US-CERT Current Activity
Microsoft Releases January 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/01/08/Microsoft-Releases-January-2019-Security-Updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- ChakraCore
- .NET Framework
- ASP.NET
- Microsoft Exchange Server
- Microsoft Visual Studio
- Skype for Business
- Team Foundation Server

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/01/08/Adobe-Releases-Security-Updates

アドビシステムズ株式会社
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1685

概要

Adobe Connect および Adobe Digital Editions には、脆弱性があります。結
果として、第三者が機微な情報を取得する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Connect 9.8.1 およびそれ以前
- Adobe Digital Editions 4.5.9 およびそれ以前 (Windows 版、macOS 版、iOS 版および android 版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

【3】複数の Juniper 製品に脆弱性

情報源

US-CERT Current Activity
Juniper Networks Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/01/09/Juniper-Networks-Releases-Multiple-Security-Updates

概要

複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品は次のとおりです。

- Junos OS
- Junos Space
- Juniper ATP

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、Juniper が提供する情報を参照してくださ
い。

関連文書 (英語)

Juniper Networks
2019-01 Security Bulletin: Junos OS: MX Series: uncontrolled recursion and crash in Broadband Edge subscriber management daemon (bbe-smgd). (CVE-2019-0001)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10900

Juniper Networks
2019-01 Security Bulletin: Junos OS: EX2300 and EX3400 series: Certain stateless firewall filter rules might not take effect (CVE-2019-0002)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10901

Juniper Networks
2019-01 Security Bulletin: Junos OS: A flowspec BGP update with a specific term-order causes routing protocol daemon (rpd) process to crash with a core. (CVE-2019-0003)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10902

Juniper Networks
2019-01 Security Bulletin: Junos OS: vMX series: Predictable IP ID sequence numbers vulnerability (CVE-2019-0007)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10903

Juniper Networks
2019-01 Security Bulletin: Junos OS: FreeBSD-SA-15:20.expat : Multiple integer overflows in expat (libbsdxml) XML parser (CVE-2015-1283)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10904

Juniper Networks
2019-01 Security Bulletin: Junos OS: EX and QFX series: Stateless firewall filter ignores IPv6 extension headers (CVE-2019-0005)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10905

Juniper Networks
2019-01 Security Bulletin: Junos OS: EX, QFX and MX series: Packet Forwarding Engine manager (FXPC) process crashes due to a crafted HTTP packet in a Virtual Chassis configuration (CVE-2019-0006)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10906

Juniper Networks
2019-01 Security Bulletin: SRC Series: Multiple vulnerabilities in Juniper Networks Session and Resource Control (SRC)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10907

Juniper Networks
2019-01 Security Bulletin: Junos OS: EX2300 and EX3400: High disk I/O operations may disrupt the communication between RE and PFE (CVE-2019-0009)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10909

Juniper Networks
2019-01 Security Bulletin: Junos OS: SRX Series: Crafted HTTP traffic may cause UTM to consume all mbufs, leading to Denial of Service (CVE-2019-0010)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10910

Juniper Networks
2019-01 Security Bulletin: Junos OS: Kernel crash after processing specific incoming packet to the out of band management interface (CVE-2019-0011)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10911

Juniper Networks
2019-01 Security Bulletin: Junos OS: rpd crash on VPLS PE upon receipt of specific BGP message (CVE-2019-0012)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10912

Juniper Networks
2019-01 Security Bulletin: Junos OS: RPD crash upon receipt of malformed PIM packet (CVE-2019-0013)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10913

Juniper Networks
2019-01 Security Bulletin: Junos OS: QFX and PTX Series: FPC process crashes after J-Flow processes a malformed packet (CVE-2019-0014)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10914

Juniper Networks
2019-01 Security Bulletin: Junos OS: SRX Series: Deleted dynamic VPN users are allowed to establish VPN connections until reboot (CVE-2019-0015)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10915

Juniper Networks
2019-01 Security Bulletin: Junos Space: Multiple vulnerabilities resolved in 18.3R1 and 18.4R1 releases
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10917

Juniper Networks
2019-01 Security Bulletin: Juniper ATP: Multiple vulnerabilities resolved in 5.0.3 and 5.0.4
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10918

Juniper Networks
2019-01 Security Bulletin: Junos OS: OpenSSL Security Advisories [16 Apr 2018] and [12 June 2018]
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10919

【4】Cisco Email Security Appliance (ESA) に複数の脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/01/09/Cisco-Releases-Security-Updates

