-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-0101 JPCERT/CC 2019-01-09 <<< JPCERT/CC WEEKLY REPORT 2019-01-09 >>> ―――――――――――――――――――――――――――――――――――――― ■12/23(日)〜01/05(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Acrobat および Reader に複数の脆弱性 【2】WordPress 用プラグイン Google XML Sitemaps にクロスサイトスクリプティングの脆弱性 【3】マッピングツールのインストーラに DLL 読み込みに関する脆弱性 【4】GROWI にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】Microsoft 製品における複数の脆弱性 (CVE-2018-8611、CVE-2018-8626) について ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr190101.html https://www.jpcert.or.jp/wr/2019/wr190101.xml ============================================================================ 【1】Adobe Acrobat および Reader に複数の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/01/03/Adobe-Releases-Security-Updates 概要 Adobe Acrobat および Reader には、複数の脆弱性があります。結果として、 第三者が任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Acrobat Reader DC Continuous (2019.010.20064) およびそれ以前 (Windows, macOS) - Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30110) およびそれ以前 (Windows, macOS) - Adobe Acrobat Reader DC Classic 2015 (2015.006.30461) およびそれ以前 (Windows, macOS) - Adobe Acrobat DC Continuous (2019.010.20064) およびそれ以前 (Windows, macOS) - Adobe Acrobat 2017 Classic 2017 (2017.011.30110) およびそれ以前 (Windows, macOS) - Adobe Acrobat DC Classic 2015 (2015.006.30461) およびそれ以前 (Windows, macOS) この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。 関連文書 (日本語) Adobe Adobe Acrobat および Reader に関するセキュリティ情報 | APSB19-02 https://helpx.adobe.com/jp/security/products/acrobat/apsb19-02.html JPCERT/CC Alert 2019-01-04 Adobe Acrobat および Reader の脆弱性 (APSB19-02) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190001.html 【2】WordPress 用プラグイン Google XML Sitemaps にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#27052429 WordPress 用プラグイン Google XML Sitemaps におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN27052429/ 概要 WordPress 用プラグイン Google XML Sitemaps には、クロスサイトスクリプ ティングの脆弱性があります。結果として、悪意を持った管理者が、他の管理 者のウエブブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Google XML Sitemaps Version 4.0.9 およびそれ以前 この問題は、Google XML Sitemaps を開発者が提供する修正済みのバージョン に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ さい。 関連文書 (英語) Google XML Sitemaps Changelog https://wordpress.org/plugins/google-sitemap-generator/#developers 【3】マッピングツールのインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#33677949 マッピングツールのインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN33677949/ 概要 マッピングツールのインストーラには、DLL 読み込みに関する脆弱性がありま す。結果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - マッピングツール 2.0.1.6 および 2.0.1.7 この問題は、日本原子力研究開発機構が提供する最新のインストーラでは解決 しています。なお、すでに該当する製品をインストールしている場合には、こ の問題の影響はありません。詳細は、日本原子力研究開発機構が提供する情報 を参照してください。 関連文書 (日本語) 日本原子力研究開発機構 マッピングツールのインストーラで発見された脆弱性について https://emdb.jaea.go.jp/emdb/mappingtool.html 【4】GROWI にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#96493183 GROWI におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN96493183/ 概要 GROWI には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が、ユーザのウエブブラウザ上で任意のスクリプトを実行する 可能性があります。 対象となるバージョンは次のとおりです。 - GROWI v3.2.3 およびそれ以前 この問題は、GROWI を株式会社WESEEK が提供する修正済みのバージョンに更 新することで解決します。詳細は、株式会社WESEEK が提供する情報を参照し てください。 関連文書 (日本語) 株式会社WESEEK GROWI 脆弱性対応のお知らせ (JVN#96493183) https://weseek.co.jp/security/2018/12/25/growi-prevent-xss2/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Microsoft 製品における複数の脆弱性 (CVE-2018-8611、CVE-2018-8626) について 2019年1月4日、CERT/CC が Microsoft 製品における複数の脆弱性 (CVE-2018-8611、CVE-2018-8626) に関する情報を公開しました。これらの脆 弱性は、複数の Windows 系 OS が影響を受け、いずれも、2018年12月のセキュ リティ更新プログラムを適用することで解決します。なお、Microsoft による と、脆弱性 (CVE-2018-8611) の悪用を確認しているとのことです。本プログ ラムをまだ適用していない場合、Microsoft Update などを用いて、速やかに 適用することをおすすめします。 参考文献 (日本語) Japan Vulnerability Notes JVNVU#92038183 Windows Kernel Transaction Manager (KTM) における競合状態に関する脆弱性 https://jvn.jp/vu/JVNVU92038183/ Japan Vulnerability Notes JVNVU#90683334 Windows DNS サーバにおけるヒープベースのバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU90683334/ JPCERT/CC Alert 2018-12-12 2018年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2018/at180050.html 参考文献 (英語) CERT/CC Vulnerability Note VU#289907 Microsoft Windows Kernel Transaction Manager (KTM) is vulnerable to a race condition https://www.kb.cert.org/vuls/id/289907/ CERT/CC Vulnerability Note VU#531281 Microsoft Windows DNS servers are vulnerable to heap overflow https://www.kb.cert.org/vuls/id/531281/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJcNTndAAoJEDF9l6Rp7OBIxKEH/3CFXs1zpwaIS3bTM4MISh1K eeGPs0VSJe20xuq1rd2oNvqixp/Myg17Dzvrr6wlw6rSVQT9oma7BXoale65GqfP ONsMZzD40vAVzlWpfpWps158B9yPhYdK7f4pLHZTl7QGuajuRffsPItHHTOVct/b qWDSx7veCz2G6IoWoIFh1Lqaa6yMc0+45PEPRPWDiHON8gWTs82jn4murFclsFFJ zP8450sbEJIcqr+OxFSTdcQC0DHlp3jXw1YfRfFa/d975dkukrNrpiCWNIeRJdT6 Cf7/D405W/cFjbWsdi+JV90xIGjZU5RF4k1yZ5D2hZDVLqhnfr4z+LPkhj3tuUc= =ICLI -----END PGP SIGNATURE-----