<<< JPCERT/CC WEEKLY REPORT 2020-10-28 >>>

■10/18(日)〜10/24(土) のセキュリティ関連情報

目　次

【1】2020年 10月 Oracle Critical Patch Update について

【2】複数の Adobe 製品に脆弱性

【3】Google Chrome に複数の脆弱性

【4】複数の VMware 製品に脆弱性

【5】複数の Mozilla 製品に脆弱性

【6】複数の Cisco 製品に脆弱性

【7】WordPress 用プラグイン Simple Download Monitor に複数の脆弱性

【8】Chocolatey Boxstarter に ACL 設定不備による脆弱性

【9】OneThird CMS にローカルファイルインクルージョンの脆弱性

【今週のひとくちメモ】IPA が「情報セキュリティ安心相談窓口の相談状況［ 2020年第3四半期 (7月〜9月) ］」を公開

【1】2020年 10月 Oracle Critical Patch Update について

情報源

CISA Current Activity
Oracle Releases October 2020 Security Bulletin
https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/oracle-releases-october-2020-security-bulletin-0

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200040.html

関連文書 (英語)

Oracle
Oracle Critical Patch Update Advisory - October 2020
https://www.oracle.com/security-alerts/cpuoct2020.html

【2】複数の Adobe 製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/adobe-releases-security-updates-multiple-products

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Illustrator
- Adobe Dreamweaver 
- Marketo
- Adobe Animate
- Adobe After Effects
- Adobe Photoshop 
- Adobe Premiere Pro
- Adobe Media Encoder
- Adobe InDesign
- Adobe Creative Cloud Desktop Application

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020102101.html

Adobe
Adobe Illustrator に関するセキュリティアップデート公開 | APSB20-53
https://helpx.adobe.com/jp/security/products/illustrator/apsb20-53.html

Adobe
Adobe Dreamweaver に関するセキュリティアップデート公開 | APSB20-55
https://helpx.adobe.com/jp/security/products/dreamweaver/apsb20-55.html

Adobe
Marketo に関するセキュリティアップデート公開 | APSB20-60
https://helpx.adobe.com/jp/security/products/marketo/apsb20-60.html

Adobe
Adobe Animate に関するセキュリティアップデート公開 | APSB20-61
https://helpx.adobe.com/jp/security/products/animate/apsb20-61.html

Adobe
Adobe After Effects に関するセキュリティアップデート公開 | APSB20-62
https://helpx.adobe.com/jp/security/products/after_effects/apsb20-62.html

Adobe
Adobe Photoshop に関するセキュリティアップデート公開 | APSB20-63
https://helpx.adobe.com/jp/security/products/photoshop/apsb20-63.html

Adobe
Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB20-64
https://helpx.adobe.com/jp/security/products/premiere_pro/apsb20-64.html

Adobe
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB20-65
https://helpx.adobe.com/jp/security/products/media-encoder/apsb20-65.html

Adobe
Adobe InDesign に関するセキュリティアップデート公開 | APSB20-66
https://helpx.adobe.com/jp/security/products/indesign/apsb20-66.html

Adobe
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB20-68
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb20-68.html

【3】Google Chrome に複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 86.0.4240.111 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html

【4】複数の VMware 製品に脆弱性

情報源

CISA Current Activity
VMware Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/vmware-releases-security-updates-multiple-products

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
製品内の情報を窃取したり、任意のコードを実行したりするなどの可能性があ
ります。

対象となる製品は次のとおりです。

- VMware ESXi
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion Pro / Fusion (Fusion)
- NSX-T
- VMware Cloud Foundation
- VMware Horizon Server
- VMware Horizon Client for Windows

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2020-0023
https://www.vmware.com/security/advisories/VMSA-2020-0023.html

VMware Security Advisories
VMSA-0020-0024
https://www.vmware.com/security/advisories/VMSA-2020-0024.html

【5】複数の Mozilla 製品に脆弱性

情報源

CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/mozilla-releases-security-updates-firefox-firefox-esr-and

