-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-3601 JPCERT/CC 2019-09-19 <<< JPCERT/CC WEEKLY REPORT 2019-09-19 >>> ―――――――――――――――――――――――――――――――――――――― ■09/08(日)〜09/14(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】Google Chrome に複数の脆弱性 【4】Mozilla Thunderbird に複数の脆弱性 【5】複数の Intel 製品に脆弱性 【6】ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネスセキュリティにディレクトリトラバーサルの脆弱性 【7】SHIRASAGI にオープンリダイレクトの脆弱性 【8】OpenSSL に複数の脆弱性 【9】apng-drawable に整数オーバーフローの脆弱性 【10】複数のリコー製プリンタおよび複合機にバッファオーバーフローの脆弱性 【11】Wireshark にリソースの枯渇に関する脆弱性 【12】GitLab Enterprise Edition にアクセス制限不備の脆弱性 【今週のひとくちメモ】「フィッシング対策セミナー 2019」開催のお知らせ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr193601.html https://www.jpcert.or.jp/wr/2019/wr193601.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases September 2019 Security Updates https://www.us-cert.gov/ncas/current-activity/2019/09/10/microsoft-releases-september-2019-security-updates 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Internet Explorer - Microsoft Edge (EdgeHTML ベース) - ChakraCore - Microsoft Office、Microsoft Office Services および Web Apps - Microsoft Lync - Visual Studio - Microsoft Exchange Server - .NET Framework - Microsoft Yammer - .NET Core - ASP.NET - Team Foundation Server - Project Rome この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2019 年 9 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/24f46f0a-489c-e911-a994-000d3a33c573 JPCERT/CC 2019年 9月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2019/at190036.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/09/10/adobe-releases-security-updates 概要 複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Flash Player Desktop Runtime (32.0.0.238) およびそれ以前 (Windows, macOS および Linux) - Adobe Flash Player for Google Chrome (32.0.0.238) およびそれ以前 (Windows, macOS, Linux および Chrome OS) - Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.207) およびそれ以前 (Windows 10 および Windows 8.1) - Adobe Application Manager (インストーラー) バージョン 10.0 (Windows) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Adobe Flash Player の脆弱性 (APSB19-46) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190035.html JPCERT/CC Adobe Application Manager のインストーラに関するセキュリティアップデート (APSB19-45) について https://www.jpcert.or.jp/newsflash/2019091101.html Adobe Adobe Application Manager に関するセキュリティアップデート公開 | APSB19-45 https://helpx.adobe.com/jp/security/products/application_manager/apsb19-45.html Adobe Adobe Flash Player に関するセキュリティ速報 | APSB19-46 https://helpx.adobe.com/jp/security/products/flash-player/apsb19-46.html 【3】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2019/09/10/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の コードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Chrome 77.0.3865.75 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2019/09/stable-channel-update-for-desktop.html 【4】Mozilla Thunderbird に複数の脆弱性 情報源 Mozilla Security vulnerabilities fixed in - Thunderbird 60.9 https://www.mozilla.org/en-US/security/advisories/mfsa2019-29/ Mozilla Security vulnerabilities fixed in - Thunderbird 68.1 https://www.mozilla.org/en-US/security/advisories/mfsa2019-30/ 概要 Mozilla Thunderbird には、複数の脆弱性があります。結果として、第三者が 任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Mozilla Thunderbird 60.9 より前のバージョン - Mozilla Thunderbird 68.1 より前のバージョン この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 【5】複数の Intel 製品に脆弱性 情報源 US-CERT Current Activity Intel Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/09/10/intel-releases-security-updates 概要 複数の Intel 製品には、脆弱性があります。