JPCERT コーディネーションセンター

Weekly Report 2020-01-16号

JPCERT-WR-2020-0201
JPCERT/CC
2020-01-16

<<< JPCERT/CC WEEKLY REPORT 2020-01-16 >>>

■01/05(日)〜01/11(土) のセキュリティ関連情報

目 次

【1】複数の Mozilla 製品に脆弱性

【2】複数の Citrix 製品に脆弱性

【3】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性

【4】複数の Cisco 製品に脆弱性

【5】複数の Juniper 製品に脆弱性

【6】F-RevoCRM にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】Windows 7 および Windows Server 2008 / 2008 R2 のサポートが終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200201.txt
https://www.jpcert.or.jp/wr/2020/wr200201.xml

【1】複数の Mozilla 製品に脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-releases-security-updates-firefox-and-firefox-esr

US-CERT Current Activity
Mozilla Patches Critical Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-patches-critical-vulnerability

概要

複数の Mozilla 製品には、脆弱性があります。 結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 72.0.1 より前のバージョン
- Mozilla Firefox ESR 68.4.1 より前のバージョン
- Mozilla Thunderbird 68.4.1 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)

Mozilla
Security Vulnerabilities fixed in Firefox 72
https://www.mozilla.org/en-US/security/advisories/mfsa2020-01

Mozilla
Security Vulnerabilities fixed in Firefox ESR 68.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-02

Mozilla
Security Vulnerabilities fixed in Firefox 72.0.1 and Firefox ESR 68.4.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03

Mozilla
Security Vulnerabilities fixed in Thunderbird 68.4.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-04

【2】複数の Citrix 製品に脆弱性

情報源

CERT/CC Vulnerability Note VU#619785
Citrix Application Delivery Controller and Citrix Gateway web server vulnerability
https://www.kb.cert.org/vuls/id/619785/

概要

複数の Citrix 製品には、脆弱性があります。結果として、遠隔の第三者が認
証無しで任意のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Citrix Application Delivery Controller
- Citrix Gateway
- NetScaler Application Delivery Controller
- NetScaler Gateway

2020年1月15日現在、この問題に対する修正済みのバージョンは提供されてい
ません。Citrix が本脆弱性に関する回避策のページを公開しています。また
Citrix によると、2020年1月下旬に修正バージョンを提供予定とのことです。
詳細は、Citrix の情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92281641
Citrix Application Delivery Controller および Citrix Gateway web server における任意のコード実行が可能な脆弱性
https://jvn.jp/vu/JVNVU92281641/

関連文書 (英語)

Citrix Systems, Inc.
CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway
https://support.citrix.com/article/CTX267027

Citrix Systems, Inc.
Mitigation Steps for CVE-2019-19781
https://support.citrix.com/article/CTX267679

【3】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/01/08/google-releases-security-updates-chrome

概要

Google Chrome には、解放済みメモリの使用が可能な脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 79.0.3945.117 より前のバージョン (Windows, Mac, Linux)

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop.html

【4】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/01/09/cisco-releases-security-updates-multiple-products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコマンドを実行するなどの可能性があります。

影響度 High の脆弱性情報に記載されている製品は次のとおりです。

- Cisco Webex Video Mesh Software
- Cisco IOS Software
- Cisco IOS XE Software

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
  影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
  提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Webex Video Mesh Node Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-webex-video

Cisco Security Advisory
Cisco IOS and Cisco IOS XE Software Web UI Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-ios-csrf

【5】複数の Juniper 製品に脆弱性

情報源

US-CERT Current Activity
Juniper Networks Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/09/juniper-networks-releases-security-updates

概要

複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
などの可能性があります。

対象となる製品は次のとおりです。

- Junos OS
- SBR Carrier
- Contrail Networking
- Junos Space

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、Juniper が提供する情報を参照してくださ
い。

関連文書 (日本語)

Japan Vulnerability Notes JVN#07375820
Junos OS におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN07375820/

Japan Vulnerability Notes JVN#21753370
Junos OS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN21753370/

関連文書 (英語)

Juniper Networks
Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

Juniper Networks
2020-01 Security Bulletin: Junos OS: A specific SNMP command can trigger a high CPU usage Denial of Service in the RPD daemon. (CVE-2020-1600)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10979

