-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-1701 JPCERT/CC 2019-05-09 <<< JPCERT/CC WEEKLY REPORT 2019-05-09 >>> ―――――――――――――――――――――――――――――――――――――― ■04/21(日)〜05/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chrome に複数の脆弱性 【2】ISC BIND 9 に複数の脆弱性 【3】Oracle WebLogic Server に安全でないデシリアライゼーションの脆弱性 【4】複数の Cisco 製品に脆弱性 【5】PrinterLogic Print Management Software に複数の脆弱性 【6】サイボウズ Garoon に複数の脆弱性 【7】PHP に複数の脆弱性 【今週のひとくちメモ】IPA が「サプライチェーンのサイバーセキュリティについて語りあうシンポジウム」を開催 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr191701.html https://www.jpcert.or.jp/wr/2019/wr191701.xml ============================================================================ 【1】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Update for Chrome https://www.us-cert.gov/ncas/current-activity/2019/04/23/Google-Releases-Security-Update-Chrome-0 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2019/04/30/Google-Releases-Security-Updates-Chrome 概要 Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 74.0.3729.131 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2019/04/stable-channel-update-for-desktop_23.html Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2019/04/stable-channel-update-for-desktop_30.html 【2】ISC BIND 9 に複数の脆弱性 情報源 US-CERT Current Activity ISC Releases BIND Security Updates https://www.us-cert.gov/ncas/current-activity/2019/04/25/ICS-Releases-BIND-Security-Updates 概要 ISC BIND 9 には、複数の脆弱性があります。 結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.14.0 - BIND 9.12 系 9.12.0 から 9.12.4 まで - BIND 9.11 系 9.11.0 から 9.11.6 まで - BIND Supported Preview Edition 9.9.3-S1 から 9.11.5-S5 まで この問題は、ISC BIND 9 を ISC が提供する修正済みのバージョンに更新する ことで解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(ファイル記述子の過度な消費)について (CVE-2018-5743) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 https://jprs.jp/tech/security/2019-04-25-bind9-vuln-tcp-clients.html 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6467) - - nxdomain-redirect機能を有効にしている場合のみ対象、バージョンアップを推奨 https://jprs.jp/tech/security/2019-04-25-bind9-vuln-nxdomain-redirect.html Japan Vulnerability Notes JVNVU#99876126 ISC BIND 9 に複数の脆弱性 https://jvn.jp/vu/JVNVU99876126/ JPCERT/CC ISC BIND 9 に対する複数の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190019.html 関連文書 (英語) Internet Systems Consortium, Inc. (ISC) CVE-2018-5743: Limiting simultaneous TCP clients is ineffective https://kb.isc.org/docs/cve-2018-5743 Internet Systems Consortium, Inc. (ISC) CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c https://kb.isc.org/docs/cve-2019-6467 Internet Systems Consortium, Inc. (ISC) CVE-2019-6468: BIND Supported Preview Edition can exit with an assertion failure if nxdomain-redirect is used https://kb.isc.org/docs/cve-2019-6468 Internet Systems Consortium, Inc. (ISC) BIND 9 Security Vulnerability Matrix https://kb.isc.org/docs/aa-00913 【3】Oracle WebLogic Server に安全でないデシリアライゼーションの脆弱性 情報源 US-CERT Current Activity Oracle Releases Security Alert https://www.us-cert.gov/ncas/current-activity/2019/04/26/Oracle-Releases-Security-Alert 概要 Oracle WebLogic Server には、安全でないデシリアライゼーションの脆弱性 があります。結果として、遠隔の第三者が任意のコードを実行する可能性があ ります。 対象となるバージョンは次のとおりです。 - Oracle WebLogic Server 12.1.3.0 - Oracle WebLogic Server 10.3.6.0 この問題は、Oracle WebLogic Server を Oracle が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Oracle が提供する情報を参照 してください。 関連文書 (日本語) JPCERT/CC Oracle WebLogic Server の脆弱性 (CVE-2019-2725) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190020.html JPCERT/CC Oracle WebLogic Server の脆弱性 (CNVD-C-2019-48814) について https://www.jpcert.or.jp/newsflash/2019042601.html 関連文書 (英語) Oracle Oracle Security Alert Advisory - CVE-2019-2725 https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html Oracle Security Alert CVE-2019-2725 Released https://blogs.oracle.com/security/security-alert-cve-2019-2725-released 【4】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/05/01/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 特権ユーザとしてアクセスしたり、サービス運用妨害 (DoS) 攻撃を行ったり するなどの可能性があります。 