結果として、第三者が権限を昇 格するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Intel Easy Streaming Wizard 2.1.0731 より前のバージョン (INTEL-SA-00285) - DDIO ならびに RDMA をサポートしている Intel Xeon E5, E7 およびスケーラブル・プロセッサー・ファミリー (INTEL-SA-00290) この問題の内、INTEL-SA-00285 については、Intel Easy Streaming Wizard を Intel が提供する修正済みのバージョンに更新することで解決します。 INTEL-SA-00290 については、Intel が提供する情報を参考に回避策の適用を 検討してください。詳細は、Intel が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93614443 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU93614443/ JPCERT/CC Intel 製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2019091102.html 関連文書 (英語) Intel INTEL-SA-00285: Intel Easy Streaming Wizard Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00285.html Intel INTEL-SA-00290: Partial Information Disclosure Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00290.html 【6】ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネスセキュリティにディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVNVU#94051551 ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネスセキュリティにおけるディレクトリトラバーサルの脆弱性 https://jvn.jp/vu/JVNVU94051551/ 概要 ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネ スセキュリティには、ディレクトリトラバーサルの脆弱性があります。結果と して、遠隔の第三者が、当該製品が稼働するサーバ上の任意のファイルを変更 する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - ウイルスバスター コーポレートエディション XG SP1、XG および 11.0 SP1 - ウイルスバスター ビジネスセキュリティ 10.0、9.5 および 9.0 この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適 用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報 を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ : ウイルスバスター コーポレートエディションとウイルスバスター ビジネスセキュリティのディレクトリトラバーサルの脆弱性(CVE-2019-9489)について https://success.trendmicro.com/jp/solution/1122253 トレンドマイクロ株式会社 【注意喚起】弊社製品の脆弱性(CVE-2019-9489)を悪用した攻撃を複数確認したことによる最新修正プログラム適用のお願い https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3545 JPCERT/CC ウイルスバスター コーポレートエディションの脆弱性 (CVE-2019-9489) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190034.html 【7】SHIRASAGI にオープンリダイレクトの脆弱性 情報源 Japan Vulnerability Notes JVN#74699196 SHIRASAGI におけるオープンリダイレクトの脆弱性 https://jvn.jp/jp/JVN74699196/ 概要 SHIRASAGI には、オープンリダイレクトの脆弱性があります。結果として、遠 隔の第三者が細工した URL にユーザをアクセスさせることで、任意のウェブ サイトにリダイレクトさせる可能性があります。 対象となるバージョンは次のとおりです。 - SHIRASAGI v1.7.0 およびそれ以前 この問題は、SHIRASAGI を開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) SHIRASAGI JVN#74699196 SHIRASAGI におけるオープンリダイレクトの脆弱性 https://www.ss-proj.org/support/737.html GitHub shirasagi/shirasagi https://github.com/shirasagi/shirasagi 【8】OpenSSL に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#94367039 OpenSSL に複数の脆弱性 https://jvn.jp/vu/JVNVU94367039/ 概要 OpenSSL には、複数の脆弱性があります。結果として、第三者が機微な情報を 取得するなどの可能性があります。 対象となるバージョンは次のとおりです。 - OpenSSL 1.0.2t より前の 1.0.2 系のバージョン - OpenSSL 1.1.0l より前の 1.1.0 系のバージョン - OpenSSL 1.1.1d より前の 1.1.1 系のバージョン なお、OpenSSL Project によると、OpenSSL 1.0.2 系のサポートは 2019年 12月31日に終了し、OpenSSL 1.1.0 系のサポートは 2019年9月11日に終了して いるとのことです。OpenSSL 1.0.2 系か 1.1.0 系を使用している場合は、 1.1.1 系にアップグレードすることが推奨されています。 この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン に更新することで解決します。詳細は、OpenSSL Project が提供する情報を参 照してください。 関連文書 (英語) OpenSSL Project OpenSSL Security Advisory [10 September 2019] https://www.openssl.org/news/secadv/20190910.txt 【9】apng-drawable に整数オーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVN#39383894 apng-drawable における整数オーバーフローの脆弱性 https://jvn.jp/jp/JVN39383894/ 概要 LINE 株式会社が提供する apng-drawable には、整数オーバーフローの脆弱性 があります。結果として、第三者が、任意のコードを実行したり、サービス運 用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは次のとおりです。 - apng-drawable 1.0.0 から 1.6.0 まで この問題は、apng-drawable を LINE 株式会社が提供する修正済みのバージョ ンに更新することで解決します。詳細は、LINE 株式会社が提供する情報を参 照してください。 関連文書 (英語) Github line/apng-drawable https://github.com/line/apng-drawable/ 【10】複数のリコー製プリンタおよび複合機にバッファオーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVN#11708203 複数のリコー製プリンタおよび複合機における複数のバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN11708203/ 概要 株式会社リコーが提供する複数のプリンタおよび複合機には、バッファオーバー フローの脆弱性があります。