<<< JPCERT/CC WEEKLY REPORT 2020-06-24 >>>

■06/14(日)〜06/20(土) のセキュリティ関連情報

目　次

【1】Google Chrome に複数の脆弱性

【2】ISC BIND に複数の脆弱性

【3】複数の Cisco 製品に脆弱性

【4】Drupal に複数の脆弱性

【5】複数の Adobe 製品に脆弱性

【6】Treck 製 IP スタックに複数の脆弱性

【7】EC-CUBE にディレクトリトラバーサルの脆弱性

【8】VLC media player に複数の脆弱性

【今週のひとくちメモ】Adobe Flash Player が 2020年末でサポート終了

【1】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/06/16/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 83.0.4103.106 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに更新することで解決
します。詳細は、Google が提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/06/stable-channel-update-for-desktop_15.html

【2】ISC BIND に複数の脆弱性

情報源

US-CERT Current Activity
ISC Releases Security Advisories for BIND
https://www.us-cert.gov/ncas/current-activity/2020/06/18/isc-releases-security-advisories-bind

概要

ISC BIND には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.16.0 から 9.16.3 までのバージョン
- BIND 9.14.9 から 9.14.12 までのバージョン
- BIND 9.11.14 から 9.11.19 までのバージョン
- BIND Supported Preview Edition 9.11.14-S1 から 9.11.19-S1 までのバージョン

この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
ISC BIND 9 における脆弱性 (CVE-2020-8618、CVE-2020-8619) について
https://www.jpcert.or.jp/newsflash/2020061801.html

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2020-8618）- バージョンアップを推奨 -
https://jprs.jp/tech/security/2020-06-18-bind9-vuln-zone-transfer.html

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2020-8619）- バージョンアップを推奨 -
https://jprs.jp/tech/security/2020-06-18-bind9-vuln-asterisk.html

Japan Vulnerability Notes JVNVU#91012351
ISC BIND に複数の脆弱性
https://jvn.jp/vu/JVNVU91012351/

関連文書 (英語)

ISC Knowledge Base
CVE-2020-8618: A buffer boundary check assertion in rdataset.c can fail incorrectly during zone transfer
https://kb.isc.org/docs/cve-2020-8618

ISC Knowledge Base
CVE-2020-8619: An asterisk character in an empty non-terminal can cause an assertion failure in rbtdb.c
https://kb.isc.org/docs/cve-2020-8619

【3】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/06/18/cisco-releases-multiple-security-updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

影響度 High の脆弱性情報の対象となる製品は次のとおりです。

- Cisco Small Business RV Series Routers
- Cisco TelePresence Collaboration Endpoint Software
- Cisco RoomOS Software
- Cisco Webex Meetings
- Cisco Webex Meetings Server
- Cisco Webex Meetings Desktop App (Mac)

※影響度 Critical の脆弱性は、対象製品および対策方法が調査中です。詳細
  は、Cisco が提供する情報を参照してください。
※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
  影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
  提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Multiple Vulnerabilities in Treck IP Stack Affecting Cisco Products: June 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-treck-ip-stack-JyBQ5GyC

Cisco Security Advisory
Cisco Small Business RV Series Routers Stack Overflow Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-routers-stack-vUxHmnNz

Cisco Security Advisory
Cisco Small Business RV110W, RV130, RV130W, and RV215W Series Routers Management Interface Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-routers-injection-tWC7krKQ

Cisco Security Advisory
Cisco Small Business RV Series Routers Command Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-routers-Rj5JRfF8

Cisco Security Advisory
Cisco TelePresence Collaboration Endpoint and RoomOS Software Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-tp-cmd-inj-7ZpWhvZb

Cisco Security Advisory
Cisco Webex Meetings and Cisco Webex Meetings Server Token Handling Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-token-zPvEjKN

Cisco Security Advisory
Cisco Webex Meetings Desktop App URL Filtering Arbitrary Program Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-client-url-fcmpdfVY

Cisco Security Advisory
Cisco Webex Meetings Desktop App for Mac Update Feature Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-client-mac-X7vp65BL

【4】Drupal に複数の脆弱性

情報源

US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/06/18/drupal-releases-security-updates

概要

Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
の PHP コードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 9.0.1 より前の 9.0 系のバージョン
- Drupal 8.9.1 より前の 8.9 系のバージョン
- Drupal 8.8.8 より前の 8.8 系のバージョン
- Drupal 7.72 より前の 7 系のバージョン

なお、Drupal によると Drupal 8.8 系より前の 8 系のバージョンは、サポー
トが終了しているため、Drupal 8.8.8 に更新することを推奨しています。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal core - Critical - Cross Site Request Forgery - SA-CORE-2020-004
https://www.drupal.org/sa-core-2020-004

Drupal
Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-005
https://www.drupal.org/sa-core-2020-005

【5】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/06/17/adobe-releases-security-updates-multiple-products

