JPCERT コーディネーションセンター

Weekly Report 2020-07-08号

JPCERT-WR-2020-2601
JPCERT/CC
2020-07-08

<<< JPCERT/CC WEEKLY REPORT 2020-07-08 >>>

■06/28(日)〜07/04(土) のセキュリティ関連情報

目 次

【1】Microsoft Windows Codecs Library にリモートでコードが実行される脆弱性

【2】複数の Mozilla 製品に脆弱性

【3】Palo Alto Networks 製品に署名検証不備の脆弱性

【4】GitLab に複数の脆弱性

【5】複数の Cisco 製品に脆弱性

【6】サイボウズ Garoon に複数の脆弱性

【今週のひとくちメモ】ICT-ISAC が「家庭内で安全快適に在宅勤務を行うためのリファレンスガイド」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr202601.txt
https://www.jpcert.or.jp/wr/2020/wr202601.xml

【1】Microsoft Windows Codecs Library にリモートでコードが実行される脆弱性

情報源

US-CERT Current Activity
Microsoft Releases Security Updates for Windows 10, Windows Server
https://www.us-cert.gov/ncas/current-activity/2020/07/01/microsoft-releases-security-updates-windows-10-windows-server

概要

Microsoft Windows Codecs Library には、リモートでコードが実行される脆
弱性があります。結果として、遠隔の第三者がシステム内の情報を窃取する可
能性があります。

対象となるバージョンは次のとおりです。

- Windows 10 Version 1709 for 32-bit Systems
- Windows 10 Version 1709 for ARM64-based Systems
- Windows 10 Version 1709 for x64-based Systems
- Windows 10 Version 1803 for 32-bit Systems
- Windows 10 Version 1803 for ARM64-based Systems
- Windows 10 Version 1803 for x64-based Systems
- Windows 10 Version 1809 for 32-bit Systems
- Windows 10 Version 1809 for ARM64-based Systems
- Windows 10 Version 1809 for x64-based Systems
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 2004 for 32-bit Systems
- Windows 10 Version 2004 for ARM64-based Systems
- Windows 10 Version 2004 for x64-based Systems

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
CVE-2020-1425 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1425

マイクロソフト株式会社
CVE-2020-1457 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1457

JPCERT/CC 注意喚起
Microsoft Windows Codecs Library の脆弱性 (CVE-2020-1425, CVE-2020-1457) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200027.html

【2】複数の Mozilla 製品に脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2020/07/02/mozilla-releases-security-updates-firefox-and-firefox-esr

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
情報を窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 78 より前のバージョン
- Mozilla Firefox ESR 68.10 より前のバージョン
- Mozilla Thunderbird 68.10.0 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)

Mozilla
Security Vulnerabilities fixed in Firefox 78
https://www.mozilla.org/en-US/security/advisories/mfsa2020-24/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 68.10
https://www.mozilla.org/en-US/security/advisories/mfsa2020-25/

Mozilla
Security Vulnerabilities fixed in Thunderbird 68.10.0
https://www.mozilla.org/en-US/security/advisories/mfsa2020-26/

【3】Palo Alto Networks 製品に署名検証不備の脆弱性

情報源

US-CERT Current Activity
Palo Alto Releases Security Updates for PAN-OS
https://www.us-cert.gov/ncas/current-activity/2020/06/29/palo-alto-releases-security-updates-pan-os/

概要

Palo Alto Networks 製の PAN-OS の SAML 認証には、署名検証の不備に起因
した脆弱性があります。結果として、遠隔の第三者が保護されたリソースにア
クセスするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- PAN-OS 9.1.x 系のうち、9.1.3 より前のバージョン
- PAN-OS 9.0.x 系のうち、9.0.9 より前のバージョン
- PAN-OS 8.1.x 系のうち、8.1.15 より前のバージョン

なお、既にサポートが終了している PAN-OS 8.0.x 系も本脆弱性の影響を受
けるとのことです。

この問題は、該当する製品を Palo Alto Networks が提供する修正済みのバー
ジョンに更新し、更新後に既存の不正なセッションを破棄することで解決しま
す。詳細は、Palo Alto Networks が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Palo Alto Networks 製品の脆弱性 (CVE-2020-2021) について
https://www.jpcert.or.jp/newsflash/2020063001.html

関連文書 (英語)

Palo Alto Networks Security Advisories
CVE-2020-2021 PAN-OS: Authentication Bypass in SAML Authentication
https://security.paloaltonetworks.com/CVE-2020-2021

【4】GitLab に複数の脆弱性

情報源

GitLab
GitLab Security Release: 13.1.2, 13.0.8 and 12.10.13
https://about.gitlab.com/releases/2020/07/01/security-release-13-1-2-release/

概要

GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用
妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- GitLab Community および Enterprise Edition 13.1.2 より前の 13.1 系バージョン
- GitLab Community および Enterprise Edition 13.0.8 より前の 13.0 系バージョン
- GitLab Community および Enterprise Edition 12.10.13 より前の 12.10 系バージョン

なお、対象となるバージョンに記載していませんが、サポート終了したバージョン
も影響を受けるとのことです。詳細は GitLab が提供する情報を参照してくだ
さい。

この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新
することで解決します。詳細は、GitLab が提供する情報を参照してください。

【5】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/07/02/cisco-releases-security-updates-multiple-products

概要

複数の Cisco 製品には、脆弱性があります。結果として、認証されていない
遠隔の第三者が、管理インターフェースにおいて、管理者権限を取得するなど
の可能性があります。

影響度 High の脆弱性情報の対象となる製品は次のとおりです。

- 250 Series Smart Switches
- 350 Series Managed Switches
- 350X Series Stackable Managed Switches
- 550X Series Stackable Managed Switches

なお、対象となる製品に記載していませんが、サポート終了した製品も影響を
受けるとのことです。詳細は Cisco が提供する情報を参照してください。

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
  影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
  提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Small Business Smart and Managed Switches Session Management Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbswitch-session-JZAS5jnY

【6】サイボウズ Garoon に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#55497111
サイボウズ Garoon に複数の脆弱性
https://jvn.jp/jp/JVN55497111/

概要

サイボウズ製 Garoon には、複数の脆弱性があります。結果として、遠隔の第
三者が、設定を閲覧したり、意図しない情報を取得したりするなどの可能性が
あります。

対象となるバージョンは次のとおりです。

- サイボウズ Garoon 4.0.0 から 5.0.1 まで

この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を
参照してください。

関連文書 (日本語)

サイボウズ株式会社
パッケージ版 Garoon 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2020/007143.html

■今週のひとくちメモ

○ICT-ISAC が「家庭内で安全快適に在宅勤務を行うためのリファレンスガイド」を公開

2020年7月1日、一般社団法人ICT-ISAC は「家庭内で安全快適に在宅勤務を行
うためのリファレンスガイド」を公開しました。本リファレンスガイドは家庭
内のセキュリティ確保にフォーカスを当て、在宅勤務を行う社員等の参考にな
る情報を国内各 ISAC 組織の協力を得てまとめたものです。本リファレンスガ
イドの利用は、ISAC 会員企業などの社員が想定されていますが、フリーラン
スなどの個人事業者の方でも十分に参考になるとのことです。

参考文献 (日本語)

一般社団法人ICT-ISAC
家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について
https://www.ict-isac.jp/news/news20200701.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter