-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-1101 JPCERT/CC 2019-03-20 <<< JPCERT/CC WEEKLY REPORT 2019-03-20 >>> ―――――――――――――――――――――――――――――――――――――― ■03/10(日)〜03/16(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】複数の VMware 製品に脆弱性 【4】複数の Cisco 製品に脆弱性 【5】WordPress にクロスサイトスクリプティングの脆弱性 【6】Ruby に複数の脆弱性 【7】複数の Intel 製品に脆弱性 【8】iOS アプリ「iChain保険ウォレット」にディレクトリトラバーサルの脆弱性 【9】簡易CMS紀永に複数の脆弱性 【今週のひとくちメモ】JNSA が「セキュリティ知識分野(SecBoK)人材スキルマップ2019年版」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr191101.html https://www.jpcert.or.jp/wr/2019/wr191101.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases March 2019 Security Updates https://www.us-cert.gov/ncas/current-activity/2019/03/12/Microsoft-Releases-March-2019-Security-Updates US-CERT Current Activity Microsoft Releases Security Update for Azure Linux Guest Agent https://www.us-cert.gov/ncas/current-activity/2019/03/14/Microsoft-Releases-Security-Update-Azure-Linux-Guest-Agent 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office と Microsoft Office SharePoint - ChakraCore - Team Foundation Server - Skype for Business - Visual Studio - NuGet - Azure Linux Guest Agent この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2019 年 3 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/ac45e477-1019-e911-a98b-000d3a33a34d マイクロソフト株式会社 CVE-2019-0804 | Azure Linux エージェントの情報漏えいの脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0804 JPCERT/CC 注意喚起 2019年 3月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2019/at190012.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/03/12/Adobe-Releases-Security-Updates Adobe Security Bulletins Posted https://blogs.adobe.com/psirt/?p=1724 概要 複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコ ードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Photoshop CC 20.0.2 およびそれ以前 (Windows, macOS) - Adobe Photoshop CC 19.1.7 およびそれ以前 (Windows, macOS) - Adobe Digital Editions 4.5.10.185749 およびそれ以前 (Windows) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB19-15 https://helpx.adobe.com/jp/security/products/photoshop/apsb19-15.html Adobe Adobe Digital Editions に関するセキュリティアップデート公開 | APSB19-16 https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb19-16.html JPCERT/CC CyberNewsFlash 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2019031301.html 【3】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates for Workstation and Horizon https://www.us-cert.gov/ncas/current-activity/2019/03/15/VMware-Releases-Security-Updates-Workstation-and-Horizon 概要 複数の VMware 製品には、脆弱性があります。結果として、第三者が情報を窃 取するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware Workstation 15 系のバージョン (Windows) - VMware Workstation 14 系のバージョン (Windows) - VMware Horizon 7 (CR) 系のバージョン (Windows) - VMware Horizon 7 (ESB) 系のバージョン (Windows) - VMware Horizon 6 系のバージョン (Windows) この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2019-0002 VMware Workstation update addresses elevation of privilege issues https://www.vmware.com/security/advisories/VMSA-2019-0002.html VMware Security Advisories VMSA-2019-0003 VMware Horizon update addresses Connection Server information disclosure vulnerability https://www.vmware.com/security/advisories/VMSA-2019-0003.html 【4】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/03/13/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cisco Common Services Platform Collector 2.8.1.2 より前の 2.8.x 系バージョン - Cisco Common Services Platform Collector 2.7.2 から 2.7.4.5 まで - ファームウエア 7.6.2SR2 およびそれ以前のバージョンで動作する Cisco Small Business SPA514G IP Phone この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。なお、Cisco Small Business SPA514G IP Phone につ いては、既にサポートが終了しており、この問題に対する解決策は提供されな いとのことです。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Common Services Platform Collector Static Credential Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190313-cspcscv Cisco Security Advisory Cisco Small Business SPA514G IP Phones SIP Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190313-sip 【5】WordPress にクロスサイトスクリプティングの脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2019/03/14/WordPress-Releases-Security-Update 概要 WordPress には、クロスサイトスクリプティングの脆弱性があります。結果と して、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは次のとおりです。 - WordPress 5.1 およびそれ以前 この問題は、該当する製品を WordPress が提供する修正済みのバージョンに 更新することで解決します。詳細は、WordPress が提供する情報を参照してく ださい。 関連文書 (英語) WordPress WordPress 5.1.1 Security and Maintenance Release https://wordpress.org/news/2019/03/wordpress-5-1-1-security-and-maintenance-release/ 【6】Ruby に複数の脆弱性 情報源 Ruby Ruby 2.6.2 リリース https://www.ruby-lang.org/ja/news/2019/03/13/ruby-2-6-2-released/ Ruby Ruby 2.5.4 リリース https://www.ruby-lang.org/ja/news/2019/03/13/ruby-2-5-4-released/ 概要 Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを 実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Ruby 2.6.1 およびそれ以前 - Ruby 2.5.3 およびそれ以前 - Ruby 2.4.5 およびそれ以前 この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す るか、パッチを適用することで解決します。なお、2019年3月19日現在、 Ruby 2.4 系における修正済みのバージョンは提供されていません。詳細は、 Ruby が提供する情報を参照してください。 関連文書 (英語) Ruby Multiple vulnerabilities in RubyGems https://www.ruby-lang.org/en/news/2019/03/05/multiple-vulnerabilities-in-rubygems/ 【7】複数の Intel 製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#98344681 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU98344681/ 概要 Intel 製品には、複数の脆弱性があります。結果として、遠隔の第三者が権限 を昇格するなどの可能性があります。 対象となる製品は次のとおりです。 - Intel CSME, Server Platform Services, Trusted Execution Engine - Intel Active Management Technology - Intel Graphics Driver for Windows - Intel Firmware - Intel Matrix Storage Manager - Intel SGX SDK - Intel USB 3.0 Creator Utility - Intel Accelerated Storage Manager in RSTe この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新 することで解決します。詳細は、Intel が提供する情報を参照してください。 関連文書 (英語) Intel INTEL-SA-00185 - Intel CSME, Server Platform Services, Trusted Execution Engine and Intel Active Management Technology 2018.4 QSR Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00185.html Intel INTEL-SA-00189 - Intel Graphics Driver for Windows* 2018.4 QSR Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00189.html Intel INTEL-SA-00191 - Intel Firmware 2018.4 QSR Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00191.html Intel INTEL-SA-00216 - Intel Matrix Storage Manager Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00216.html Intel INTEL-SA-00217 - Intel Software Guard Extensions SDK Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00217.html Intel INTEL-SA-00229 - Intel USB 3.0 Creator Utility Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00229.html Intel INTEL-SA-00231 - Intel Accelerated Storage Manager in RSTe Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00231.html 【8】iOS アプリ「iChain保険ウォレット」にディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#11622218 iOS アプリ「iChain保険ウォレット」におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN11622218/ 概要 iOS アプリ「iChain保険ウォレット」には、ディレクトリトラバーサルの脆弱 性があります。結果として、遠隔の第三者が情報を窃取する可能性があります。 対象となるバージョンは次のとおりです。 - iOS アプリ「iChain保険ウォレット」バージョン 1.3.0 およびそれ以前 この問題は、該当する製品を iChain株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、iChain株式会社が提供する情報を参照 してください。 関連文書 (日本語) iChain株式会社 「iChain 保険ウォレット」脆弱性に関するお知らせ https://www.ichain.co.jp/security20190311.html 【9】簡易CMS紀永に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#06527859 簡易CMS紀永における複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN06527859/ 概要 簡易CMS紀永には、複数のクロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が情報を窃取するなどの可能性があります。 対象となるバージョンは次のとおりです。 - KinagaCMS 6.5 より前のバージョン この問題は、該当する製品を紀永プロジェクトが提供する修正済みのバージョン に更新することで解決します。詳細は、紀永プロジェクトが提供する情報を参 照してください。 関連文書 (日本語) 紀永プロジェクト Kinagaデモサイト https://紀永.がりはり.com/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JNSA が「セキュリティ知識分野(SecBoK)人材スキルマップ2019年版」を公開 2019年3月11日、日本ネットワークセキュリティ協会 (JNSA) は、「セキュリ ティ知識分野(SecBoK)人材スキルマップ2019年版」を公開しました。多くの 企業でセキュリティ人材育成の参考資料として活用されている本資料は、従来 のスキルを中心とした構成から、タスクおよびロールとの連携を強化した内容 に見直されているとのことです。 参考文献 (日本語) 日本ネットワークセキュリティ協会 (JNSA) セキュリティ知識分野(SecBoK2019)スキル中心からタスク・ロールとの連携強化へ https://www.jnsa.org/result/2018/skillmap/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJckYgbAAoJEDF9l6Rp7OBI/4EH+wSQAsBS/We/+1E9nXIePjes lstI4bX5QrRRhOIy403Wzc40fR1KApFSbApEcPqutp6XRJBME+7joJlT7pycQzXO JNQC7ovcs2weYDj+MnOaU0HydtfoQhR8sg/tV63hMH4lFOjcotTt/qWCrlBvdI0J jLKnQUQ58O1Hi0qHiMEXK87EDiN9LqBhgugV9x1iPpVhvAuiCfE3te17RNsMIhRR O5pQERB2HC6JVv45PNVtO7I/Wq8nOgEh/auoBcO59va9lJrluts32FhSyRhVMiFv eNuuKiQhQDEphsXcZFfmXwvJoinflDmig4GJOygBWSWKvsruOF6kO7QM3Fg4r0I= =W6le -----END PGP SIGNATURE-----