概要

複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Campaign Classic 20.1 およびそれ以前 (Windows および Linux)
- Adobe After Effects 17.1 およびそれ以前 (Windows)
- Adobe Illustrator 2020 24.1.2 およびそれ以前 (Windows)
- Adobe Premiere Pro 14.2 およびそれ以前 (Windows)
- Adobe Premiere Rush 1.5.12 およびそれ以前 (Windows)
- Adobe Audition 13.0.6 およびそれ以前 (Windows)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020061701.html

Adobe
Adobe Campaign Classic に関するセキュリティアップデート公開 | APSB19-34
https://helpx.adobe.com/jp/security/products/campaign/apsb20-34.html

Adobe
Adobe After Effects に関するセキュリティアップデート公開 | APSB20-35
https://helpx.adobe.com/jp/security/products/after_effects/apsb20-35.html

Adobe
Adobe Illustrator に関するセキュリティアップデート公開 | APSB20-37
https://helpx.adobe.com/jp/security/products/illustrator/apsb20-37.html

Adobe
Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB20-38
https://helpx.adobe.com/jp/security/products/premiere_pro/apsb20-38.html

Adobe
Adobe Premiere Rush に関するセキュリティアップデート公開 | APSB20-39
https://helpx.adobe.com/jp/security/products/premiere_rush/apsb20-39.html

Adobe
Adobe Audition に関するセキュリティアップデート公開 | APSB20-40
https://helpx.adobe.com/jp/security/products/audition/apsb20-40.html

【6】Treck 製 IP スタックに複数の脆弱性

情報源

US-CERT Current Activity
Ripple20 Vulnerabilities Affecting Treck IP Stacks
https://www.us-cert.gov/ncas/current-activity/2020/06/16/ripple20-vulnerabilities-affecting-treck-ip-stacks

Japan Vulnerability Notes JVNVU#94736763
Treck 製 IP スタックに複数の脆弱性
https://jvn.jp/vu/JVNVU94736763/

概要

Treck 社が提供する組み込み製品向け IP スタックには、複数の脆弱性があり
ます。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運
用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Treck 社が提供する IP スタック 6.0.1.67 より前のバージョンを使用している製品
- 図研エルミック株式会社が提供する IP スタック KASAGO 6.0.1.33 より前のバージョンを使用している製品

この問題は、使用する IP スタックを、開発者が提供する情報をもとに修正済
みのバージョンに更新することで解決します。詳細は、開発者が提供する情報
を参照してください。

関連文書 (日本語)

図研エルミック株式会社
KASAGO製品における脆弱性に関するお知らせ
https://www.elwsc.co.jp/news/4136/

関連文書 (英語)

JSOF
Overview- Ripple20
https://www.jsof-tech.com/ripple20/

【7】EC-CUBE にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#77458946
EC-CUBE におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN77458946/

概要

EC-CUBE には、ディレクトリトラバーサルの脆弱性があります。結果として、
ユーザ権限を持つ第三者が、サーバ内の任意のファイルやディレクトリを削除
する可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 4.0.0 から 4.0.3 までのバージョン
- EC-CUBE 3.0.0 から 3.0.18 までのバージョン

この問題は、該当する製品を株式会社イーシーキューブが提供する修正済みの
バージョンに更新するか、パッチを適用することで解決します。詳細は、株式
会社イーシーキューブが提供する情報を参照してください。

関連文書 (日本語)

株式会社イーシーキューブ
ディレクトリトラバーサルの脆弱性(4.0系)
https://www.ec-cube.net/info/weakness/weakness.php?id=74

株式会社イーシーキューブ
ディレクトリトラバーサルの脆弱性(3.0系)
https://www.ec-cube.net/info/weakness/weakness.php?id=73

【8】VLC media player に複数の脆弱性

情報源

Video LAN
Security Bulletin VLC 3.0.11
http://www.videolan.org/security/sb-vlc3011.html

概要

Video LAN が提供する VLC media player には、バッファオーバーフローの脆
弱性があります。結果として、第三者が特別に細工したコンテンツをユーザに
開かせることで、任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- VLC media player 3.0.10 およびそれ以前のバージョン

この問題は、VLC media player を Video LAN が提供する修正済みのバージョン
に更新することで解決します。詳細は、Video LAN が提供する情報を参照して
ください。

■今週のひとくちメモ

○Adobe Flash Player が 2020年末でサポート終了

Adobe が提供する Adobe Flash Player は、2020年12月31日にサポートが終了
します。サポートが終了すると、アップデートやセキュリティパッチが提供さ
れません。Adobe Flash Player をインストールしている場合は、サポート終
了日より前にアンインストールすることを推奨します。

なお、サポート終了日以降は、Adobe Flash Player のコンテンツ実行がブロック
されるとのことです。詳細は Adobe が提供する情報を参照してください。

参考文献 (日本語)

Adobe
Adobe Flash Playerサポート終了情報ページ
https://www.adobe.com/jp/products/flashplayer/end-of-life.html

■JPCERT/CC からのお願い