US-CERT Current Activity
Microsoft Releases March 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/12/Microsoft-Releases-March-2019-Security-Updates

US-CERT Current Activity
Microsoft Releases Security Update for Azure Linux Guest Agent
https://www.us-cert.gov/ncas/current-activity/2019/03/14/Microsoft-Releases-Security-Update-Azure-Linux-Guest-Agent

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office と Microsoft Office SharePoint
- ChakraCore
- Team Foundation Server
- Skype for Business
- Visual Studio
- NuGet
- Azure Linux Guest Agent

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/12/Adobe-Releases-Security-Updates

Adobe
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1724

概要

複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコ
ードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Photoshop CC 20.0.2 およびそれ以前 (Windows, macOS)
- Adobe Photoshop CC 19.1.7 およびそれ以前 (Windows, macOS)
- Adobe Digital Editions 4.5.10.185749 およびそれ以前 (Windows)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

【3】複数の VMware 製品に脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Updates for Workstation and Horizon
https://www.us-cert.gov/ncas/current-activity/2019/03/15/VMware-Releases-Security-Updates-Workstation-and-Horizon

概要

複数の VMware 製品には、脆弱性があります。結果として、第三者が情報を窃
取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware Workstation 15 系のバージョン (Windows)
- VMware Workstation 14 系のバージョン (Windows)
- VMware Horizon 7 (CR) 系のバージョン (Windows)
- VMware Horizon 7 (ESB) 系のバージョン (Windows)
- VMware Horizon 6 系のバージョン (Windows)

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。

【4】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/13/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Common Services Platform Collector 2.8.1.2 より前の 2.8.x 系バージョン
- Cisco Common Services Platform Collector 2.7.2 から 2.7.4.5 まで
- ファームウエア 7.6.2SR2 およびそれ以前のバージョンで動作する Cisco Small Business SPA514G IP Phone

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。なお、Cisco Small Business SPA514G IP Phone につ
いては、既にサポートが終了しており、この問題に対する解決策は提供されな
いとのことです。詳細は、Cisco が提供する情報を参照してください。

【5】WordPress にクロスサイトスクリプティングの脆弱性

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/03/14/WordPress-Releases-Security-Update

概要

WordPress には、クロスサイトスクリプティングの脆弱性があります。結果と
して、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。

対象となるバージョンは次のとおりです。

- WordPress 5.1 およびそれ以前

この問題は、該当する製品を WordPress が提供する修正済みのバージョンに
更新することで解決します。詳細は、WordPress が提供する情報を参照してく
ださい。

【6】Ruby に複数の脆弱性

情報源

Ruby
Ruby 2.6.2 リリース
https://www.ruby-lang.org/ja/news/2019/03/13/ruby-2-6-2-released/

Ruby
Ruby 2.5.4 リリース
https://www.ruby-lang.org/ja/news/2019/03/13/ruby-2-5-4-released/

概要

Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを
実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Ruby 2.6.1 およびそれ以前
- Ruby 2.5.3 およびそれ以前
- Ruby 2.4.5 およびそれ以前

この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す
るか、パッチを適用することで解決します。なお、2019年3月19日現在、
Ruby 2.4 系における修正済みのバージョンは提供されていません。詳細は、
Ruby が提供する情報を参照してください。

【7】複数の Intel 製品に脆弱性

情報源

Japan Vulnerability Notes JVNVU#98344681
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98344681/

概要

Intel 製品には、複数の脆弱性があります。結果として、遠隔の第三者が権限
を昇格するなどの可能性があります。

対象となる製品は次のとおりです。

- Intel CSME, Server Platform Services, Trusted Execution Engine
- Intel Active Management Technology
- Intel Graphics Driver for Windows
- Intel Firmware
- Intel Matrix Storage Manager
- Intel SGX SDK
- Intel USB 3.0 Creator Utility
- Intel Accelerated Storage Manager in RSTe

この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新
することで解決します。詳細は、Intel が提供する情報を参照してください。

【8】iOS アプリ「iChain保険ウォレット」にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#11622218
iOS アプリ「iChain保険ウォレット」におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN11622218/

概要

iOS アプリ「iChain保険ウォレット」には、ディレクトリトラバーサルの脆弱
性があります。結果として、遠隔の第三者が情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- iOS アプリ「iChain保険ウォレット」バージョン 1.3.0 およびそれ以前

この問題は、該当する製品を iChain株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、iChain株式会社が提供する情報を参照
してください。

【9】簡易CMS紀永に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#06527859
簡易CMS紀永における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN06527859/

概要

簡易CMS紀永には、複数のクロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が情報を窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- KinagaCMS 6.5 より前のバージョン

この問題は、該当する製品を紀永プロジェクトが提供する修正済みのバージョン
に更新することで解決します。詳細は、紀永プロジェクトが提供する情報を参
照してください。

■今週のひとくちメモ

○JNSA が「セキュリティ知識分野（SecBoK）人材スキルマップ2019年版」を公開

2019年3月11日、日本ネットワークセキュリティ協会 (JNSA) は、「セキュリ
ティ知識分野（SecBoK）人材スキルマップ2019年版」を公開しました。多くの
企業でセキュリティ人材育成の参考資料として活用されている本資料は、従来
のスキルを中心とした構成から、タスクおよびロールとの連携を強化した内容
に見直されているとのことです。

参考文献 (日本語)

日本ネットワークセキュリティ協会 (JNSA)
セキュリティ知識分野（SecBoK2019）スキル中心からタスク・ロールとの連携強化へ
https://www.jnsa.org/result/2018/skillmap/

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2019-03-20号

<<< JPCERT/CC WEEKLY REPORT 2019-03-20 >>>

■03/10(日)〜03/16(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○JNSA が「セキュリティ知識分野（SecBoK）人材スキルマップ2019年版」を公開

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次