概要

Cisco Email Security Appliance (ESA) 向け Cisco AsyncOS には、複数の脆
弱性があります。結果として、遠隔の第三者が、細工した電子メールを送信す
ることで、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Cisco Email Security Appliance (ESA) 向け Cisco AsyncOS
 - 9.0 系より前のバージョン
 - 9.0 系のバージョン
 - 10.0 系のバージョン
 - 11.0 系のバージョン
 - 11.1 系のバージョン

本脆弱性は、次のような場合にのみ、影響を受けるとのことです。

- S/MIME 復号化および検証、または S/MIME 公開キーの収集が設定されている場合
- グローバル設定としての URL フィルタリング機能が有効で URL ホワイトリストが使用されている場合

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

【5】PHP に複数の脆弱性

情報源

The PHP Group
PHP 7.3.1 Released
https://secure.php.net/archive/2019.php#id2019-01-10-2

The PHP Group
PHP 7.2.14 Released
https://secure.php.net/archive/2019.php#id2019-01-10-1

The PHP Group
PHP 7.1.26 Release Announcement
https://secure.php.net/archive/2019.php#id2019-01-10-3

The PHP Group
PHP 5.6.40 Released
https://secure.php.net/archive/2019.php#id2019-01-10-4

概要

PHP には、複数の脆弱性があります。結果として、第三者が任意のコードを実
行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.3.1 より前のバージョン
- PHP 7.2.14 より前のバージョン
- PHP 7.1.26 より前のバージョン
- PHP 5.6.40 より前のバージョン

また、The PHP Group によると、PHP 5.6.40 は PHP 5.6 系の最後のリリース
であり、PHP 5.6 系を使用しているユーザに、PHP 7.1、7.2 あるいは 7.3 に
アップグレードすることを推奨しています。

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

【6】Intel 製品に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#92720005
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU92720005/

概要

Intel 製品には、複数の脆弱性があります。結果として、第三者が権限を昇格
するなどの可能性があります。

対象となる製品は次のとおりです。

- Intel NUC
- Intel Optane SSD DC P4800X
- Intel PROSet/Wireless WiFi Software
- Intel SGX SDK and Intel SGX Platform Software
- Intel SSD Data Center Tool for Windows
- Intel System Support Utility for Windows

この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新
することで解決します。詳細は、Intel が提供する情報を参照してください。

【7】オムロン製 CX-One に任意のコード実行が可能な脆弱性

情報源

Japan Vulnerability Notes JVNVU#97716739
オムロン製 CX-One に任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU97716739

概要

オムロン株式会社が提供する CX-One には、脆弱性があります。結果として、
第三者が、細工したプロジェクトファイルを処理させることで、アプリケーション
の権限で任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- 次のアプリケーションを含む CX-One Version 4.50 およびそれ以前
 - CX-Protocol Version 2.0 およびそれ以前

この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参
照してください。

【8】Wireshark に複数の脆弱性

情報源

Wireshark Foundation
Wireshark 2.6.6 and 2.4.12 Released
https://www.wireshark.org/news/20190108.html

概要

Wireshark には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Wireshark 2.6.6 より前のバージョン
- Wireshark 2.4.12 より前のバージョン

この問題は、Wireshark を Wireshark Foundation が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Wireshark Foundation が提供
する情報を参照してください。

【9】WordPress 用プラグイン spam-byebye にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#58010349
WordPress 用プラグイン spam-byebye におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN58010349/

概要

WordPress 用プラグイン spam-byebye には、クロスサイトスクリプティング
の脆弱性があります。結果として、遠隔の第三者が、当該プラグインのセット
アップページにアクセスできるユーザのウェブブラウザ上で、任意のスクリプ
トを実行する可能性があります。

対象となるバージョンは次のとおりです。

- spam-byebye 2.2.1 およびそれ以前

この問題は、spam-byebye を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

■今週のひとくちメモ

○複数の Microsoft 社製品が 2020年にサポート終了

2019年1月10日、IPA が「複数の Microsoft 社製品のサポート終了に伴う注意
喚起」を公開しました。2020年1月14日には、Windows 7、Windows Server 2008、
Windows Server 2008R2 のサポートが終了し、2020年10月13日には、Office
2010 のサポートが終了します。該当する製品を利用している場合、サポート
が行われているバージョンへの早めの移行をおすすめします。

参考文献 (日本語)

IPA
複数の Microsoft 社製品のサポート終了に伴う注意喚起
https://www.ipa.go.jp/security/announce/win7_eos.html

Microsoft
Windows 7 & Office 2010 2020 年サポート終了
https://www.microsoft.com/ja-jp/business/windows/endofsupport.aspx

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2019-01-17号

<<< JPCERT/CC WEEKLY REPORT 2019-01-17 >>>

■01/06(日)〜01/12(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○複数の Microsoft 社製品が 2020年にサポート終了

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次