<<< JPCERT/CC WEEKLY REPORT 2020-07-22 >>>

■07/12(日)〜07/18(土) のセキュリティ関連情報

目　次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】2020年 7月 Oracle Critical Patch Update について

【4】複数の Cisco 製品に脆弱性

【5】Google Chrome に複数の脆弱性

【6】複数の Apple 製品に脆弱性

【7】複数の SAP 製品に脆弱性

【8】Apache Tomcat に複数の脆弱性

【9】Mozilla Thunderbird に複数の脆弱性

【今週のひとくちメモ】ISOG-J が「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases July 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/microsoft-releases-july-2020-security-updates

US-CERT Current Activity
Microsoft Addresses 'Wormable' RCE Vulnerability in Windows DNS Server
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/microsoft-addresses-wormable-rce-vulnerability-windows-dns-server

US-CERT Current Activity
CISA Releases Emergency Directive on Critical Microsoft Vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2020/07/16/cisa-releases-emergency-directive-critical-microsoft-vulnerability

US-CERT Current Activity
Microsoft Releases Security Update for Edge
https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/microsoft-releases-security-update-edge

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- Microsoft ChakraCore
- Internet Explorer
- Microsoft Office、Microsoft Office Services および Web Apps
- Windows Defender
- Skype for Business
- Visual Studio
- Microsoft OneDrive
- Azure Storage Explorer
- Bond
- TypeScript
- .NET Framework
- Azure DevOps

なお、マイクロソフトは、Windows DNS サーバーの脆弱性 (CVE-2020-1350)
について注意喚起を公開しています。現時点で本脆弱性の悪用は確認されてい
ないものの、影響を受ける Windows Server での早期の対策実施が推奨されて
います。

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2020 年 7 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Jul

Microsoft Security Response Center
Windows DNS サーバーの脆弱性情報 CVE-2020-1350 に関する注意喚起
https://msrc-blog.microsoft.com/2020/07/14/20200715-dnsvulnerability/

JPCERT/CC 注意喚起
2020年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200029.html

マイクロソフト株式会社
CVE-2020-1341 | Microsoft Edge (Chromium ベース) の特権の昇格の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1341

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/adobe-releases-security-updates-multiple-products

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Creative Cloud デスクトップアプリケーション
- Adobe Media Encoder
- Adobe Genuine Service
- ColdFusion 2018
- ColdFusion 2016
- Adobe Download Manager

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020071501.html

Adobe
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB20-33
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb20-33.html

Adobe
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB20-36
https://helpx.adobe.com/jp/security/products/media-encoder/apsb20-36.html

Adobe
Adobe Genuine Service に関するセキュリティアップデート公開 | APSB20-42
https://helpx.adobe.com/jp/security/products/integrity_service/apsb20-42.html

Adobe
Adobe ColdFusion 用セキュリティアップデート公開 | APSB20-43
https://helpx.adobe.com/jp/security/products/coldfusion/apsb20-43.html

Adobe
Adobe Download Manager に関するセキュリティアップデート公開 | APSB20-49
https://helpx.adobe.com/jp/security/products/adm/apsb20-49.html

【3】2020年 7月 Oracle Critical Patch Update について

情報源

US-CERT Current Activity
Oracle Releases July 2020 Security Bulletin
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/oracle-releases-july-2020-security-bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle
Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
2020年7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200030.html

関連文書 (英語)

Oracle
Oracle Critical Patch Update Advisory - July 2020
https://www.oracle.com/security-alerts/cpujul2020.html

【4】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/07/15/cisco-releases-security-updates-multiple-products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

影響度 Critical の脆弱性情報の対象となる製品およびバージョンは次のとお
りです。

- Cisco Small Business RV110W Wireless-N VPN Firewall ファームウェア 1.2.2.8 より前のバージョン
- Cisco Small Business RV130 VPN Router ファームウェア 1.0.3.55 より前のバージョン
- Cisco Small Business RV130W Wireless-N Multifunction VPN Router ファームウェア 1.0.3.55 より前のバージョン
- Cisco Small Business RV215W Wireless-N VPN Router ファームウェア 1.3.1.7 より前のバージョン
- Cisco Prime License Manager Software 10.5(2)SU10 より前のバージョン
- Cisco Prime License Manager Software 11.5(1)SU7 より前のバージョン

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
  影響度 High および Medium の複数の脆弱性情報が公開されています。詳細
  は、Cisco が提供する情報を参照してください。
  
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Small Business RV110W Wireless-N VPN Firewall Static Default Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv110w-static-cred-BMTWBWTy

Cisco Security Advisory
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-rce-AQKREqp

Cisco Security Advisory
Cisco RV110W, RV130, RV130W, and RV215W Routers Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-auth-bypass-cGv9EruZ

