<<< JPCERT/CC WEEKLY REPORT 2020-10-07 >>>

■09/27(日)〜10/03(土) のセキュリティ関連情報

目　次

【1】PHP に複数の脆弱性

【2】GitLab に複数の脆弱性

【3】InfoCage SiteShell にサービス実行ファイルが書き換え可能な脆弱性

【4】横河電機製 WideField3 にバッファオーバーフローの脆弱性

【5】ServerProtect for Linux に OS コマンドインジェクションの脆弱性

【今週のひとくちメモ】経済産業省が『サイバーセキュリティ体制構築・人材確保の手引き』(第1版)を公開

【1】PHP に複数の脆弱性

情報源

The PHP Group
PHP 7.4.11 Released!
https://www.php.net/archive/2020.php#2020-10-01-2

The PHP Group
PHP 7.3.23 Released!
https://www.php.net/archive/2020.php#2020-10-01-3

The PHP Group
PHP 7.2.34 Released!
https://www.php.net/archive/2020.php#2020-10-01-1

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が Cookie を
偽造するなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.4.11 より前のバージョン
- PHP 7.3.23 より前のバージョン
- PHP 7.2.34 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)

The PHP Group
PHP 7 ChangeLog Version 7.4.11
https://www.php.net/ChangeLog-7.php#7.4.11

The PHP Group
PHP 7 ChangeLog Version 7.3.23
https://www.php.net/ChangeLog-7.php#7.3.23

The PHP Group
PHP 7 ChangeLog Version 7.2.34
https://www.php.net/ChangeLog-7.php#7.2.34

【2】GitLab に複数の脆弱性

情報源

GitLab
GitLab Security Release: 13.4.2, 13.3.7 and 13.2.10
https://about.gitlab.com/releases/2020/10/01/security-release-13-4-2-release/

概要

GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用
妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- GitLab Community および Enterprise Edition 13.4.2 より前の 13.4 系バージョン
- GitLab Community および Enterprise Edition 13.3.7 より前の 13.3 系バージョン
- GitLab Community および Enterprise Edition 13.2.10 より前の 13.2 系バージョン

なお、GitLab によると、サポートが終了したバージョンも影響を受けるとの
ことです。詳細は GitLab が提供する情報を参照してください。

この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新
することで解決します。詳細は、GitLab が提供する情報を参照してください。

【3】InfoCage SiteShell にサービス実行ファイルが書き換え可能な脆弱性

情報源

Japan Vulnerability Notes JVN#07426151
InfoCage SiteShell においてサービス実行ファイルが書き換え可能な脆弱性
https://jvn.jp/jp/JVN07426151/

概要

日本電気株式会社が提供する InfoCage SiteShell には、サービス実行ファイ
ルが書き換え可能な脆弱性があります。結果として、ローカルユーザが権限を
昇格して、サービスを実行する可能性があります。

対象となるバージョンは、多岐にわたります。詳細は日本電気株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、該当する製品を日本電気株式会社が提供する修正パッチを適用す
ることで解決します。また、サポートが終了しているバージョンは、バージョン
アップが推奨されています。詳細は、日本電気株式会社が提供する情報を参照
してください。

関連文書 (日本語)

日本電気株式会社
インストールしたファイルに Everyone による変更権限が付与される際のInfoCage SiteShellの対応について
https://jpn.nec.com/infocage/siteshell/everyone_20200918.html

【4】横河電機製 WideField3 にバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVNVU#96842058
横河電機製 WideField3 にバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU96842058/

概要

横河電機株式会社が提供する WideField3 には、バッファオーバーフローの脆
弱性があります。結果として、当該製品にアクセス可能な第三者が、プロジェ
クトファイルを書き換えることで、アプリケーションが不正終了する可能性が
あります。

対象となるバージョンは次のとおりです。

- WideField3 R1.01 から R4.03 まで

この問題は、該当する製品を横河電機株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、横河電機株式会社が提供する情報を参
照してください。

関連文書 (日本語)

横河電機株式会社
YSAR-20-0002: WideField3の脆弱性
https://web-material3.yokogawa.com/19/30026/files/YSAR-20-0002-J.pdf

CISA Current Activity
Yokogawa WideField3
https://us-cert.cisa.gov/ics/advisories/icsa-20-273-02

【5】ServerProtect for Linux に OS コマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVNVU#91216654
ServerProtect for Linux に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU91216654/

概要

トレンドマイクロ株式会社が提供する ServerProtect for Linux には OS コ
マンドインジェクションの脆弱性があります。結果として、管理者権限を持つ
遠隔の攻撃者が、任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- ServerProtect for Linux バージョン 3.0

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正パッチ
を適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する
情報を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ：ServerProtect for Linux のコマンドインジェクションの脆弱性(CVE-2020-24561)について
https://success.trendmicro.com/jp/solution/000268898

■今週のひとくちメモ

○経済産業省が『サイバーセキュリティ体制構築・人材確保の手引き』(第1版)を公開

2020年9月30日、経済産業省は「サイバーセキュリティ体制構築・人材確保の
手引き」を公開しました。本手引きは企業がサイバーセキュリティ経営ガイド
ラインに基づいてサイバーセキュリティの体制を構築し、人材を確保するため
の要点がまとめられています。企業内の経営層から人事担当者、実務者など様々
な立場ごとの観点が整理されています。

参考文献 (日本語)

経済産業省
『サイバーセキュリティ体制構築・人材確保の手引き』を取りまとめました
https://www.meti.go.jp/press/2020/09/20200930004/20200930004.html

■JPCERT/CC からのお願い