-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-2701 JPCERT/CC 2019-07-18 <<< JPCERT/CC WEEKLY REPORT 2019-07-18 >>> ―――――――――――――――――――――――――――――――――――――― ■07/07(日)〜07/13(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Mozilla 製品に脆弱性 【3】複数の Intel 製品に脆弱性 【4】複数の Adobe 製品に脆弱性 【5】複数の Cisco 製品に脆弱性 【6】複数の Juniper 製品に脆弱性 【7】Jira Server および Data Center にサーバサイドテンプレートインジェクションの脆弱性 【今週のひとくちメモ】制御システムセキュリティカンファレンス2020講演募集 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr192701.html https://www.jpcert.or.jp/wr/2019/wr192701.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases July 2019 Security Updates https://www.us-cert.gov/ncas/current-activity/2019/07/09/microsoft-releases-july-2019-security-updates 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Internet Explorer - Microsoft Edge - Microsoft Office、Microsoft Office Services および Web Apps - Azure DevOps - オープン ソース ソフトウェア - .NET Framework - Azure - SQL Server - ASP.NET - Visual Studio - Microsoft Exchange Server この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2019 年 7 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/48293f19-d662-e911-a98e-000d3a33c573 JPCERT/CC 注意喚起 2019年 7月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2019/at190029.html 【2】複数の Mozilla 製品に脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox and Firefox ESR https://www.us-cert.gov/ncas/current-activity/2019/07/09/mozilla-releases-security-updates-firefox-and-firefox-esr Mozilla Security vulnerabilities fixed in Thunderbird 60.8 https://www.mozilla.org/en-US/security/advisories/mfsa2019-23/ 概要 複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Firefox 68 より前のバージョン - Firefox ESR 60.8 より前のバージョン - Thunderbird 60.8 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (英語) Mozilla Security vulnerabilities fixed in Firefox 68 https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/ Mozilla Security vulnerabilities fixed in Firefox ESR 60.8 https://www.mozilla.org/en-US/security/advisories/mfsa2019-22/ 【3】複数の Intel 製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#90203478 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU90203478 US-CERT Current Activity Intel Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/07/09/intel-releases-security-updates 概要 複数の Intel 製品には、脆弱性があります。結果として、第三者が、サービ ス運用妨害 (DoS) 攻撃を行ったり、権限昇格を行ったりするなどの可能性が あります。 対象となる製品およびバージョンは次のとおりです。 - Intel SSD DC S4500 Series firmware SCV10150 より前のバージョン - Intel SSD DC S4600 Series firmware SCV10150 より前のバージョン - Intel Processor Diagnostic Tool for 32-bit 4.1.2.24 より前のバージョン - Intel Processor Diagnostic Tool for 64-bit 4.1.2.24 より前のバージョン この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新 することで解決します。詳細は、Intel が提供する情報を参照してください。 関連文書 (英語) Intel Intel SSD DC S4500/S4600 Series Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00267.html Intel Intel Processor Diagnostic Tool Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00268.html 【4】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/07/09/adobe-releases-security-updates 概要 複数の Adobe 製品には、脆弱性があります。結果として、第三者が情報を窃 取するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Bridge CC 9.0.2 およびそれ以前のバージョン (Windows, macOS) - Adobe Experience Manager 6.4, 6.3, 6.2, 6.1, 6.0 - Adobe Dreamweaver 直接ダウンロードインストーラー 18.0 およびそれ以前のバージョン (Windows) - Adobe Dreamweaver 直接ダウンロードインストーラー 19.0 およびそれ以前のバージョン (Windows) なお、既にコアサポート期間が終了している Adobe Experience Manager 6.2、 6.1、6.0 も本脆弱性の影響を受けるとのことです。該当のバージョンを使用 している場合は、サポート対象のバージョンをご使用ください。 この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 するか、最新のインストーラを使用することで解決します。詳細は、Adobe が 提供する情報を参照してください。 関連文書 (日本語) Adobe Adobe Bridge CC に関するセキュリティアップデート公開 | APSB19-37 https://helpx.adobe.com/jp/security/products/bridge/apsb19-37.html Adobe Adobe Experience Manager に関するセキュリティアップデート公開 | APSB19-38 https://helpx.adobe.com/jp/security/products/experience-manager/apsb19-38.html Adobe Adobe Dreamweaver に関するセキュリティアップデート公開 | APSB19-40 https://helpx.adobe.com/jp/security/products/dreamweaver/apsb19-40.html 【5】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2019/07/10/cisco-releases-security-updates-multiple-products 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は次のとおりです。 - ASA 5506-X - ASA 5506-X with FirePOWER Services - ASA 5506H-X - ASA 5506H-X with FirePOWER Services - ASA 5506W-X - ASA 5506W-X with FirePOWER Services - ASA 5508-X - ASA 5508-X with FirePOWER Services - ASA 5516-X - ASA 5516-X with FirePOWER Services ※ 本脆弱性は、対象となる製品で、Cisco Adaptive Security Appliance Software または Cisco Firepower Threat Defense Software が稼働している 場合に、影響を受けるとのことです。