影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで す。 - Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode - Cisco Adaptive Security Appliance (ASA) Software - Cisco Firepower Threat Defense (FTD) Software - Cisco Web Security Appliance (WSA) - Cisco AsyncOS Software for Cisco Web Security Appliance - Cisco Umbrella Dashboard(cloud based) - Cisco Small Business Switches software - Cisco Small Business RV320 Dual Gigabit WAN VPN Router - Cisco Small Business RV325 Dual Gigabit WAN VPN Router - Session Initiation Protocol (SIP) Software for Cisco IP Phone 7800 Series - Session Initiation Protocol (SIP) Software for Cisco IP Phone 8800 Series - Cisco Application Policy Infrastructure Controller (APIC) software ※上記製品以外にも、影響度 Medium および Informational の複数の脆弱性 情報が公開されています。これらの対象製品の情報は、Cisco が提供するアド バイザリ情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す る情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Default SSH Key Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-nexus9k-sshkey Cisco Security Advisory Cisco Adaptive Security Appliance Software and Cisco Firepower Threat Defense Software TCP Timer Handling Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-frpwrtd-dos Cisco Security Advisory Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software WebVPN Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-sd-cpu-dos Cisco Security Advisory Cisco Firepower Threat Defense Software TCP Ingress Handler Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-firepower-dos Cisco Security Advisory Cisco Firepower Threat Defense Software SMB Protocol Preprocessor Detection Engine Denial of Service Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-frpwr-smb-snort Cisco Security Advisory Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Low-Entropy Keys Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-ftd-entropy Cisco Security Advisory Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software WebVPN Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-ftd-dos Cisco Security Advisory Cisco Firepower Threat Defense Software Packet Processing Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-frpwr-dos Cisco Security Advisory Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software VPN SAML Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asaftd-saml-vpn Cisco Security Advisory Cisco Adaptive Security Appliance Software and Cisco Firepower Threat Defense Software MOBIKE Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-ftd-ike-dos Cisco Security Advisory Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Root Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-nexus9k-rpe Cisco Security Advisory Cisco Web Security Appliance Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-wsa-privesc Cisco Security Advisory Cisco Web Security Appliance Malformed Request Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-wsa-dos Cisco Security Advisory Cisco Umbrella Dashboard Session Management Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-udb-sm Cisco Security Advisory Cisco Small Business Switches Secure Shell Certificate Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-scbv Cisco Security Advisory Cisco Small Business RV320 and RV325 Routers Session Hijacking Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-sbr-hijack Cisco Security Advisory Cisco IP Phone 7800 Series and 8800 Series Session Initiation Protocol XML Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-phone-sip-xml-dos Cisco Security Advisory Cisco Adaptive Security Appliance Software IPsec Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-ipsec-dos Cisco Security Advisory Cisco Adaptive Security Appliance Software Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-csrf Cisco Security Advisory Cisco Application Policy Infrastructure