-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-3101 JPCERT/CC 2019-08-15 <<< JPCERT/CC WEEKLY REPORT 2019-08-15 >>> ―――――――――――――――――――――――――――――――――――――― ■08/04(日)〜08/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Cisco 製品に脆弱性 【2】複数ベンダの CPU に投機的実行機能に関する脆弱性 【3】Google Chrome に複数の脆弱性 【4】キヤノン製デジタルカメラに複数の脆弱性 【5】WonderCMS にディレクトリトラバーサルの脆弱性 【6】EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】「JAIPA Cloud Conference 2019」開催 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr193101.html https://www.jpcert.or.jp/wr/2019/wr193101.xml ============================================================================ 【1】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2019/08/08/cisco-releases-security-updates-multiple-products 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで す。 - Cisco Small Business 220 Series Smart Switches - Cisco Webex Business Suite sites - Cisco Webex Meetings Online - Cisco Webex Meetings Server - Cisco Enterprise NFV Infrastructure Software - Cisco IOS XR Software - Cisco Adaptive Security Appliance (ASA) Software ※上記製品以外にも、影響度 Medium などの複数の脆弱性情報が公開されてい ます。これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照 してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、Cisco が提供する情報 を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Small Business 220 Series Smart Switches Remote Code Execution Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce Cisco Security Advisory Cisco Small Business 220 Series Smart Switches Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypass Cisco Security Advisory Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-webex-player Cisco Security Advisory Cisco Enterprise NFV Infrastructure Software VNC Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-nfvis-vnc-authbypass Cisco Security Advisory Cisco IOS XR Software Intermediate System-to-Intermediate System Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-iosxr-isis-dos-1918 Cisco Security Advisory Cisco IOS XR Software Intermediate System-to-Intermediate System Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-iosxr-isis-dos-1910 Cisco Security Advisory Cisco Adaptive Security Appliance Software Web-Based Management Interface Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-asa-privescala 【2】複数ベンダの CPU に投機的実行機能に関する脆弱性 情報源 US-CERT Current Activity SWAPGS Spectre Side-Channel Vulnerability https://www.us-cert.gov/ncas/current-activity/2019/08/06/swapgs-spectre-side-channel-vulnerability 概要 複数ベンダの CPU には、投機的実行機能に関する脆弱性があります。結果と して、第三者が機微な情報を窃取する可能性があります。 この問題に対して、複数のベンダから対策に関する情報が公開されています。 使用している各ソフトウエアのベンダや配布元などの情報を確認し、対策の施 されたバージョンが公開されている場合、適用することをおすすめします。詳 細は、各ベンダなどが提供する情報を参照してください。 関連文書 (英語) Microsoft CVE-2019-1125 | Windows Kernel Information Disclosure Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1125 Red Hat CVE-2019-1125: Spectre SWAPGS gadget vulnerability https://access.redhat.com/articles/4329821 Google Spectre Side Channels https://chromium.googlesource.com/chromiumos/third_party/kernel/+/cc4c818b2219c58af5f0ca59f3e9f02c48bc0b65/Documentation/admin-guide/hw-vuln/spectre.rst 【3】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2019/08/08/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の コードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 76.0.3809.100 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2019/08/stable-channel-update-for-desktop.html 【4】キヤノン製デジタルカメラに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#97511331 キヤノン製デジタルカメラにおける複数の脆弱性 https://jvn.jp/vu/JVNVU97511331/ 概要 キヤノン製デジタルカメラには、複数の脆弱性があります。結果として、遠隔 の第三者が、当該製品上で任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - EOSシリーズ (デジタル一眼レフ、ミラーレス) - PowerShot SX70HS - PowerShot SX740HS - PowerShot G5XMarkII この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) キヤノン株式会社/キヤノンマーケティングジャパン株式会社 キヤノン製デジタルカメラにおけるPTP(画像転送プロトコル)通信機能およびファームウエアアップデート機能の脆弱性について https://cweb.canon.jp/e-support/products/eos-d/190806dilc-firm.html 【5】WonderCMS にディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVNVU#93628467 WonderCMS におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/vu/JVNVU93628467/ 概要 WonderCMS には、ディレクトリトラバーサルの脆弱性があります。結果として、 遠隔の第三者がサーバ上の任意のファイルを削除する可能性があります。 対象となるバージョンは次のとおりです。 - WonderCMS 2.4.2 およびそれ以前のバージョン この問題は、WonderCMS を開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) WonderCMS News https://www.wondercms.com/whatsnew 【6】EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#29343839 EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN29343839/ 概要 EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」には、クロスサイ トスクリプティングの脆弱性があります。結果として、遠隔の第三者が任意の スクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - EC-CUBE 用プラグイン「Amazon Payプラグイン2.12、2.13」 バージョン 2.4.2 およびそれ以前のバージョン この問題は、本プラグインを開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) アイピーロジック株式会社 Amazon Payプラグイン(2.12、2.13系) https://www.ec-cube.net/products/detail.php?product_id=1602 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「JAIPA Cloud Conference 2019」開催 2019年9月5日、日本インターネットプロバイダー協会 (JAIPA) クラウド部会 は、「JAIPA Cloud Conference 2019」を開催します。本カンファレンスは、 クラウドサービスプロバイダ、システムインテグレータ、ソリューションベン ダーなど、クラウドサービス事業に携わる関係者が参加し、クラウド業界の知 見を深めるイベントです。また、クラウドだけではなく、法律や AI などのテー マに関する講演やパネルディスカッションも行われます。 本イベントの参加には事前登録が必要です。詳細は、公式サイトの情報を参照 してください。 参考文献 (日本語) JAIPA Cloud Conference JAIPA Cloud Conference 2019 https://cloudconference.jaipa.or.jp/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJdVKMYAAoJEKntH+qu5CT/qccP/04wfeaYU9ypmOkJZbPz0ZSD 2psJS2VwQ7Yv+31HoIlMEuzimBRCS5YYS+VfGLDq4TGWrzmWPugjDVO2BMsXd6Zv e1ySaxrsfDfa18qTOoraMkb/UJk1VusJMq7I8fFw2ImCB01LrAtRXCA5Q2SZzu/T Onjar5XRm2Q3VzygtcoRfIWkn4Q7Yp8u0qwW3MG28S6NJ7jKat01d474I0GBd8Bq k1uMQDlvFm4bEs4yG3pSGKL1Yltrd8gIL6s7WF6kN7getIEz2R4C5Grqub+MZCKi 3BynYGKTXMh9P/i2SMknp0eSHB/Hu0SgC6b5D/5wnFk2y9uGKUaGcjLgcYqygHrh x/VQIkldp/mcxk+7vmTi64PZ16qCbsaugtfP0OqwjS27AQbKNOkun3QTEI9M6/y9 /G7QB6Ns+ScnU9mOYYO6eDV8ypSAglCORMi16AqtzcEnagsKgYIfGCVTYM83OvzD M8bDV9E8ODe2GSTh8uAFUwWL0ag5Ogn5Xnsoh5MM0sBLzqfRK+BwqmJBSxabX/w7 dyY2lF/cuTtRW1CxUHOPGvocBB/XWZTvHMOn2mlHSP8GaONVzTMSUwFAER5GDMHq fDVrZvX6oeeUXOluQjWg1AUry+ZC1sm7w0vce6/mjEFq6HmbLKJho3Yy6xl1XBoF OPmMBZbWRWENir+xdSyO =YALl -----END PGP SIGNATURE-----