<<< JPCERT/CC WEEKLY REPORT 2019-09-04 >>>
■08/25(日)〜08/31(土) のセキュリティ関連情報
目 次
【1】複数の Cisco 製品に脆弱性
【2】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性
【3】複数の Apple 製品に脆弱性
【4】Ruby にクロスサイトスクリプティングの脆弱性
【5】サイボウズ Garoon に SQL インジェクションの脆弱性
【今週のひとくちメモ】IPA がコンピュータウイルス・不正アクセスの届出事例[2019年上半期(1月〜6月)]を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr193401.txt
https://www.jpcert.or.jp/wr/2019/wr193401.xml
【1】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/08/29/cisco-releases-security-updates-multiple-products
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 認証を回避したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能 性があります。 影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで す。 - Cisco 4000 Series Integrated Services Routers - Cisco ASR 1000 Series Aggregation Services Routers - Cisco Cloud Services Router 1000V Series - Cisco Integrated Services Virtual Router - Firepower 4100 Series - Firepower 9300 Security Appliances - MDS 9000 Series Multilayer Switches - Nexus 1000 Virtual Edge for VMware vSphere - Nexus 1000V Switch for Microsoft Hyper-V - Nexus 1000V Switch for VMware vSphere - Nexus 3000 Series Switches - Nexus 3500 Platform Switches - Nexus 3600 Platform Switches - Nexus 5500 Platform Switches - Nexus 5600 Platform Switches - Nexus 6000 Series Switches - Nexus 7000 Series Switches - Nexus 7700 Series Switches - Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode - Nexus 9000 Series Switches in standalone NX-OS mode - Nexus 9500 R-Series Switching Platform - UCS 6200 Series Fabric Interconnects - UCS 6300 Series Fabric Interconnects - UCS 6400 Series Fabric Interconnects ※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。 これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してく ださい。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco REST API Container for IOS XE Software Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-iosxe-rest-auth-bypassCisco Security Advisory
Cisco NX-OS Software Cisco Fabric Services over IP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-nxos-fsip-dosCisco Security Advisory
Cisco FXOS and NX-OS Software Authenticated Simple Network Management Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-fxnxos-snmp-dosCisco Security Advisory
Cisco NX-OS Software IPv6 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-nxos-ipv6-dosCisco Security Advisory
Cisco NX-OS Software Remote Management Memory Leak Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-nxos-memleak-dosCisco Security Advisory
Cisco Unified Computing System Fabric Interconnect root Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-ucs-privescalation
【2】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/08/27/google-releases-security-updates-chrome
概要
Google Chrome が使用しているレンダリングエンジン Blink には、解放済み メモリ使用の脆弱性があります。結果として、遠隔の第三者が任意のコードを 実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 76.0.3809.132 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/08/stable-channel-update-for-desktop_26.html
【3】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/08/27/apple-releases-multiple-security-updatesJapan Vulnerability Notes JVNVU#90057210
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90057210/
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - macOS Mojave 10.14.6 (ビルド番号 18G95) より前のバージョン - iOS 12.4.1 より前のバージョン - tvOS 12.4.1 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Apple
macOS Mojave 10.14.6 追加アップデートのセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210548Apple
iOS 12.4.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210549Apple
tvOS 12.4.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210550
【4】Ruby にクロスサイトスクリプティングの脆弱性
情報源
Ruby
RDoc における jQuery の脆弱性について
https://www.ruby-lang.org/ja/news/2019/08/28/multiple-jquery-vulnerabilities-in-rdoc/
概要
Ruby にバンドルされているドキュメント生成ツール RDoc には、クロスサイ トスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Ruby 2.6.3 およびそれ以前の Ruby 2.6 系のバージョン - Ruby 2.5.5 およびそれ以前の Ruby 2.5 系のバージョン - Ruby 2.4.6 およびそれ以前の Ruby 2.4 系のバージョン ※すでにサポートが終了している Ruby 2.3 系のバージョンも、影響を受ける とのことです。 この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す るか、RDoc を更新することで解決します。また、RDoc で生成したドキュメン トについては、修正済みの RDoc で生成し直してください。詳細は、Ruby が 提供する情報を参照してください。
関連文書 (日本語)
Ruby
Ruby 2.6.4 リリース
https://www.ruby-lang.org/ja/news/2019/08/28/ruby-2-6-4-released/Ruby
Ruby 2.5.6 リリース
https://www.ruby-lang.org/ja/news/2019/08/28/ruby-2-5-6-released/Ruby
Ruby 2.4.7 リリース
https://www.ruby-lang.org/ja/news/2019/08/28/ruby-2-4-7-released/
【5】サイボウズ Garoon に SQL インジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#71877187
サイボウズ Garoon における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN71877187/
概要
サイボウズ Garoon には、SQL インジェクションの脆弱性があります。結果と して、当該製品にログイン可能な遠隔の第三者が、データベース内の情報を取 得したり、改ざんしたりする可能性があります。 対象となるバージョンは次のとおりです。 - サイボウズ Garoon 4.0.0 から 4.10.3 までのバージョン この問題は、サイボウズ Garoon をサイボウズ株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供 する情報を参照してください。
関連文書 (日本語)
サイボウズ株式会社
[CyVDB-2189]ポータルに関するSQLインジェクションの脆弱性
https://kb.cybozu.support/article/35975/
■今週のひとくちメモ
○IPA がコンピュータウイルス・不正アクセスの届出事例[2019年上半期(1月〜6月)]を公開
情報処理推進機構(IPA)は2019年8月28日、コンピュータウイルス・不正アク セスの届出事例[2019年上半期(1月〜6月)]を公開しました。 この資料では、IPA が一般利用者や企業・組織から受理したコンピュータウイ ルス・不正アクセスに関する届出のうち、特筆すべき例を紹介しています。 IPA は、被害の多くが、修正プログラムの適用やアクセス制限などの基本的な 対策を行っていれば防げた可能性が高いものであったと指摘しており、被害が 発生した際の運用の見直しや攻撃に対する基本的な対策を求めています。
参考文献 (日本語)
情報処理推進機構(IPA)
コンピュータウイルス・不正アクセスの届出事例[2019年上半期(1月〜6月)]
https://www.ipa.go.jp/files/000077200.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
