンは次のとおりです。 - VAIO Update 7.3.0.03150 およびそれ以前 この問題は、VAIO Update をソニー株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、ソニー株式会社が提供する情報を参照 してください。 関連文書 (日本語) ソニー株式会社 VAIO Updateの脆弱性について https://www.sony.jp/support/vaio/info2/20190620.html 【12】WordPress 用プラグイン Related YouTube Videos にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#31406910 WordPress 用プラグイン Related YouTube Videos におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN31406910/ 概要 WordPress 用プラグイン Related YouTube Videos には、クロスサイトリクエ ストフォージェリの脆弱性があります。結果として、遠隔の第三者が、細工し たページにユーザをアクセスさせることにより、当該製品にログインしている ユーザの権限で任意の操作を行う可能性があります。 対象となるバージョンは次のとおりです。 - Related YouTube Videos 1.9.9 より前のバージョン この問題は、Related YouTube Videos を開発者が提供する修正済みのバージョ ンに更新することで解決します。詳細は、開発者が提供する情報を参照してく ださい。 関連文書 (英語) Chris Doerr Related YouTube Videos https://wordpress.org/plugins/related-youtube-videos/ 【13】WordPress 用プラグイン Personalized WooCommerce Cart Page にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#88804335 WordPress 用プラグイン Personalized WooCommerce Cart Page におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN88804335/ 概要 WordPress 用プラグイン Personalized WooCommerce Cart Page には、クロス サイトリクエストフォージェリの脆弱性があります。結果として、遠隔の第三 者が、細工したページにユーザをアクセスさせることにより、当該製品にログ インしているユーザの権限で任意の操作を行う可能性があります。 対象となるバージョンは次のとおりです。 - Personalized WooCommerce Cart Page 2.4 およびそれ以前 この問題は、Personalized WooCommerce Cart Page を開発者が提供する修正 済みのバージョンに更新することで解決します。詳細は、開発者が提供する情 報を参照してください。 関連文書 (英語) N-MEDIA Personalized WooCommerce Cart Page https://wordpress.org/plugins/personalize-woocommerce-cart-page/ 【14】Weekly Reportや注意喚起等の配信用メールアドレス変更のお知らせ 情報源 JPCERT/CC Weekly Reportや注意喚起等の配信用メールアドレス変更のお知らせ https://www.jpcert.or.jp/pr/2019/pr190002.html 概要 JPCERT/CC では、2019年7月1日から Weekly Report や注意喚起の発行に用い るメールアドレスを変更します。詳細は、情報源のお知らせを参照してくださ い。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NISC が「普及啓発・人材育成専門調査会会合」の資料を公開 2019年6月19日、内閣サイバーセキュリティセンター (NISC) は、2019年5月17日 に開催した「普及啓発・人材育成専門調査会第11回会合」の資料を公開しまし た。企業のサイバーセキュリティ対策に関する調査結果や、各省庁のサイバー セキュリティ人材育成や普及啓発に関する取り組み状況が記載されています。 参考文献 (日本語) 内閣サイバーセキュリティセンター (NISC) 普及啓発・人材育成専門調査会 https://www.nisc.go.jp/conference/cs/jinzai/index.html#jinzai11 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJdECpWAAoJEDF9l6Rp7OBIO10H/jUCV8/g9cE+o0z6+qMPrCc3 lOgTVIjTFBcGxBkg1qhbIgMo1gHZ9hXrZ1msAJ8fIkf1q4snNWeDGOr9p9qbdcJf o5Z3A1KGeDJl5Gag94wpLEprDj0Dc8Tx/aX0LrX35GeEZ9Tbhu/G/xA8WdZZSV9o lJ/s9G0P5AXhScwEi00LgihdfdTxnCu7IGyuBVBol7jYA+gxYeZPvHPAaZI7eXGP pGinio8ngAJ9Mveot1aisjug7VS6yxO/9clbq4wKcwLmN3WBd/VtyDMT5lY/10qA ylu3AnGfoXdjRz3x2iy52055Od7Zf2yaIZcdInMvQxL2Fj4OyE1wxwyq7fvuJTI= =JXzi -----END PGP SIGNATURE-----