<<< JPCERT/CC WEEKLY REPORT 2020-09-02 >>>

■08/23(日)〜08/29(土) のセキュリティ関連情報

目　次

【1】複数の Cisco 製品に脆弱性

【2】複数の Mozilla 製品に脆弱性

【3】Google Chrome に複数の脆弱性

【4】InterScan Web Security シリーズ製品に複数の脆弱性

【5】スマートフォンアプリ「ニトリアプリ」にアクセス制限不備の脆弱性

【6】XOOPS 用モジュール XooNIps に複数の脆弱性

【7】複数の NETGEAR 製スイッチングハブにクロスサイトリクエストフォージェリの脆弱性

【今週のひとくちメモ】「2020年4月から8月を振り返って」を公開

【1】複数の Cisco 製品に脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/08/27/cisco-releases-security-updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
などの可能性があります。

影響度 High の脆弱性情報に記載されている製品は次のとおりです。

- マルチキャストルーティングを設定している Cisco IOS XR で稼働している Cisco 製品
- Firepower 4100 Series
- Firepower 9300 Security Appliances
- MDS 9000 Series Multilayer Switches
- Nexus 3000 Series Switches
- Nexus 3600 Platform Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- standalone NX-OS mode で稼働している Nexus 9000 Series Switches
- Nexus 9500 R-Series Switching Platform
- UCS 6200 Series Fabric Interconnects
- UCS 6300 Series Fabric Interconnects
- UCS 6400 Series Fabric Interconnects
 
※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
  影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
  提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco NX-OS Software Border Gateway Protocol Multicast VPN Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxosbgp-nlri-dos-458rG2OQ

Cisco Security Advisory
Cisco NX-OS Software Border Gateway Protocol Multicast VPN Session Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxosbgp-mvpn-dos-K8kbCrJp

Cisco Security Advisory
Cisco Nexus 3000 and 9000 Series Switches Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n3n9k-priv-escal-3QhXJBC

Cisco Security Advisory
Cisco NX-OS Software Data Management Engine Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-dme-rce-cbE3nhZS

Cisco Security Advisory
Cisco FXOS and NX-OS Software Cisco Fabric Services Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fxos-nxos-cfs-dos-dAmnymbd

Cisco Security Advisory
Cisco NX-OS Software Call Home Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-callhome-cmdinj-zkxzSCY

Cisco Security Advisory
Cisco NX-OS Software IPv6 Protocol Independent Multicast Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-pim-memleak-dos-tC8eP7uw

Cisco Security Advisory
Cisco IOS XR Software DVMRP Memory Exhaustion Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-dvmrp-memexh-dSmpdvfz

【2】複数の Mozilla 製品に脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/08/26/mozilla-releases-security-updates-firefox-firefox-esr-and

概要

複数の Mozilla 製品には、脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 80 より前のバージョン
- Mozilla Firefox ESR 68.12 より前のバージョン
- Mozilla Firefox ESR 78.2 より前のバージョン
- Thunderbird 68.12 より前のバージョン
- Thunderbird 78.2 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)

Mozilla
Security Vulnerabilities fixed in Firefox 80
https://www.mozilla.org/en-US/security/advisories/mfsa2020-36/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 68.12
https://www.mozilla.org/en-US/security/advisories/mfsa2020-37/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.2
https://www.mozilla.org/en-US/security/advisories/mfsa2020-38/

Mozilla
Security Vulnerabilities fixed in Thunderbird 68.12
https://www.mozilla.org/en-US/security/advisories/mfsa2020-40/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.2
https://www.mozilla.org/en-US/security/advisories/mfsa2020-41/

【3】Google Chrome に複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/08/26/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 85.0.4183.83 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop_25.html

【4】InterScan Web Security シリーズ製品に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#98542645
InterScan Web Security シリーズ製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98542645/

概要

トレンドマイクロ株式会社が提供する InterScan Web Security シリーズ製品
には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のスクリ
プトを実行したり、サーバ上のファイルを取得したり、改ざんしたりするなど
の可能性があります。

対象となる製品およびバージョンは次のとおりです。

- InterScan Web Security Virtual Appliance (IWSVA) 6.5
- InterScan Web Security Suite (IWSS) 6.5 Linux版

この問題は、該当する製品をトレンドマイクロ株式会社が提供するパッチを適
用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ：InterScan Web Securityシリーズにおける管理画面関連サービスの脆弱性について
https://success.trendmicro.com/jp/solution/000253938

【5】スマートフォンアプリ「ニトリアプリ」にアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#77402327
スマートフォンアプリ「ニトリアプリ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN77402327/

概要

株式会社ニトリホールディングスが提供するスマートフォンアプリ「ニトリア
プリ」には、アクセス制限不備の脆弱性があります。遠隔の第三者によって、
当該製品を経由し任意のウェブサイトにアクセスさせられる可能性があります。

対象となるバージョンは次のとおりです。

- Android アプリ「ニトリアプリ」 バージョン 6.0.4 およびそれ以前
- iOS アプリ「ニトリアプリ」バージョン 6.0.2 およびそれ以前

この問題は、該当する製品を株式会社ニトリホールディングスが提供する修正
済みのバージョンに更新することで解決します。詳細は、株式会社ニトリホー
ルディングスが提供する情報を参照してください。

【6】XOOPS 用モジュール XooNIps に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#40725650
XOOPS 用モジュール XooNIps における複数の脆弱性
https://jvn.jp/jp/JVN40725650/

概要

理化学研究所 脳神経科学研究センター 統合計算脳科学連携部門 神経情報基
盤開発ユニットが提供する XOOPS 用モジュール XooNIps には、複数の脆弱性
があります。結果として、遠隔の第三者によって、データベース内の情報を取
得されたり、改ざんされたりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- XooNIps 3.48 およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

理化学研究所 脳神経科学研究センター 統合計算脳科学連携部門 神経情報基盤開発ユニット
XooNIps 3.49 リリースのお知らせ
https://xoonips.osdn.jp/modules/news/index.php?page=article&storyid=12

【7】複数の NETGEAR 製スイッチングハブにクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#29903998
複数の NETGEAR 製スイッチングハブにクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN29903998/

概要

NETGEAR が提供する複数の製品には、クロスサイトリクエストフォージェリの
脆弱性があります。結果として、遠隔の第三者によって当該製品の設定を意図
せず変更される可能性があります。

対象となる製品およびバージョンは次のとおりです。

- GS716Tv2 Firmware version 5.4.2.30 およびそれ以前
- GS724Tv3 Firmware version 5.4.2.30 およびそれ以前

この問題の対象となっている製品は、すべて製品サポートが終了しています。
現行製品の使用を停止し、後継製品への移行を検討してください。

関連文書 (日本語)

NETGEAR
GS716Tv2
https://www.jp.netgear.com/support/product/gs716tv2.aspx

NETGEAR
GS724Tv3
https://www.jp.netgear.com/support/product/gs724tv3.aspx

■今週のひとくちメモ

○「2020年4月から8月を振り返って」を公開

2020年8月24日、JPCERT/CC は「2020年4月から8月を振り返って」を公開しま
した。2020年4月以降に確認された、深刻且つ影響範囲の広い脆弱性情報や攻
撃情報についてまとめられています。新型コロナウイルス感染症（COVID-19）
の影響による出勤体制の変化やオフィスでの作業減少にともない、インシデン
トの発生に気づきにくい状況となっています。自組織のセキュリティ対策や対
応を今一度ご確認ください。

参考文献 (日本語)

JPCERT/CC CyberNewsFlash
2020年4月から8月を振り返って
https://www.jpcert.or.jp/newsflash/2020082401.html

■JPCERT/CC からのお願い