JPCERT コーディネーションセンター

Weekly Report 2020-08-19号

JPCERT-WR-2020-3201
JPCERT/CC
2020-08-19

<<< JPCERT/CC WEEKLY REPORT 2020-08-19 >>>

■08/09(日)〜08/15(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】Apache HTTP Server に複数の脆弱性

【3】複数の Apple 製品に脆弱性

【4】Google Chrome に複数の脆弱性

【5】複数の Adobe 製品に脆弱性

【6】Citrix Endpoint Management (XenMobile) に複数の脆弱性

【7】CyberMail に複数の脆弱性

【8】Intel 製品に複数の脆弱性

【9】複数の SAP 製品に脆弱性

【10】Apache Struts 2 に複数の脆弱性

【今週のひとくちメモ】ZeroShellの脆弱性を標的としたアクセスの観測について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr203201.txt
https://www.jpcert.or.jp/wr/2020/wr203201.xml

【1】複数の Microsoft 製品に脆弱性

情報源

CISA Current Activity
Microsoft Releases August 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/microsoft-releases-august-2020-security-updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- Microsoft ChakraCore
- Internet Explorer
- Microsoft スクリプト エンジン
- SQL Server
- Microsoft Jet データベース エンジン
- .NET Framework
- ASP.NET Core
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Windows Codecs Library
- Microsoft Dynamics

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2020 年 8 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Aug

JPCERT/CC 注意喚起
2020年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200033.html

【2】Apache HTTP Server に複数の脆弱性

情報源

Apache Software Foundation
Fixed in Apache httpd 2.4.44
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.44

概要

Apache HTTP Server には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Server 2.4.44 より前のバージョン

この問題は、Apache HTTP Server を Apache Software Foundation が提供す
る修正済みのバージョンに更新することで解決します。詳細は、Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92184689
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92184689/

【3】複数の Apple 製品に脆弱性

情報源

CISA Current Activity
Apple Releases Security Updates for iCloud for Windows
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/apple-releases-security-updates-icloud-windows

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となるバージョンは次のとおりです。

- iCloud for Windows 11.3 より前のバージョン
- iCloud for Windows 7.20 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#95491800
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95491800/

Apple
Windows 用 iCloud 11.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211294

Apple
Windows 用 iCloud 7.20 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211295

【4】Google Chrome に複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 84.0.4147.125 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop.html

【5】複数の Adobe 製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/adobe-releases-security-updates

概要

複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、機密情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Lightroom Classic 9.2.0.10 およびそれ以前
- Acrobat DC Continuous 2020.009.20074 およびそれ以前
- Acrobat Reader DC Continuous 2020.009.20074 およびそれ以前
- Acrobat 2020 Classic 2020 2020.001.30002
- Acrobat Reader 2020 Classic 2020 2020.001.30002
- Acrobat 2017 Classic 2017 2017.011.30171 およびそれ以前
- Acrobat Reader 2017 Classic 2017 2017.011.30171 およびそれ以前
- Acrobat 2015 Classic 2015 2015.006.30523 およびそれ以前
- Acrobat Reader 2015 Classic 2015 2015.006.30523 およびそれ以前

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Adobe Lightroom に関するアップデート (APSB20-51) について
https://www.jpcert.or.jp/newsflash/2020081201.html

JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB20-48) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200032.html

Adobe
Adobe Lightroom に関するセキュリティアップデート公開 | APSB20-51
https://helpx.adobe.com/jp/security/products/lightroom/apsb20-51.html

Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-48
https://helpx.adobe.com/jp/security/products/acrobat/apsb20-48.html

【6】Citrix Endpoint Management (XenMobile) に複数の脆弱性

情報源

JPCERT/CC CyberNewsFlash
Citrix Endpoint Management のセキュリティアップデートについて
https://www.jpcert.or.jp/newsflash/2020081202.html

概要

Citrix Endpoint Management (XenMobile) には、複数の脆弱性があります。

対象となる製品は次のとおりです。

- XenMobile Server

この問題は、Citrix が提供する修正済みのバージョンに更新することで解決
します。詳細は、Citrix が提供する情報を参照してください。

関連文書 (英語)

