<<< JPCERT/CC WEEKLY REPORT 2019-08-15 >>>
■08/04(日)〜08/10(土) のセキュリティ関連情報
目 次
【1】複数の Cisco 製品に脆弱性
【2】複数ベンダの CPU に投機的実行機能に関する脆弱性
【3】Google Chrome に複数の脆弱性
【4】キヤノン製デジタルカメラに複数の脆弱性
【5】WonderCMS にディレクトリトラバーサルの脆弱性
【6】EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】「JAIPA Cloud Conference 2019」開催
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr193101.txt
https://www.jpcert.or.jp/wr/2019/wr193101.xml
【1】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/08/08/cisco-releases-security-updates-multiple-products
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで す。 - Cisco Small Business 220 Series Smart Switches - Cisco Webex Business Suite sites - Cisco Webex Meetings Online - Cisco Webex Meetings Server - Cisco Enterprise NFV Infrastructure Software - Cisco IOS XR Software - Cisco Adaptive Security Appliance (ASA) Software ※上記製品以外にも、影響度 Medium などの複数の脆弱性情報が公開されてい ます。これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照 してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、Cisco が提供する情報 を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Small Business 220 Series Smart Switches Remote Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rceCisco Security Advisory
Cisco Small Business 220 Series Smart Switches Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypassCisco Security Advisory
Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-webex-playerCisco Security Advisory
Cisco Enterprise NFV Infrastructure Software VNC Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-nfvis-vnc-authbypassCisco Security Advisory
Cisco IOS XR Software Intermediate System-to-Intermediate System Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-iosxr-isis-dos-1918Cisco Security Advisory
Cisco IOS XR Software Intermediate System-to-Intermediate System Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-iosxr-isis-dos-1910Cisco Security Advisory
Cisco Adaptive Security Appliance Software Web-Based Management Interface Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-asa-privescala
【2】複数ベンダの CPU に投機的実行機能に関する脆弱性
情報源
US-CERT Current Activity
SWAPGS Spectre Side-Channel Vulnerability
https://www.us-cert.gov/ncas/current-activity/2019/08/06/swapgs-spectre-side-channel-vulnerability
概要
複数ベンダの CPU には、投機的実行機能に関する脆弱性があります。結果と して、第三者が機微な情報を窃取する可能性があります。 この問題に対して、複数のベンダから対策に関する情報が公開されています。 使用している各ソフトウエアのベンダや配布元などの情報を確認し、対策の施 されたバージョンが公開されている場合、適用することをおすすめします。詳 細は、各ベンダなどが提供する情報を参照してください。
関連文書 (英語)
Microsoft
CVE-2019-1125 | Windows Kernel Information Disclosure Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1125Red Hat
CVE-2019-1125: Spectre SWAPGS gadget vulnerability
https://access.redhat.com/articles/4329821
Spectre Side Channels
https://chromium.googlesource.com/chromiumos/third_party/kernel/+/cc4c818b2219c58af5f0ca59f3e9f02c48bc0b65/Documentation/admin-guide/hw-vuln/spectre.rst
【3】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/08/08/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の コードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 76.0.3809.100 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/08/stable-channel-update-for-desktop.html
【4】キヤノン製デジタルカメラに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#97511331
キヤノン製デジタルカメラにおける複数の脆弱性
https://jvn.jp/vu/JVNVU97511331/
概要
キヤノン製デジタルカメラには、複数の脆弱性があります。結果として、遠隔 の第三者が、当該製品上で任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - EOSシリーズ (デジタル一眼レフ、ミラーレス) - PowerShot SX70HS - PowerShot SX740HS - PowerShot G5XMarkII この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
キヤノン株式会社/キヤノンマーケティングジャパン株式会社
キヤノン製デジタルカメラにおけるPTP(画像転送プロトコル)通信機能およびファームウエアアップデート機能の脆弱性について
https://cweb.canon.jp/e-support/products/eos-d/190806dilc-firm.html
【5】WonderCMS にディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVNVU#93628467
WonderCMS におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU93628467/
概要
WonderCMS には、ディレクトリトラバーサルの脆弱性があります。結果として、 遠隔の第三者がサーバ上の任意のファイルを削除する可能性があります。 対象となるバージョンは次のとおりです。 - WonderCMS 2.4.2 およびそれ以前のバージョン この問題は、WonderCMS を開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
WonderCMS
News
https://www.wondercms.com/whatsnew
【6】EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#29343839
EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN29343839/
概要
EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」には、クロスサイ トスクリプティングの脆弱性があります。結果として、遠隔の第三者が任意の スクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」 バージョン 2.4.2 およびそれ以前のバージョン この問題は、本プラグインを開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
アイピーロジック株式会社
Amazon Payプラグイン(2.12、2.13系)
https://www.ec-cube.net/products/detail.php?product_id=1602
■今週のひとくちメモ
○「JAIPA Cloud Conference 2019」開催
2019年9月5日、日本インターネットプロバイダー協会 (JAIPA) クラウド部会 は、「JAIPA Cloud Conference 2019」を開催します。本カンファレンスは、 クラウドサービスプロバイダ、システムインテグレータ、ソリューションベン ダーなど、クラウドサービス事業に携わる関係者が参加し、クラウド業界の知 見を深めるイベントです。また、クラウドだけではなく、法律や AI などのテー マに関する講演やパネルディスカッションも行われます。 本イベントの参加には事前登録が必要です。詳細は、公式サイトの情報を参照 してください。
参考文献 (日本語)
JAIPA Cloud Conference
JAIPA Cloud Conference 2019
https://cloudconference.jaipa.or.jp/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/