JPCERT-WR-2019-4201

JPCERT/CC

2019-10-30

<<< JPCERT/CC WEEKLY REPORT 2019-10-30 >>>

■10/20(日)〜10/26(土) のセキュリティ関連情報

目　次

【1】複数の Mozilla 製品に脆弱性

【2】Google Chrome に複数の脆弱性

【3】PHP に任意のコード実行の脆弱性

【4】複数の VMware 製品に脆弱性

【5】複数の D-Link 製ルータにコマンドインジェクションの脆弱性

【6】複数のトレンドマイクロ製品に XML 外部実体参照 (XXE) の脆弱性

【7】PowerCMS にオープンリダイレクトの脆弱性

【今週のひとくちメモ】「ソフトウェア等の脆弱性関連情報に関する届出状況 2019年第3四半期(7月-9月) 」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194201.txt
https://www.jpcert.or.jp/wr/2019/wr194201.xml

【1】複数の Mozilla 製品に脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2019/10/23/mozilla-releases-security-updates-firefox-and-firefox-esr

US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/10/24/mozilla-releases-security-update-thunderbird

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Firefox 70 より前のバージョン
- Firefox ESR 68.2 より前のバージョン
- Thunderbird 68.2 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

【2】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/10/23/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

    - Google Chrome 78.0.3904.70 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

【3】PHP に任意のコード実行の脆弱性

情報源

The PHP Group
PHP 7.3.11 Released
https://www.php.net/archive/2019.php#2019-10-24-2

The PHP Group
PHP 7.2.24 Released
https://www.php.net/archive/2019.php#2019-10-24-1

The PHP Group
PHP 7.1.33 Released
https://www.php.net/archive/2019.php#2019-10-24-3

概要

PHP には、遠隔の第三者が任意のコードを実行することが可能な脆弱性があり
ます。

対象となるバージョンは次のとおりです。

  - PHP 7.3.11 より前のバージョン
  - PHP 7.2.24 より前のバージョン
  - PHP 7.1.33 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

【4】複数の VMware 製品に脆弱性

情報源

VMware Security Advisories
VMSA-2019-0018
https://www.vmware.com/security/advisories/VMSA-2019-0018.html

VMware Security Advisories
VMSA-2019-0019
https://www.vmware.com/security/advisories/VMSA-2019-0019.html

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
中間者攻撃によって情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware vCenter Server Appliance 6.7u3a より前の 6.7 系のバージョン
- VMware vCenter Server Appliance 6.5u3d より前の 6.5 系のバージョン
- VMware vSphere ESXi 6.7 系のバージョン (ESXi670-201908101-SG 未適用)
- VMware vSphere ESXi 6.5 系のバージョン (ESXi650-201910401-SG 未適用)
- VMware Workstation Pro / Player 15.5.0 より前の 15 系のバージョン
- VMware Fusion Pro / Fusion 11.5.0 より前の 11 系のバージョン (OSX)

この問題は、該当する製品を VMware が提供するパッチを適用することで解決
します。詳細は、VMware が提供する情報を参照してください。

【5】複数の D-Link 製ルータにコマンドインジェクションの脆弱性

情報源

Vulnerability Note VU#766427
Multiple D-Link routers vulnerable to remote command execution
https://kb.cert.org/vuls/id/766427/

概要

複数の D-Link 製ルータには、コマンドインジェクションの脆弱性があります。
結果として、遠隔の第三者が、ルート権限で任意のコマンドを実行する可能性
があります。

対象となる製品は次のとおりです。

    - DIR-615
    - DIR-652
    - DIR-655
    - DIR-825
    - DIR-835
    - DIR-855L
    - DIR-862L
    - DIR-866L
    - DAP-1533
    - DHP-1565

この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。

【6】複数のトレンドマイクロ製品に XML 外部実体参照 (XXE) の脆弱性

情報源

Japan Vulnerability Notes JVNVU#99059651
トレンドマイクロ株式会社製の複数の製品における XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/vu/JVNVU99059651/

概要

複数のトレンドマイクロ製品には、XML 外部実体参照 (XXE) に関する脆弱性
があります。結果として、第三者が該当製品に有効化されている各 agent の
管理者権限を奪取した場合に、その agent を通じて XXE 攻撃を行う可能性が
あります。

対象となる製品およびバージョンは次のとおりです。

- Trend Micro Deep Security Manager 12.0 より前のバージョン
- Trend Micro Virtual Patch for Endpoint Manager 2.0 SP2 Patch7 およびそれ以前

なお開発者によると、Trend Micro Deep Security as a Service は本脆弱性
の影響を受けないとのことです。
 
この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの
バージョンに更新するか、パッチを適用することで解決します。詳細は、トレ
ンドマイクロ株式会社が提供する情報を参照してください。

【7】PowerCMS にオープンリダイレクトの脆弱性

情報源

Japan Vulnerability Notes JVN#34634458
PowerCMS におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN34634458/

概要

アルファサード株式会社が提供する PowerCMS には、オープンリダイレクトの
脆弱性があります。結果として、遠隔の第三者が細工した URL にユーザをア
クセスさせることで、任意のウェブサイトにリダイレクトさせる可能性があり
ます。

対象となるバージョンは次のとおりです。

  - PowerCMS 5.12 およびそれ以前の 5.x 系のバージョン
  - PowerCMS 4.42 およびそれ以前の 4.x 系のバージョン
  - PowerCMS 3.293 およびそれ以前の 3.x 系のバージョン

この問題は、PowerCMS をアルファサード株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、アルファサード株式会社が提供
する情報を参照してください。

■今週のひとくちメモ

○「ソフトウェア等の脆弱性関連情報に関する届出状況 2019年第3四半期(7月-9月) 」を公開

2019年10月24日、JPCERT/CC と IPA は「ソフトウェア等の脆弱性関連情報に
関する届出状況 2019年第3四半期(7月-9月) 」を公開しました。
2019年7月から9月までの、ソフトウエア、ウェブサイト等の脆弱性に関する取
扱状況や、開発者への要望をまとめています。

参考文献 (日本語)

JPCERT/CC
ソフトウェア等の脆弱性関連情報に関する届出状況 2019年第3四半期(7月-9月) (PDF)
https://www.jpcert.or.jp/press/2019/vulnREPORT_2019q3.pdf

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2019-10-30号

<<< JPCERT/CC WEEKLY REPORT 2019-10-30 >>>

■10/20(日)〜10/26(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○「ソフトウェア等の脆弱性関連情報に関する届出状況 2019年第3四半期(7月-9月) 」を公開

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次