概要

複数の Mozilla 製品には、脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 82 より前のバージョン
- Mozilla Firefox ESR 78.4 より前のバージョン
- Mozilla Thunderbird 78.4 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)

Mozilla
Security Vulnerabilities fixed in Firefox 82
https://www.mozilla.org/en-US/security/advisories/mfsa2020-45/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-46/

Mozilla
Security Vulnerabilities fixed in Thunderbird 78.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-47/

【6】複数の Cisco 製品に脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/22/cisco-releases-security-updates-multiple-products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が
サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 

対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

【7】WordPress 用プラグイン Simple Download Monitor に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#31425618
WordPress 用プラグイン Simple Download Monitor における複数の脆弱性
https://jvn.jp/jp/JVN31425618/

概要

WordPress 用プラグイン Simple Download Monitor には、複数の脆弱性があ
ります。結果として、遠隔の第三者が当該製品の管理画面にログインしている
ユーザのブラウザ上で任意のスクリプトを実行したり、細工した URL にアク
セスさせることで、任意の SQL コマンドを実行したりする可能性があります。

対象となるバージョンは次のとおりです。

- Simple Download Monitor バージョン 3.8.9 より前のバージョン

この問題は、Simple Download Monitor を開発者が提供する修正済みのバージ
ョンに更新することで解決します。詳細は、開発者が提供する情報を参照して
ださい。

関連文書 (英語)

WordPress
Simple Download Monitor
https://wordpress.org/plugins/simple-download-monitor/

【8】Chocolatey Boxstarter に ACL 設定不備による脆弱性

情報源

CERT/CC Current Activity
Chocolatey Boxstarter vulnerable to privilege escalation due to weak ACLs
https://kb.cert.org/vuls/id/208577

概要

Chocolatey が提供する Boxstarter には、ACL 設定不備による脆弱性があり
ます。結果として、第三者が管理者権限で任意のコードを実行する可能性があ
ります。

対象となるバージョンは次のとおりです。

- Chocolatey Boxstarter 2.13.0 より前のバージョン

この問題は、Chocolatey Boxstarter を修正済みのバージョンに更新すること
で解決します。詳細は Chocolatey が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90267651
Chocolatey Boxstarter に DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU90267651/

【9】OneThird CMS にローカルファイルインクルージョンの脆弱性

情報源

Japan Vulnerability Notes JVNVU#99467898
OneThird CMS におけるローカルファイルインクルージョンの脆弱性
https://jvn.jp/vu/JVNVU99467898/

概要

SpiQeソフトウェアが提供する OneThird CMS には、ローカルファイルインク
ルージョンの脆弱性があります。結果として、遠隔の第三者が、機微な情報を
取得したり、任意のコードを実行したりする可能性があります。

対象となるバージョンは次のとおりです。

- OneThird CMS v1.96d より前のバージョン

この問題は、OneThird CMS を修正済みのバージョンに更新することで解決し
ます。詳細は SpiQeソフトウェアが提供する情報を参照してください。

関連文書 (日本語)

SpiQeソフトウェア
緊急リリース (v1.96d)について
https://onethird.net/p1340.html

■今週のひとくちメモ

○IPA が「情報セキュリティ安心相談窓口の相談状況［ 2020年第3四半期 (7月〜9月) ］」を公開

2020年10月21日、情報処理推進機構 (IPA) は「情報セキュリティ安心相談窓
口の相談状況［ 2020年第3四半期 (7月〜9月) ］」を公開しました。
Emotet 関連の相談が 7月以降増えており、特に 9月に入ってから急増してい
るようです。多数の国内企業・組織で被害が発生している可能性があるため、
改めて対策状況の確認を行うことを推奨します。

参考文献 (日本語)

情報処理推進機構 (IPA)
情報セキュリティ安心相談窓口の相談状況［2020年第3四半期（7月〜9月）］
https://www.ipa.go.jp/security/txt/2020/q3outline.html

■JPCERT/CC からのお願い