Controller Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-apic-priv-escalation Cisco Security Advisory Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Insecure Fabric Authentication Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-aci-insecure-fabric Cisco Security Advisory Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-aci-hw-clock-util 【5】PrinterLogic Print Management Software に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#169249 PrinterLogic Print Management Software fails to validate SSL certificates or the integrity of software updates. https://www.kb.cert.org/vuls/id/169249/ 概要 PrinterLogic Print Management Software には、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - PrinterLogic Print Management Software 18.3.1.96 およびそれ以前のバージョン 2019年5月8日現在、PrinterLogic から修正済みのバージョンは提供されてい ません。次の回避策を適用することで、本脆弱性の影響を軽減することが可能 です。 - VPN を使用し、中間者攻撃の可能性を低減させる - PrinterLogic エージェントから実行可能なアプリケーションをホワイトリストで制限する 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90648875 PrinterLogic 製 Print Management software における SSL 証明書やソフトウェアアップデートの整合性の検証をしない脆弱性 https://jvn.jp/vu/JVNVU90648875/ 関連文書 (英語) US-CERT Current Activity PrinterLogic Print Management Software Vulnerabilities https://www.us-cert.gov/ncas/current-activity/2019/05/05/PrinterLogic-Print-Management-Software-Vulnerabilities PrinterLogic Print Management https://www.printerlogic.com/enterprise-print-management/ 【6】サイボウズ Garoon に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#58849431 サイボウズ Garoon における複数の脆弱性 https://jvn.jp/jp/JVN58849431 概要 サイボウズ Garoon には、複数の脆弱性があります。結果として、当該製品に アクセス可能な第三者が、ユーザのブラウザ上で任意のスクリプトを実行する などの可能性があります。 対象となるバージョンは次のとおりです。 - サイボウズ Garoon 4.0.0 から 4.10.1 まで この問題は、サイボウズ Garoon を サイボウズ株式会社が提供する修正済み のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提 供する情報を参照してください。 関連文書 (日本語) サイボウズ株式会社 パッケージ版 Garoon 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2019/006814.html 【7】PHP に複数の脆弱性 情報源 The PHP Group PHP 7.3.5 Release Announcement https://php.net/archive/2019.php#id2019-05-02-1 The PHP Group PHP 7.2.18 Released https://php.net/archive/2019.php#id2019-05-02-2 The PHP Group PHP 7.1.29 Released https://php.net/archive/2019.php#id2019-05-03-1 概要 PHP には、複数の脆弱性があります。結果として、第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - PHP 7.3.5 より前のバージョン - PHP 7.2.18 より前のバージョン - PHP 7.1.29 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。 関連文書 (英語) The PHP Group PHP 7 ChangeLog Version 7.3.5 http://www.php.net/ChangeLog-7.php#7.3.5 The PHP Group PHP 7 ChangeLog Version 7.2.18 http://www.php.net/ChangeLog-7.php#7.2.18 The PHP Group PHP 7 ChangeLog Version 7.1.29 http://www.php.net/ChangeLog-7.php#7.1.29 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA が「サプライチェーンのサイバーセキュリティについて語りあうシンポジウム」を開催 2019年5月28日、情報処理推進機構 (IPA) は、「サプライチェーンのサイバー セキュリティについて語りあうシンポジウム〜G20大阪サミットを機に、 Society5.0を支える信頼の確保について考える〜」を開催します。 本年、6月に開催される G20 大阪サミットにおいてテーマとなっている「デジ タル経済への対応」を受けて、サイバーセキュリティの重要性に関し、サプラ イチェーンや IoT の観点から、サミット開催地である大阪においてグローバ ルな参加者を招いたパネルディスカッションを行うとのことです。 参加費は無料ですが、事前に参加申込みが必要となります。申込方法、プログ ラムなどの詳細は、Web ページをご確認ください。 開催日程:2019年5月28日(火)13:00〜17:10(受付開始 12:30) 開催場所:グランフロント大阪 北館4階 ナレッジシアター 定員:350名 (定員になり次第、受付終了) 参考文献 (日本語) 情報処理推進機構 (IPA) サプライチェーンにおけるサイバーセキュリティを語りあうシンポジウムの開催について https://www.ipa.go.jp/security/announce/sc-sympo.html 経済産業省 「サプライチェーンのサイバーセキュリティについて語りあうシンポジウム〜G20大阪サミットを機に、Society5.0を支える信頼の確保について考える〜」を開催します https://www.meti.go.jp/press/2019/04/20190426008/20190426008.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJc03pLAAoJEDF9l6Rp7OBIfVMIAJ10/KqRm2KRpawvObeXQe+Z MO0ZNJEnndLvqQa8SG+U62Jytj/udajFKw1UKK6ZNaNer1VpDNkG2VrwWa7Vdf4Z 9Cf/W41GtkpZi6UA3MBBieOFOIIlnI9yJ5ijzu1XJAc2h16Vvh3KJOgow+XiP4bO WG6AKNQAkCcldE4F9TE6A16+crlQk+tQ3khX4Y3PURZLvwt/7bALGpXux0DsKZ3S XiJo6gNsdYg6pVAW2uFI6l5rSBMj0Sv96miEqGs6f9iBNTqMoJaKTR81CIHqsKcS a6w4qX2mDvrgKKaDc+fAONZF4ZdGQubsuql704FBPVscUtfR8DBbyazLq3sdf4M= =KyIR -----END PGP SIGNATURE-----