Juniper Networks
2020-01 Security Bulletin: Junos OS: Upon receipt of certain types of malformed PCEP packets the pccd process may crash. (CVE-2020-1601)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10980

Juniper Networks
2020-01 Security Bulletin: Junos OS and Junos OS Evolved: Multiple vulnerabilities in JDHCPD allow for OS command injection and code execution of JDHCPD.
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10981

Juniper Networks
2020-01 Security Bulletin: Junos OS: Improper handling of specific IPv6 packets sent by clients eventually kernel crash (vmcore) the device. (CVE-2020-1603)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10982

Juniper Networks
2020-01 Security Bulletin: Junos OS: EX4300/EX4600/QFX3500/QFX5100 Series: Stateless IP firewall filter may fail to evaluate certain packets (CVE-2020-1604)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10983

Juniper Networks
2020-01 Security Bulletin: Junos OS: Path traversal vulnerability in J-Web (CVE-2020-1606)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10985

Juniper Networks
2020-01 Security Bulletin: Junos OS: Cross-Site Scripting (XSS) in J-Web (CVE-2020-1607)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10986

Juniper Networks
2020-01 Security Bulletin: Junos OS: MX Series: In BBE configurations, receipt of a specific MPLS or IPv6 packet causes a Denial of Service (CVE-2020-1608)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10987

Juniper Networks
2020-01 Security Bulletin: SBR Carrier: Multiple Vulnerabilities in OpenSSL
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10990

Juniper Networks
2020-01 Security Bulletin: SBR Carrier: Multiple Vulnerabilities in Net-SNMP
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10991

Juniper Networks
2020-01 Security Bulletin: Contrail Networking: Multiple Vulnerabilities have been resolved in release R1912
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10992

Juniper Networks
2020-01 Security Bulletin: Junos Space: Multiple vulnerabilities resolved in 19.4R1 release.
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10993

【6】F-RevoCRM にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#97325754
F-RevoCRM におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97325754/

概要

シンキングリード株式会社が提供する F-RevoCRM には、クロスサイトスクリ
プティングの脆弱性があります。結果として、遠隔の第三者が、当該製品を使
用しているユーザのブラウザ上で、任意のスクリプトを実行する可能性があり
ます。

対象となるバージョンは次のとおりです。

- F-RevoCRM 6.0 から F-RevoCRM 6.5 patch6 までの 6 系のバージョン

この問題は、F-RevoCRM にシンキングリード株式会社が提供するパッチを適用
することで解決します。詳細は、シンキングリード株式会社が提供する情報を
参照してください。

関連文書 (日本語)

シンキングリード株式会社
F-RevoCRMバージョン6系の脆弱性と対応について
https://f-revocrm.jp/2019/12/9393

■今週のひとくちメモ

○Windows 7 および Windows Server 2008 / 2008 R2 のサポートが終了

2020年1月14日をもって、Microsoft が提供する Windows 7 および Windows
Server 2008 / 2008 R2 のサポートが終了しました。以降は、Windows 7 およ
び Windows Server 2008 / 2008 R2 を実行している PC およびサーバに対し、
セキュリティ更新プログラムが提供されません。Windows 10 および Windows
Server 2019 などの最新の OS にアップグレードすることを検討してください。

参考文献 (日本語)

マイクロソフト株式会社
Windows 7 のサポートを本日で終了致します
https://blogs.windows.com/japan/2020/01/14/0114_windows7eos/

マイクロソフト株式会社
2020 年 1 月 14 日に、Windows 7 のサポートが終了します
https://support.microsoft.com/ja-jp/help/4057281/windows-7-support-will-end-on-january-14-2020

マイクロソフト株式会社
Windows Server 2008 および Windows Server 2008 R2 のサポート終了
https://support.microsoft.com/ja-jp/help/4456235/end-of-support-for-windows-server-2008-and-windows-server-2008-r2

JPCERT/CC
Windows 7 および Windows Server 2008 R2 の延長サポート終了について
https://www.jpcert.or.jp/newsflash/2019101801.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter