<<< JPCERT/CC WEEKLY REPORT 2019-03-20 >>>
■03/10(日)〜03/16(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の VMware 製品に脆弱性
【4】複数の Cisco 製品に脆弱性
【5】WordPress にクロスサイトスクリプティングの脆弱性
【6】Ruby に複数の脆弱性
【7】複数の Intel 製品に脆弱性
【8】iOS アプリ「iChain保険ウォレット」にディレクトリトラバーサルの脆弱性
【9】簡易CMS紀永に複数の脆弱性
【今週のひとくちメモ】JNSA が「セキュリティ知識分野(SecBoK)人材スキルマップ2019年版」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191101.txt
https://www.jpcert.or.jp/wr/2019/wr191101.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases March 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/12/Microsoft-Releases-March-2019-Security-UpdatesUS-CERT Current Activity
Microsoft Releases Security Update for Azure Linux Guest Agent
https://www.us-cert.gov/ncas/current-activity/2019/03/14/Microsoft-Releases-Security-Update-Azure-Linux-Guest-Agent
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office と Microsoft Office SharePoint - ChakraCore - Team Foundation Server - Skype for Business - Visual Studio - NuGet - Azure Linux Guest Agent この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2019 年 3 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/ac45e477-1019-e911-a98b-000d3a33a34dマイクロソフト株式会社
CVE-2019-0804 | Azure Linux エージェントの情報漏えいの脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0804JPCERT/CC 注意喚起
2019年 3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190012.html
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/12/Adobe-Releases-Security-UpdatesAdobe
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1724
概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコ ードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Photoshop CC 20.0.2 およびそれ以前 (Windows, macOS) - Adobe Photoshop CC 19.1.7 およびそれ以前 (Windows, macOS) - Adobe Digital Editions 4.5.10.185749 およびそれ以前 (Windows) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe
Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB19-15
https://helpx.adobe.com/jp/security/products/photoshop/apsb19-15.htmlAdobe
Adobe Digital Editions に関するセキュリティアップデート公開 | APSB19-16
https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb19-16.htmlJPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019031301.html
【3】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates for Workstation and Horizon
https://www.us-cert.gov/ncas/current-activity/2019/03/15/VMware-Releases-Security-Updates-Workstation-and-Horizon
概要
複数の VMware 製品には、脆弱性があります。結果として、第三者が情報を窃 取するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware Workstation 15 系のバージョン (Windows) - VMware Workstation 14 系のバージョン (Windows) - VMware Horizon 7 (CR) 系のバージョン (Windows) - VMware Horizon 7 (ESB) 系のバージョン (Windows) - VMware Horizon 6 系のバージョン (Windows) この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2019-0002 VMware Workstation update addresses elevation of privilege issues
https://www.vmware.com/security/advisories/VMSA-2019-0002.htmlVMware Security Advisories
VMSA-2019-0003 VMware Horizon update addresses Connection Server information disclosure vulnerability
https://www.vmware.com/security/advisories/VMSA-2019-0003.html
【4】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/13/Cisco-Releases-Security-Updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cisco Common Services Platform Collector 2.8.1.2 より前の 2.8.x 系バージョン - Cisco Common Services Platform Collector 2.7.2 から 2.7.4.5 まで - ファームウエア 7.6.2SR2 およびそれ以前のバージョンで動作する Cisco Small Business SPA514G IP Phone この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。なお、Cisco Small Business SPA514G IP Phone につ いては、既にサポートが終了しており、この問題に対する解決策は提供されな いとのことです。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Common Services Platform Collector Static Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190313-cspcscvCisco Security Advisory
Cisco Small Business SPA514G IP Phones SIP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190313-sip
【5】WordPress にクロスサイトスクリプティングの脆弱性
情報源
US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/03/14/WordPress-Releases-Security-Update
