-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-1001 JPCERT/CC 2019-03-13 <<< JPCERT/CC WEEKLY REPORT 2019-03-13 >>> ―――――――――――――――――――――――――――――――――――――― ■03/03(日)〜03/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Cisco 製品に脆弱性 【2】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性 【3】Adobe ColdFusion にファイルアップロードの制限が回避される脆弱性 【4】Dradis Community Edition および Dradis Professional Edition にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】2018年度 中南米CSIRT動向調査 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr191001.html https://www.jpcert.or.jp/wr/2019/wr191001.xml ============================================================================ 【1】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/03/06/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔またはローカ ルの第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりするなどの可能性があります。 影響度 High の脆弱性情報の対象となる製品は次のとおりです。 - Cisco Firepower 4100 Series Next-Generation Firewalls - Cisco Firepower 9300 Security Appliance - Cisco MDS 9000 Series Multilayer Switches - Cisco Nexus 1000V Switch for Microsoft Hyper-V - Cisco Nexus 1000V Switch for VMware vSphere - Cisco Nexus 2000 Series Fabric Extenders - Cisco Nexus 3000 Series Switches - Cisco Nexus 3500 Series Switches - Cisco Nexus 3500 Platform Switches - Cisco Nexus 3600 Platform Switches - Cisco Nexus 5500 Platform Switches - Cisco Nexus 5600 Platform Switches - Cisco Nexus 6000 Series Switches - Cisco Nexus 7000 Series Switches - Cisco Nexus 7700 Series Switches - Cisco Nexus 9000 Series Switches in standalone NX-OS mode - Cisco Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode - Cisco Nexus 9500 R-Series Line Cards and Fabric Modules - Cisco UCS 6200 Series Fabric Interconnects - Cisco UCS 6300 Series Fabric Interconnects - Cisco UCS 6400 Series Fabric Interconnects ※上記製品以外にも、影響度 Medium および Informational の複数の脆弱性 情報が公開されています。これらの対象製品の情報は、Cisco が提供するアド バイザリ情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Nexus 9000 Series Switches Standalone NX-OS Mode Tetration Analytics Agent Arbitrary Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-tetra-ace Cisco Security Advisory Cisco FXOS and NX-OS Lightweight Directory Access Protocol Denial of Service Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxosldap Cisco Security Advisory Cisco NX-OS Software Image Signature Verification Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-sig-verif Cisco Security Advisory Cisco NX-OS Software Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-privesca Cisco Security Advisory Cisco NX-OS Software Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-privesc Cisco Security Advisory Cisco NX-OS Software Bash Shell Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-pe Cisco Security Advisory Cisco Nexus 9000 Series Switches Standalone NX-OS Mode Fibre Channel over Ethernet NPV Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-npv-dos Cisco Security Advisory Cisco NX-OS Software Netstack Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-netstack Cisco Security Advisory Cisco NX-OS Software Unauthorized Filesystem Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-file-access Cisco Security Advisory Cisco NX-OS Software Cisco Fabric Services Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-fabric-dos Cisco Security Advisory Cisco NX-OS Software Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-escalation Cisco Security Advisory Cisco FXOS and NX-OS Software Unauthorized Directory Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-directory Cisco Security Advisory Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1613) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1613 Cisco Security Advisory Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1612) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1612 Cisco Security Advisory Cisco FXOS and NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1611) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1611 Cisco Security Advisory Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1607) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1607 