Citrix Systems, Inc.
Citrix Endpoint Management (CEM) Security Update
https://support.citrix.com/article/CTX277457

【7】CyberMail に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#46258789
CyberMail における複数の脆弱性
https://jvn.jp/jp/JVN46258789/

概要

サイバーソリューションズ株式会社が提供する CyberMail には、複数の脆弱
性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のス
クリプトを実行したり、任意のウェブサイトにリダイレクトしたりする可能性
があります。

対象となるバージョンは次のとおりです。

- CyberMail Ver.7 系
- CyberMail Ver.6 系

この問題は、サイバーソリューションズ株式会社が提供するパッチを適用する
ことで解決します。詳細は、サイバーソリューションズ株式会社が提供する情
報を参照してください。

【8】Intel 製品に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#99606488
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU99606488/

JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020081301.html

概要

Intel から複数の製品に含まれる脆弱性に対応した Intel Product Security
Center Advisories が公開されました。

詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)

Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【9】複数の SAP 製品に脆弱性

情報源

CISA Current Activity
SAP Releases August 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/sap-releases-august-2020-security-updates

概要

複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該
製品を制御するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SAP NetWeaver AS JAVA (LM Configuration Wizard) バージョン 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver (Knowledge Management) バージョン 7.30, 7.31, 7.40, 7.50
- SAP Business Objects Business Intelligence Platform バージョン 4.2, 4.3
- SAP Banking Services (Generic Market Data) バージョン 400, 450, 500
- SAP NetWeaver (ABAP Server) and ABAP Platform バージョン 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755
- SAP NetWeaver AS JAVA ENGINEAPI バージョン 7.10
- SAP NetWeaver AS JAVA WSRM バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver AS JAVA J2EE-FRMW バージョン 7.10, 7.11
- SAP Adaptive Server Enterprise バージョン 16.0
- SAP Data Intelligence バージョン 3
- SAPUI5 (UISAPUI5_JAVA) バージョン 7.50
- SAPUI5 (SAP_UI) バージョン 750, 751, 752, 753, 754, 755
- SAPUI5 (UI_700) バージョン 200
- SAP Commerce バージョン 6.7, 1808, 1811, 1905, 2005
- SAP ERP (HCM Travel Management) バージョン 600, 602, 603, 604, 605, 606, 607, 608
- SAP Business Objects Business Intelligence Platform (Central Management Console) バージョン 4.2, 4.3
- SAP S/4 HANA (Fiori UI for General Ledger Accounting) バージョン 103, 104


この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。

関連文書 (英語)

SAP
SAP Security Patch Day - August 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345

【10】Apache Struts 2 に複数の脆弱性

情報源

CISA Current Activity
Apache Releases Security Advisory for Struts 2
https://us-cert.cisa.gov/ncas/current-activity/2020/08/14/apache-releases-security-advisory-struts-2

概要

Apache Struts 2 には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apache Struts 2 バージョン 2.0.0 から 2.5.20 まで

なお、既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2
系のバージョンも本影響を受けるとのことです。

この問題は、Apache Struts 2 を Apache Software Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は、Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200034.html

関連文書 (英語)

Apache Software Foundation
S2-059
https://cwiki.apache.org/confluence/display/WW/S2-059

Apache Software Foundation
S2-060
https://cwiki.apache.org/confluence/display/WW/S2-060

■今週のひとくちメモ

○ZeroShellの脆弱性を標的としたアクセスの観測について

2020年8月11日、警察庁は「ZeroShellの脆弱性を標的としたアクセスの観測に
ついて」と題したレポートを公開しました。2020年7月16日以降、ZeroShell
に存在する既知の脆弱性を標的としたアクセスが観測されています。この脆弱
性は、遠隔から任意のコマンド実行が可能となるものです。警察庁は、脆弱性
のあるバージョンを使用している場合は、開発元から公開されているバージョン
へのアップデートなどの対応を実施するよう呼び掛けています。

参考文献 (日本語)

警察庁
ZeroShellの脆弱性を標的としたアクセスの観測について
https://www.npa.go.jp/cyberpolice/detect/pdf/20200811.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter