-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-4301 JPCERT/CC 2019-11-07 <<< JPCERT/CC WEEKLY REPORT 2019-11-07 >>> ―――――――――――――――――――――――――――――――――――――― ■10/27(日)〜11/02(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Apple 製品に脆弱性 【2】Google Chrome に複数の脆弱性 【3】複数のトレンドマイクロ製品に脆弱性 【4】Samba に複数の脆弱性 【5】GitLab に複数の脆弱性 【6】図書館情報管理システム LIMEDIO にオープンリダイレクトの脆弱性 【7】Microsoft Office for Mac に XLM マクロに対する挙動が不適切な問題 【8】Internet Week 2019 のお知らせ 【今週のひとくちメモ】JPAAWG 2nd General Meeting「ゲーム演習で学ぶCSIRTのうごき」受講者募集のお知らせ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr194301.html https://www.jpcert.or.jp/wr/2019/wr194301.xml ============================================================================ 【1】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/10/30/apple-releases-security-updates 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を窃取したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 13.2 より前のバージョン - iPadOS 13.2 より前のバージョン - macOS Catalina 10.15.1 より前のバージョン - macOS Mojave 10.14.6 (Security Update 2019-001 未適用) - macOS High Sierra 10.13.6 (Security Update 2019-006 未適用) - tvOS 13.2 より前のバージョン - watchOS 6.1 より前のバージョン - Safari 13.0.3 より前のバージョン - iTunes 12.10.2 for Windows より前のバージョン - iCloud for Windows 11.0 より前のバージョン - iCloud for Windows 7.15 より前のバージョン - Xcode 11.2 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96749516 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU96749516/ Apple iOS 13.2 および iPadOS 13.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210721 Apple macOS Catalina 10.15.1、セキュリティアップデート 2019-001、セキュリティアップデート 2019-006 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210722 Apple tvOS 13.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210723 Apple watchOS 6.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210724 Apple Safari 13.0.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210725 Apple iTunes for Windows 12.10.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210726 Apple Windows 用 iCloud 11.0 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210727 Apple Windows 用 iCloud 7.15 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210728 Apple Xcode 11.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210729 【2】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2019/10/31/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の コードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 78.0.3904.87 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html 【3】複数のトレンドマイクロ製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#96213168 ウイルスバスターコーポレートエディションにおけるディレクトリトラバーサルの脆弱性 https://jvn.jp/vu/JVNVU96213168/ トレンドマイクロ株式会社 アラート/アドバイザリ:Apex Oneにおける任意のファイルアップロードを可能にするコマンドインジェクションの脆弱性 https://success.trendmicro.com/jp/solution/000151168 トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスターコーポレートエディション、Apex One、ウイルスバスタービジネスセキュリティにおける管理コンソールの認証回避に繋がるディレクトリトラバーサルの脆弱性 https://success.trendmicro.com/jp/solution/000151169 トレンドマイクロ株式会社 アラート/アドバイザリ:Anti-Threat Toolkitの脆弱性、CVE-2019-9491について https://success.trendmicro.com/jp/solution/000150795 概要 複数のトレンドマイクロ製品には、脆弱性があります。結果として、第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - ウイルスバスターコーポレートエディション XG SP1、XG および 11.0 SP1 - Apex One 2019 - ウイルスバスタービジネスセキュリティ 10.0 SP1、10.0、9.5 および 9.0 - Anti-Threat Toolkit (ATTK) 1.62.0.1218 およびそれ以前 この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの バージョンに更新するか、パッチを適用することで解決します。詳細は、トレ ンドマイクロ株式会社が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性 https://success.trendmicro.com/jp/solution/000151167 トレンドマイクロ株式会社 【注意喚起】ウイルスバスター コーポレートエディションの脆弱性(CVE-2019-18187)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3592 Japan Vulnerability Notes JVNVU#90577675 Apex One におけるコマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU90577675/ JPCERT/CC ウイルスバスターコーポレートエディションの脆弱性 (CVE-2019-18187) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190041.html 【4】Samba に複数の脆弱性 情報源 US-CERT Current Activity Samba Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/10/29/samba-releases-security-updates 概要 Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス 運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - Samba 4.11.2 より前の 4.11 系バージョン - Samba 4.10.10 より前の 4.10 系バージョン - Samba 4.9.15 より前の 4.9 系バージョン なお、既にサポートが終了している Samba 4.9 系より前のバージョンも影響 を受けるとのことです。 