概要
WordPress には、クロスサイトスクリプティングの脆弱性があります。結果と して、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは次のとおりです。 - WordPress 5.1 およびそれ以前 この問題は、該当する製品を WordPress が提供する修正済みのバージョンに 更新することで解決します。詳細は、WordPress が提供する情報を参照してく ださい。
関連文書 (英語)
WordPress
WordPress 5.1.1 Security and Maintenance Release
https://wordpress.org/news/2019/03/wordpress-5-1-1-security-and-maintenance-release/
【6】Ruby に複数の脆弱性
情報源
Ruby
Ruby 2.6.2 リリース
https://www.ruby-lang.org/ja/news/2019/03/13/ruby-2-6-2-released/Ruby
Ruby 2.5.4 リリース
https://www.ruby-lang.org/ja/news/2019/03/13/ruby-2-5-4-released/
概要
Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを 実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Ruby 2.6.1 およびそれ以前 - Ruby 2.5.3 およびそれ以前 - Ruby 2.4.5 およびそれ以前 この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す るか、パッチを適用することで解決します。なお、2019年3月19日現在、 Ruby 2.4 系における修正済みのバージョンは提供されていません。詳細は、 Ruby が提供する情報を参照してください。
関連文書 (英語)
Ruby
Multiple vulnerabilities in RubyGems
https://www.ruby-lang.org/en/news/2019/03/05/multiple-vulnerabilities-in-rubygems/
【7】複数の Intel 製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#98344681
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98344681/
概要
Intel 製品には、複数の脆弱性があります。結果として、遠隔の第三者が権限 を昇格するなどの可能性があります。 対象となる製品は次のとおりです。 - Intel CSME, Server Platform Services, Trusted Execution Engine - Intel Active Management Technology - Intel Graphics Driver for Windows - Intel Firmware - Intel Matrix Storage Manager - Intel SGX SDK - Intel USB 3.0 Creator Utility - Intel Accelerated Storage Manager in RSTe この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新 することで解決します。詳細は、Intel が提供する情報を参照してください。
関連文書 (英語)
Intel
INTEL-SA-00185 - Intel CSME, Server Platform Services, Trusted Execution Engine and Intel Active Management Technology 2018.4 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00185.htmlIntel
INTEL-SA-00189 - Intel Graphics Driver for Windows* 2018.4 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00189.htmlIntel
INTEL-SA-00191 - Intel Firmware 2018.4 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00191.htmlIntel
INTEL-SA-00216 - Intel Matrix Storage Manager Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00216.htmlIntel
INTEL-SA-00217 - Intel Software Guard Extensions SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00217.htmlIntel
INTEL-SA-00229 - Intel USB 3.0 Creator Utility Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00229.htmlIntel
INTEL-SA-00231 - Intel Accelerated Storage Manager in RSTe Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00231.html
【8】iOS アプリ「iChain保険ウォレット」にディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#11622218
iOS アプリ「iChain保険ウォレット」におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN11622218/
概要
iOS アプリ「iChain保険ウォレット」には、ディレクトリトラバーサルの脆弱 性があります。結果として、遠隔の第三者が情報を窃取する可能性があります。 対象となるバージョンは次のとおりです。 - iOS アプリ「iChain保険ウォレット」バージョン 1.3.0 およびそれ以前 この問題は、該当する製品を iChain株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、iChain株式会社が提供する情報を参照 してください。
関連文書 (日本語)
iChain株式会社
「iChain 保険ウォレット」脆弱性に関するお知らせ
https://www.ichain.co.jp/security20190311.html
【9】簡易CMS紀永に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#06527859
簡易CMS紀永における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN06527859/
概要
簡易CMS紀永には、複数のクロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が情報を窃取するなどの可能性があります。 対象となるバージョンは次のとおりです。 - KinagaCMS 6.5 より前のバージョン この問題は、該当する製品を紀永プロジェクトが提供する修正済みのバージョン に更新することで解決します。詳細は、紀永プロジェクトが提供する情報を参 照してください。
関連文書 (日本語)
紀永プロジェクト
Kinagaデモサイト
https://紀永.がりはり.com/
■今週のひとくちメモ
○JNSA が「セキュリティ知識分野(SecBoK)人材スキルマップ2019年版」を公開
2019年3月11日、日本ネットワークセキュリティ協会 (JNSA) は、「セキュリ ティ知識分野(SecBoK)人材スキルマップ2019年版」を公開しました。多くの 企業でセキュリティ人材育成の参考資料として活用されている本資料は、従来 のスキルを中心とした構成から、タスクおよびロールとの連携を強化した内容 に見直されているとのことです。
参考文献 (日本語)
日本ネットワークセキュリティ協会 (JNSA)
セキュリティ知識分野(SecBoK2019)スキル中心からタスク・ロールとの連携強化へ
https://www.jnsa.org/result/2018/skillmap/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/