Cisco Security Advisory Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1606) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1606 Cisco Security Advisory Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1610) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1610 Cisco Security Advisory Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1609) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1609 Cisco Security Advisory Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1608) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1608 Cisco Security Advisory Cisco NX-OS Software NX-API Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-NXAPI-cmdinj Cisco Security Advisory Cisco NX-OS Software 802.1X Extensible Authentication Protocol over LAN Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nx-os-lan-auth Cisco Security Advisory Cisco NX-OS Software Bash Shell Role-Based Access Control Bypass Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nx-os-bash-escal Cisco Security Advisory Cisco NX-OS Software NX-API Arbitrary Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nx-os-api-ex Cisco Security Advisory Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Shell Escape Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-aci-shell-escape 【2】Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2019/03/07/Google-Releases-Security-Updates-Chrome 概要 Google Chrome には、FileReader における解放済みメモリ使用の脆弱性があ ります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性が あります。 対象となるバージョンは次のとおりです。 - Google Chrome 72.0.3626.121 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html 【3】Adobe ColdFusion にファイルアップロードの制限が回避される脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for ColdFusion https://www.us-cert.gov/ncas/current-activity/2019/03/01/Adobe-Releases-Security-Updates-ColdFusion 概要 Adobe ColdFusion には、特定の設定が施された ColdFusion の実行サーバに おいて、ファイルアップロードの制限を回避してファイルをアップロードする ことができる脆弱性があります。結果として、ファイルのアップロード先を外 部から URL で指定できる場所に設定している場合、遠隔の第三者が任意のコー ドを実行する可能性があります。 対象となる製品とバージョンは次のとおりです。 - Adobe ColdFusion 2018 Update 2 およびそれ以前 - Adobe ColdFusion 2016 Update 9 およびそれ以前 - Adobe ColdFusion 11 Update 17 およびそれ以前 この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190011.html 関連文書 (英語) アドビシステムズ株式会社 Security updates available for ColdFusion | APSB19-14 https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html アドビシステムズ株式会社 Security Updates Available for ColdFusion (APSB19-14) https://blogs.adobe.com/psirt/?p=1715 【4】Dradis Community Edition および Dradis Professional Edition にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#40288903 Dradis Community Edition および Dradis Professional Edition におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN40288903/ 概要 Security Roots Ltd が提供する Dradis Community Edition および Dradis Professional Edition には、クロスサイトスクリプティングの脆弱性 があります。結果として、遠隔の第三者がユーザのウェブブラウザ上で、任意 のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Dradis Community Edition v3.11 およびそれ以前 - Dradis Professional Edition v3.1.1 およびそれ以前 この問題は、該当する製品を Security Roots Ltd が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Security Roots Ltd が提供する 情報を参照してください。 関連文書 (英語) Security Roots Ltd Fixed in Dradis 3.11.1 https://dradisframework.com/ce/security_reports.html#fixed-3.11.1 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○2018年度 中南米CSIRT動向調査 JPCERT/CC は、2019年3月7日に「2018年度 中南米CSIRT動向調査」を公開しま した。これは中南米地域全体での CSIRT 間連携の現状に加え、メキシコとブ ラジル両国の窓口 CSIRT の活動状況と、彼らが直面するサイバー脅威の実態 について、公開文献と現地でのヒアリングをもとに調査した結果をまとめたも のです。海外におけるサイバーセキュリティの取組みに関心のある組織、また 中南米地域でビジネスを展開している組織において、現状の把握のための参考 資料としてご活用ください。 参考文献 (日本語) JPCERT/CC 中南米CSIRT動向調査 https://www.jpcert.or.jp/research/LACSIRT-survey.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJciErrAAoJEDF9l6Rp7OBIA8UH/j9+Rf09NqeRdbHOCcPySEsx jgogS9IWrqYySwuljn3rADeH9dVPbHU0QKdu/sTEVuAMrGZFtZAU91RKuTM9FU0w pghMu31zCSr03xyldtrLDjg9aqxh4S50OCedkMZT8JEC+ZdFKihXTA9wLhyHLnDd uJt+8Brgwub6SKnnlM4s3FEkICUpg3Ps8W/nrdgb3ZdJWKJmL1mVSQLBjbA+ggbj fE2GTu2kfcPVdm6k0fa3VZBaSs1gxkmjn2zDoD/vNrBTdp386khGk1gEMc6grdqx zB2mROg0LRCJ+vxSPvKZ6eoHA/prcVbHA/Ztw5egocMjmtXrNzwobGk8SHt6T3w= =CwVk -----END PGP SIGNATURE-----