Cisco が提供する複数の Cisco 製品には、脆弱性があります。結果として、
遠隔の第三者が、任意のコマンドを実行したり、情報を窃取する可能性があり
ます。

影響度 High の脆弱性情報の対象となる製品は次のとおりです。

- Cisco Webex Teams for Windows
- Cisco Industrial Network Director (IND)

※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。
これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してく
ださい。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

【2】PHP に複数の脆弱性

情報源

US-CERT Current Activity
MS-ISAC Releases Advisory on PHP Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2019/09/05/ms-isac-releases-advisory-php-vulnerabilities

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.3.9 より前のバージョン
- PHP 7.2.22 より前のバージョン
- PHP 7.1.32 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

【3】WordPress に複数の脆弱性

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/09/06/wordpress-releases-security-update

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 5.2.3 より前のバージョン

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。

【4】Samba に複数の脆弱性

情報源

US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/04/samba-releases-security-updates

概要

Samba には、複数の脆弱性があります。結果として、遠隔の第三者が情報を窃
取する可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.10.8 より前の 4.10 系のバージョン
- Samba 4.9.13 より前の 4.9 系のバージョン

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新することで解決します。詳細は、The Samba Team が提供する情報を参照し
てください。

【5】Mozilla Firefox に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2019/09/04/mozilla-releases-security-updates-firefox-and-firefox-esr

概要

Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
るなどの可能性があります。

対象となるバージョンは次のとおりです。

- Firefox 69 より前のバージョン
- Firefox ESR 68.1 より前のバージョン
- Firefox ESR 60.9 より前のバージョン

この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

【6】Exim にバッファオーバーフローの脆弱性

情報源

Vulnerability Note VU#672565
Exim fails to properly handle peer DN and SNI in TLS handshakes
https://kb.cert.org/vuls/id/672565/

概要

Exim には、バッファオーバーフローの脆弱性があります。結果として、当該
製品にアクセス可能な第三者が認証を回避し、root 権限で任意のコードを実
行する可能性があります。

対象となるバージョンは次のとおりです。

- Exim 4.92.1 およびそれ以前のバージョン

この問題は、Exim を開発者や配布元が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。

【7】Supermicro 製 Baseboard Management Controller に複数の脆弱性

情報源

US-CERT Current Activity
Supermicro Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/04/supermicro-releases-security-updates

概要

Supermicro が提供する Baseboard Management Controller (BMC) には、複数
の脆弱性があります。結果として、遠隔の第三者が、サーバの情報を窃取した
り、当該製品が動作するサーバの認証を回避し、サーバを操作したりする可能
性があります。

次にあげる Supermicro 製マザーボードを搭載したシステム上で動作する BMC
コンポーネントが影響をうけます。

- Supermicro 製マザーボード X11 世代
- Supermicro 製マザーボード X10 世代
- Supermicro 製マザーボード X9 世代

この問題は、BMC を Supermicro が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Supermicro が提供する情報を参照してください。

【8】GitLab に複数の脆弱性

情報源

GitLab
GitLab Security Release: 12.2.3, 12.1.8, and 12.0.8
https://about.gitlab.com/2019/08/29/security-release-gitlab-12-dot-2-dot-3-released/

概要

GitLab には、複数の脆弱性があります。結果として、第三者が、情報を窃取
したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性がありま
す。

対象となるバージョンは次のとおりです。

- GitLab 12.2.3 より前のバージョン
- GitLab 12.1.8 より前のバージョン
- GitLab 12.0.8 より前のバージョン

※情報源によると、上記に記載されていない GitLab 11系以前のバージョンに
おいても、影響を受ける脆弱性があるとのことです。

この問題は、GitLab を GitLab が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、GitLab が提供する情報を参照してください。

【9】ISC Kea DHCP サーバに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#93863470
ISC Kea DHCP サーバにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93863470/

概要

ISC Kea DHCP サーバには、複数の脆弱性があります。結果として、当該製品
にアクセス可能な第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があり
ます。

対象となるバージョンは次のとおりです。

- ISC Kea 1.4.0 から 1.5.0 までのバージョン

この問題は、ISC Kea を ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

【10】パナソニック製 Video Insight VMS に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#93833849
パナソニック Video Insight VMS における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN93833849/

概要

パナソニック株式会社が提供する Video Insight VMS には、SQL インジェク
ションの脆弱性があります。結果として、当該製品にログイン可能な第三者が
データベースに対し任意の SQL 文を実行する可能性があります。

対象となるバージョンは次のとおりです。

- Video Insight 7.3.2.5 VMS

この問題は、パナソニック株式会社が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、パナソニック株式会社が提供する情報を参照し
てください。

■今週のひとくちメモ

○NICT が NICTER観測レポート2019上半期を公開

情報通信研究機構 (NICT) は 2019年9月4日、「NICTER観測レポート2019上半
期」を公開しました。2019年1月1日から 2019年6月30日にかけて、NICTER プ
ロジェクトの大規模サイバー攻撃観測網 (ダークネット観測網) における観測
結果をまとめています。

参考文献 (日本語)

情報通信研究機構 (NICT)
NICTER観測レポート2019上半期
https://blog.nicter.jp/2019/09/nicter-darknet-2019-1h/

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2019-09-11号

<<< JPCERT/CC WEEKLY REPORT 2019-09-11 >>>

■09/01(日)〜09/07(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

○NICT が NICTER観測レポート2019上半期を公開

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次