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco ASA and FTD Software Cryptographic TLS and SSL Driver Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190710-asa-ftd-dos 【6】複数の Juniper 製品に脆弱性 情報源 US-CERT Current Activity Juniper Networks Releases Multiple Security Updates https://www.us-cert.gov/ncas/current-activity/2019/07/10/juniper-networks-releases-multiple-security-updates 概要 複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品は次のとおりです。 - Junos OS - Junos Space - Juniper Secure Analytics (JSA) Series - Steel Belted Radius Carrier Edition この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更 新することで解決します。詳細は、Juniper が提供する情報を参照してくださ い。 関連文書 (英語) Juniper Networks Security Advisories https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES Juniper Networks 2019-07 Security Bulletin: Junos OS: EX4300 Series: Denial of Service upon receipt of large number of specific valid packets on management interface. (CVE-2019-0046) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10938 Juniper Networks 2019-07 Security Bulletin: Steel Belted Radius Carrier Edition: Multiple Vulnerabilities in NSPR, NSS and Bouncy Castle https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10939 Juniper Networks 2019-07 Security Bulletin: Junos OS: Multiple Vulnerabilities in OpenSSH https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10940 Juniper Networks 2019-07 Security Bulletin: EX4300 Series: When a firewall filter is applied to a loopback interface, other firewall filters for multicast traffic may fail (CVE-2019-0048) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10942 Juniper Networks 2019-07 Security Bulletin: Junos OS: RPD process crashes when BGP peer restarts (CVE-2019-0049) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10943 Juniper Networks 2019-07 Security Bulletin: SRX Series: srxpfe process crash while JSF/UTM module parses specific HTTP packets (CVE-2019-0052) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10946 Juniper Networks 2019-07 Security Bulletin: Junos OS: Insufficient validation of environment variables in telnet client may lead to stack-based buffer overflow (CVE-2019-0053) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10947 Juniper Networks 2019-07 Security Bulletin: Junos OS: J-Web Denial of Service due to multiple vulnerabilities in Embedthis Appweb Server https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10948 Juniper Networks 2019-07 Security Bulletin: Junos OS: OpenSSL Security Advisory [26 Feb 2019] https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10949 Juniper Networks 2019-07 Security Bulletin: Juniper Secure Analytics (JSA): Multiple vulnerabilities resolved in JSA 7.3.2 Patch 1 https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10950 Juniper Networks 2019-07 Security Bulletin: Junos Space: Multiple vulnerabilities resolved in 19.2R1 release https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10951 【7】Jira Server および Data Center にサーバサイドテンプレートインジェクションの脆弱性 情報源 US-CERT Current Activity Atlassian Releases Security Updates for Jira https://www.us-cert.gov/ncas/current-activity/2019/07/11/atlassian-releases-security-updates-jira 概要 Jira Server および Data Center には、サーバサイドテンプレートインジェ クションの脆弱性があります。結果として、遠隔の第三者が任意のコードを実 行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - 次のバージョンの Jira Server および Data Center - 4.4 系 - 5 系 - 6 系 - 7.0 系 - 7.1 系 - 7.2 系 - 7.3 系 - 7.4 系 - 7.5 系 - 7.6 系の内、7.6.14 より前のバージョン - 7.7 系 - 7.8 系 - 7.9 系 - 7.10 系 - 7.11 系 - 7.12 系 - 7.13 系の内、7.13.5 より前のバージョン - 8.0 系の内、8.0.3 より前のバージョン - 8.1 系の内、8.1.2 より前のバージョン - 8.2 系の内、8.2.3 より前のバージョン この問題は、該当する製品を Atlassian が提供する修正済みのバージョンに 更新することで解決します。詳細は、Atlassian が提供する情報を参照してく ださい。 関連文書 (英語) Atlassian JIRA Security Advisory 2019-07-10 https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○制御システムセキュリティカンファレンス2020講演募集 2019年7月9日、JPCERT/CC は、制御システムセキュリティカンファレンス2020 の講演を募集する案内を掲載しました。 本カンファレンスは、国内外の制御システムにおける脅威の現状や、関連業界 や企業で行われているセキュリティに関する先進的な取り組みを共有するもの です。講演をご希望の方は、募集要項をお読みいただき、講演概要と共に必要 事項をカンファレンス事務局までお送りください。応募締切は 2019年9月13日 (金)必着です。 参考文献 (日本語) JPCERT/CC 制御システムセキュリティカンファレンス2020講演募集(Call for Presentation) https://www.jpcert.or.jp/event/ics-conf-cfp2020/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJdL7feAAoJEKntH+qu5CT/arcP/Reagn/Zgma8eRdfyTrRbJlG AcuwhAt7hA+an1mz4DbG89YaBATveVUF0nWv/jvw9Roj3AkLhEw1rHMKAa+Y5XEd pJRLgSXf+yITW1/NwR9hiwSz/1moBpZKbzhBTegCf13GdUXT05DrjDBxEdeWFpuT GuDwGVSVAuefBYTU5lDINVgGTu6vyvlI8cOttWdh23PC8bZXcwKh23QwjZucM6CV bXVtqgfmhnXAJIWWwwz87dQIRIJ5ieU+p7vzk4jfiuNquTZFz4/k/2uLVzgjY850 TG3jCrERjso7YnhLguYga8rmxUEaA3r6HtncgQbWNMCA+CQ0JjkASH6HLj0c4IzM xea0BVWqEMFNZwa4RYtFuSJSDXIYaxeZ33SwxSaFY+TYyeuJPRgHF8j+22HE8Jnp jesrrmZ74mcB9hJaGm4nuskDXm377VIrbiLQ6CM2hAdNWHWHF2KQPnosKgCESSNn KXzG6mNWPQgjChBa2L3+J2gN82KF+mMqgYRKPJXqL1Zjs1QrwOr7pKM9JQctCK2q Sx+CX3uhv+jXuHhBJQ5j2QqY2LsrTxZ/Vp2owi+y9R48XFQ3/wRWLquE8DwiA6om uxBgwQaBW+SS2Rtei+DzAf27ZBk4DnaDHf75wvliKRYVVA67wcvVdl9+UJLGD6R5 ITSVl04XCEwCyG9sul9q =BCnX -----END PGP SIGNATURE-----