結果として、遠隔の第三者が、任意のコードを実 行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - SP C250SF ファームウェア ver.1.13 より前のバージョン - SP C252SF ファームウェア ver.1.13 より前のバージョン - SP C250DN ファームウェア ver.1.07 より前のバージョン - SP C252DN ファームウェア ver.1.07 より前のバージョン この問題は、該当する製品を株式会社リコーが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社リコーが提供する情報を参照 してください。 関連文書 (英語) Ricoh Company Potential security vulnerabilities in some of Ricoh’s printers and Multifunction Printers (MFPs) https://www.ricoh.com/info/2019/0823_1/ 【11】Wireshark にリソースの枯渇に関する脆弱性 情報源 Wireshark Foundation wnpa-sec-2019-21 Gryphon dissector infinite loop https://www.wireshark.org/security/wnpa-sec-2019-21 概要 Wireshark には、リソースの枯渇に関する脆弱性があります。結果として、第 三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - Wireshark 3.0.0 から 3.0.3 までのバージョン - Wireshark 2.6.0 から 2.6.10 までのバージョン この問題は、Wireshark を Wireshark Foundation が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Wireshark Foundation が提供 する情報を参照してください。 関連文書 (英語) Wireshark Foundation Wireshark 3.0.4 and 2.6.11 Released https://www.wireshark.org/news/20190911.html Wireshark Foundation Wireshark Bug Database - Bug 16020 https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=16020 【12】GitLab Enterprise Edition にアクセス制限不備の脆弱性 情報源 GitLab GitLab Critical Security Release: 12.2.5, 12.1.9, and 12.0.9 https://about.gitlab.com/2019/09/10/critical-security-release-gitlab-12-dot-2-dot-5-released/ 概要 GitLab Enterprise Edition には、アクセス制限不備の脆弱性があります。結 果として、遠隔の第三者が情報を取得する可能性があります。 対象となるバージョンは次のとおりです。 - GitLab Enterprise Edition (EE) 12.2.5 より前の 12.2 系のバージョン - GitLab Enterprise Edition (EE) 12.1.9 より前の 12.1 系のバージョン - GitLab Enterprise Edition (EE) 12.0.9 より前の 12.0 系のバージョン - GitLab Enterprise Edition (EE) 11 系のバージョン この問題は、GitLab Enterprise Edition を GitLab が提供する修正済みのバー ジョンに更新することで解決します。詳細は、GitLab が提供する情報を参照 してください。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「フィッシング対策セミナー 2019」開催のお知らせ フィッシング対策協議会では、2020年の東京オリンピック・パラリンピック競 技大会に向けてさらに増加が予測されるフィッシング詐欺に対応するため、事 業者側の効果的な対策促進をテーマに「フィッシング対策セミナー 2019」を 開催いたします。 今年度のセミナーでは、フィッシング詐欺に関連する法執行機関、金融機関、 学術機関、セキュリティ対策事業者から有識者をお招きし、フィッシングの最 新の傾向とその対応策などをご紹介いたします。また、会場にはフィッシング 対策サービスや各種ソリューションの展示ブースもご用意いたします。本セミ ナーは、大阪・東京の2都市で開催しますが、プログラム、所要時間、規模も 異なっております。 フィッシング対策セミナー 2019(大阪): 開催日時:2019年10月25日 (金) 13:00 - 16:30 (受付開始:12:15 -) フィッシング対策セミナー 2019(東京): 開催日時:2019年11月 8日 (金) 13:00 - 18:00 (受付開始:12:15 -) また、参加費は無料ですが、事前に参加申込みが必要となります。満席になり 次第、受付終了とさせていただきますので、ご了承ください。詳細は、フィッ シング対策協議会が提供する情報を参照してください。 参考文献 (日本語) フィッシング対策協議会 フィッシング対策セミナー 2019(大阪) 開催のご案内(new) https://www.antiphishing.jp/news/event/antiphishing_seminar2019osaka.html フィッシング対策協議会 フィッシング対策セミナー 2019(東京) 開催のご案内(new) https://www.antiphishing.jp/news/event/antiphishing_seminar2019tokyo.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJdgsQ7AAoJEKntH+qu5CT/5N0P/246XUMmVN6P3cNHXAdL++94 q+WFeZSz16+JAxxQxWy5wDgrAyTd/XtkyiVjR0FKTcAyCtiCEEYanvmbi+o2oQKt uTSQHkSmac35PlCf3sUeAtVuypCujZt0UENQXAc0rKxB1VM+hm+/dQhkWpcpPsp6 +hDrYKhUPTg5DcVIw89gDJG8iL3kFZc3kyNsuRMItODiIahJ/DGI5Bh59+cpm32u qQqKMJWyiqOZBWrag9FLawWjrZkBbXgbMvmUVyJNJtIOKWHRwYH/S2IY2Ii1tQaq u5cQIOf8IUsxHni6sxVC+FuZDzyaN+9kmpVqhNr0WaD42UNXiq5QQAvLSfUSShVA ahIBG+U7DGzgF4pP/wz01YMdtHdXUjmR+HPYJGalVii9afx1TTxjhGUENqolL+sX nG8i99qVanH6/miK3eilNYtbp6RTE1teXsLGtUkqMWqAsEYKqM499RonevdkbklV mUNYxnuIwotxeULLsj5jtSe8zMVXlJ8pD84F2A4YbPGejJzDJkTMHzXU1yL8oj95 zwS6r/hIm3/4ZjdJdbcJiXfe/fOixwQ1sJB6OOMH7NpXWOtmj1dRlMonrv5NLp/k A9KliAS91wDEu/dy8FD/QvLVf1C7usk0mYUfB0RKAxMMMS0cxG38w0hCqEm5a0nD w8i7YBq1u5lgRHQUFVhP =aKKu -----END PGP SIGNATURE-----