Cisco Security Advisory
Cisco RV110W and RV215W Series Routers Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-code-exec-wH3BNFb

Cisco Security Advisory
Cisco Prime License Manager Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-prime-priv-esc-HyhwdzBA

Cisco Security Advisory
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【5】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 84.0.4147.89 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html

【6】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/07/16/apple-releases-security-updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 13.6 より前のバージョン
- iPadOS 13.6 より前のバージョン
- macOS Catalina 10.15.6 より前のバージョン
- macOS Mojave (Security Update 2020-004 未適用)
- macOS High Sierra (Security Update 2020-004 未適用)
- tvOS 13.4.8 より前のバージョン
- watchOS 6.2.8 より前のバージョン
- Safari 13.1.2 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#94090210
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94090210/

Apple
iOS 13.6 および iPadOS 13.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211288

Apple
macOS Catalina 10.15.6、セキュリティアップデート 2020-004 Mojave、セキュリティアップデート 2020-004 High Sierra のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211289

Apple
tvOS 13.4.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211290

Apple
watchOS 6.2.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211291

Apple
Safari 13.1.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211292

【7】複数の SAP 製品に脆弱性

情報源

SAP
SAP Security Patch Day - July 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675

CISA Alert (AA20-195A)
Critical Vulnerability in SAP NetWeaver AS Java
https://us-cert.cisa.gov/ncas/alerts/aa20-195a

概要

複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該
製品を制御するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SAP NetWeaver AS JAVA (LM Configuration Wizard) バージョン 7.30, 7.31, 7.40, 7.50
- SAP Business Client バージョン 6.5
- SAP NetWeaver (XML Toolkit for JAVA) バージョン ENGINEAPI 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Disclosure Management バージョン 10.1
- SAP Business Objects Business Intelligence Platform (BI Launchpad) バージョン 4.2
- SAP Business Objects Business Intelligence Platform (bipodata) バージョン 4.2
- SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE) バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS) バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Business Objects Business Intelligence Platform (BI Launchpad and CMC) バージョン 4.1, 4.2
- SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface) バージョン 4.1, 4.2
- SAP NetWeaver (ABAP Server) and ABAP Platform バージョン 731, 740, 750

なお、米 CISA は、SAP NetWeaver AS Java の脆弱性 (CVE-2020-6287) につ
いてアラートを公開しています。現時点で本脆弱性の悪用は確認されていない
ものの、影響を受ける SAP NetWeaver AS JAVA での早期の対策実施が推奨さ
れています。

この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
SAP NetWeaver Application Server Java の脆弱性 (CVE-2020-6287) について
https://www.jpcert.or.jp/newsflash/2020071401.html

【8】Apache Tomcat に複数の脆弱性

情報源

US-CERT Current Activity
Apache Releases Security Advisories for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/apache-releases-security-advisories-apache-tomcat

Japan Vulnerability Notes JVNVU#96390265
Apache Tomcat における複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU96390265/

概要

The Apache Software Foundation が提供する Apache Tomcat には複数の脆弱
性があります。結果として、サービス運用妨害 (DoS) 攻撃を行う可能性があ
ります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.0.0-M1 から 10.0.0-M6 まで
- Apache Tomcat 9.0.0.M1 から 9.0.36 まで
- Apache Tomcat 8.5.0 から 8.5.56 まで
- Apache Tomcat 7.0.27 から 7.0.104 まで

この問題は、Apache Tomcat を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundation が提供する情報を参照してください。

関連文書 (英語)

The Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M7
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M7

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.37
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37

The Apache Software Foundation
Fixed in Apache Tomcat 8.5.57
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.57

The Apache Software Foundation
Fixed in Apache Tomcat 7.0.105
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.105

【9】Mozilla Thunderbird に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/mozilla-releases-security-update-thunderbird

概要

Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第
三者が、情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 78 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに更新することで解決
します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (英語)

Mozilla
Security Vulnerabilities fixed in Thunderbird 78
https://www.mozilla.org/en-US/security/advisories/mfsa2020-29/

■今週のひとくちメモ

○ISOG-J が「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開

2020年7月13日、日本セキュリティオペレーション事業者協議会 (ISOG-J) は
「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開
しました。本ガイドラインでは、ユーザーがマネージドセキュリティサービス
(MSS) を選ぶ際のポイントや事前に検討しておくと選定がしやすいポイントに
ついて、導入企画から平時の運用、インシデント時の運用といったフェーズご
とに解説されています。

参考文献 (日本語)

日本セキュリティオペレーション事業者協議会 (ISOG-J)
マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0 (2020年7月)
https://isog-j.org/output/2020/MSS-Guideline_v200.html

■JPCERT/CC からのお願い