この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更 新することで解決します。詳細は、The Samba Team が提供する情報を参照し てください。 関連文書 (英語) The Samba Team Samba Security Releases https://www.samba.org/samba/history/security.html The Samba Team Client code can return filenames containing path separators. https://www.samba.org/samba/security/CVE-2019-10218.html The Samba Team Samba AD DC check password script does not receive the full password. https://www.samba.org/samba/security/CVE-2019-14833.html The Samba Team User with "get changes" permission can crash AD DC LDAP server via dirsync https://www.samba.org/samba/security/CVE-2019-14847.html 【5】GitLab に複数の脆弱性 情報源 GitLab GitLab Security Release: 12.4.1, 12.3.6, and 12.2.9 https://about.gitlab.com/blog/2019/10/30/security-release-gitlab-12-dot-4-dot-1-released/ 概要 GitLab には、複数の脆弱性があります。結果として、第三者が情報を窃取す るなどの可能性があります。 対象となるバージョンは次のとおりです。 - GitLab Community および Enterprise Edition 12.4.1 より前の 12.4 系バージョン - GitLab Community および Enterprise Edition 12.3.6 より前の 12.3 系バージョン - GitLab Community および Enterprise Edition 12.2.9 より前の 12.2 系バージョン なお、上記に記載されていないバージョンも影響を受けるとのことです。詳細 は GitLab が提供する情報をご確認ください。 この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新 することで解決します。詳細は、GitLab が提供する情報を参照してください。 【6】図書館情報管理システム LIMEDIO にオープンリダイレクトの脆弱性 情報源 Japan Vulnerability Notes JVN#45633549 図書館情報管理システム LIMEDIO におけるオープンリダイレクトの脆弱性 https://jvn.jp/jp/JVN45633549/ 概要 株式会社リコーが提供する図書館情報管理システム LIMEDIO には、オープン リダイレクトの脆弱性があります。結果として、遠隔の第三者が細工した URL にユーザをアクセスさせることで、任意のウェブサイトにリダイレクトさせる 可能性があります。 対象となるバージョンは次のとおりです。 - 図書館情報管理システム LIMEDIO すべてのバージョン 2019年11月7日現在、この問題に対する修正済みのバージョンは提供されてい ません。次の回避策を適用することで、影響を軽減することが可能です。 - 遷移先制限機能を有効にする なお、株式会社リコーによると、遷移先制限機能は初期設定では無効になって いるとのことです。詳細は、株式会社リコーが提供する情報を参照してくださ い。 【7】Microsoft Office for Mac に XLM マクロに対する挙動が不適切な問題 情報源 Vulnerability Note VU#125336 Microsoft Office for Mac cannot properly disable XLM macros https://kb.cert.org/vuls/id/125336/ 概要 Microsoft Office for Mac には、XLM マクロに対する挙動が不適切な問題が あります。結果として、第三者がユーザの実行権限で任意のコードを実行する 可能性があります。 対象となる製品は次のとおりです。 - Microsoft Office for Mac 2019年11月7日現在、この問題に対する対策方法は提供されていません。次の 回避策を適用することで、この問題の影響を軽減することが可能です。 - SYLK ファイルをブロックする - セキュリティ設定で "Disable all macros with notification" を有効にする 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98504876 Microsoft Office for Mac において XLM マクロに対する挙動が不適切な問題 https://jvn.jp/vu/JVNVU98504876/ 【8】Internet Week 2019 のお知らせ 情報源 一般社団法人日本ネットワークインフォメーションセンター (JPNIC) Internet Week 2019 参加登録開始のお知らせ https://www.nic.ad.jp/ja/topics/2019/20191001-02.html 概要 2019年11月26日 (火) から 11月29日 (金) まで、浅草橋のヒューリックホー ル&ヒューリックカンファレンスにおいて JPNIC 主催の「Internet Week 2019 〜新陳代謝〜」が開催されます。JPCERT/CC からも講演に登壇予定です。 事前申込みの締め切りは 11月15日 (金) 17:00 までとなっております。詳細 は、JPNIC が提供する情報を確認してください。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPAAWG 2nd General Meeting「ゲーム演習で学ぶCSIRTのうごき」受講者募集のお知らせ 2019年11月14日から15日まで、JPAAWG 主催による「JPAAWG 2nd General Meeting」が開催されます。本イベントでは、通信事業者やメール配信業者、 クラウド・ホスティングサービス提供者等を対象として、メッセージングセキュ リティを中心とした講演やトレーニングが行われます。 JPCERT/CC は、本イベントにおいて、「ゲーム演習で学ぶ CSIRT のうごき」 と題したトレーニングを実施します。このトレーニングは、外部から脆弱性の 指摘を受けてからクローズするまでの組織内 CSIRT の動きをカードゲーム形 式で学ぶものです。ご興味がある方はぜひ参加をご検討ください。 JPAAWG 2nd General Meeting PROGRAM C14: トレーニング【有料】ゲーム演習で学ぶCSIRTのうごき 開催日時: 2019年11月15日 13:50〜15:05 開催場所: ベルサール飯田橋ファースト B1F https://meetings.jpaawg.org/program/ 詳細は、Web ページをご確認ください。 参考文献 (日本語) JPAAWG JPAAWG 2nd General Meeting https://meetings.jpaawg.org/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJdw1+XAAoJEKntH+qu5CT/IIsP/jIEI3kskYMniGOLJhPdpYwB 6ysEpjYsuppH5NaMMzZsn+CkX37se9V3IOMk4fprXAUQGAfghaChfVXwfN2ZGkqX EocT5HgFpX7eXukkR3ByE3ebJ9kY2Hi6WMyj17lpQszbTICntbkEycOiHjJWK1rl OujDl7Yr9XhRsCf4ZiS2CPy4ETw9bS22O+HcSEFPh/OQCCIz5sHTXtbnnUkKu9q6 MzSX+zS4cQJJfJrhj3OwJUgpNgKsw2gyfGupoeeXfQgb2PownTFoCt8/vjfvhuQe TCzeZUoJZunlsFsSoCawuPS1kBXisg+JAcJm+KOvw1wQbvJEsGoPFrcJYvoS6gMF DZtJ4EsoNJHS0Gt1DkHhivETkGpFo86PycyePPHgdhtWWL1q+kWNSevwrhjHI/Am 3918lUbL+xP2HcwYlXlybIrCuJNWsA4fhBzHYZP1Jzrc3ZBhwHCykL0clf3s0Vdd aXLmrxK9fhh5bgxH1eUoGb/R2Edsp82M02VRCax4hhJ5RUIGsyLEbcDo5cs4w8aj EuDf2bZWeUW2YjKm34tswEN3aNWkw47i2x+PHRpHTZa2ud2EZZLaONQ8ut4SQFmb 7rgc1fzehW0lyFqxNE0wPB661ccGK3DTFl3JiTeVUaU8aa2T4SQgVtJykkXbUFSl E4goCemyT7ozAveNAKVo =kGUN -----END PGP SIGNATURE-----