JPCERT-WR-2019-3501
2019-09-11
2019-09-01
2019-09-07
複数の Cisco 製品に脆弱性
Cisco が提供する複数の Cisco 製品には、脆弱性があります。結果として、
遠隔の第三者が、任意のコマンドを実行したり、情報を窃取する可能性があり
ます。
影響度 High の脆弱性情報の対象となる製品は次のとおりです。
- Cisco Webex Teams for Windows
- Cisco Industrial Network Director (IND)
※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。
これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してく
ださい。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco Webex Teams Logging Feature Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190904-webex-teams
Cisco Security Advisory
Cisco Industrial Network Director Configuration Data Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190904-ind
Cisco Security Advisory
Cisco Security Advisories and Alerts
https://tools.cisco.com/security/center/publicationListing.x
PHP に複数の脆弱性
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- PHP 7.3.9 より前のバージョン
- PHP 7.2.22 より前のバージョン
- PHP 7.1.32 より前のバージョン
この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。
Center for Internet Security
Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2019-087/
The PHP Group
PHP 7 ChangeLog Version 7.3.9
https://www.php.net/ChangeLog-7.php#7.3.9
The PHP Group
PHP 7 ChangeLog Version 7.2.22
https://www.php.net/ChangeLog-7.php#7.2.22
The PHP Group
PHP 7 ChangeLog Version 7.1.32
https://www.php.net/ChangeLog-7.php#7.1.32
WordPress に複数の脆弱性
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは次のとおりです。
- WordPress 5.2.3 より前のバージョン
この問題は、WordPress を WordPress が提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。
WordPress
WordPress 5.2.3 Security and Maintenance Release
https://wordpress.org/news/2019/09/wordpress-5-2-3-security-and-maintenance-release/
Samba に複数の脆弱性
Samba には、複数の脆弱性があります。結果として、遠隔の第三者が情報を窃
取する可能性があります。
対象となるバージョンは次のとおりです。
- Samba 4.10.8 より前の 4.10 系のバージョン
- Samba 4.9.13 より前の 4.9 系のバージョン
この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新することで解決します。詳細は、The Samba Team が提供する情報を参照し
てください。
The Samba Team
Combination of parameters and permissions can allow user to escape from the share path definition.
https://www.samba.org/samba/security/CVE-2019-10197.html
The Samba Team
Samba Security Releases
https://www.samba.org/samba/history/security.html
Mozilla Firefox に複数の脆弱性
Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
るなどの可能性があります。
対象となるバージョンは次のとおりです。
- Firefox 69 より前のバージョン
- Firefox ESR 68.1 より前のバージョン
- Firefox ESR 60.9 より前のバージョン
この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。
Mozilla
Security vulnerabilities fixed in Firefox 69
https://www.mozilla.org/en-US/security/advisories/mfsa2019-25/
Mozilla
Security vulnerabilities fixed in Firefox ESR 68.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-26/
Mozilla
Security vulnerabilities fixed in Firefox ESR 60.9
https://www.mozilla.org/en-US/security/advisories/mfsa2019-27/
Exim にバッファオーバーフローの脆弱性
Exim には、バッファオーバーフローの脆弱性があります。結果として、当該
製品にアクセス可能な第三者が認証を回避し、root 権限で任意のコードを実
行する可能性があります。
対象となるバージョンは次のとおりです。
- Exim 4.92.1 およびそれ以前のバージョン
この問題は、Exim を開発者や配布元が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。
US-CERT Current Activity
Exim Releases Security Patches
https://www.us-cert.gov/ncas/current-activity/2019/09/06/exim-releases-security-patches
Exim
CVE-2019-15846
https://exim.org/static/doc/security/CVE-2019-15846.txt
Japan Vulnerability Notes JVNVU#98867516
Exim に TLS ハンドシェイク中の DN および SNI の処理が適切に行われない問題
https://jvn.jp/vu/JVNVU98867516/
Supermicro 製 Baseboard Management Controller に複数の脆弱性
Supermicro が提供する Baseboard Management Controller (BMC) には、複数
の脆弱性があります。結果として、遠隔の第三者が、サーバの情報を窃取した
り、当該製品が動作するサーバの認証を回避し、サーバを操作したりする可能
性があります。
次にあげる Supermicro 製マザーボードを搭載したシステム上で動作する BMC
コンポーネントが影響をうけます。
- Supermicro 製マザーボード X11 世代
- Supermicro 製マザーボード X10 世代
- Supermicro 製マザーボード X9 世代
この問題は、BMC を Supermicro が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Supermicro が提供する情報を参照してください。
Supermicro
BMC/IPMI Security Vulnerability
https://www.supermicro.com/support/security_BMC_virtual_media.cfm
Supermicro
Security Vulnerabilities Table
https://www.supermicro.com/support/security_Intel-SA.cfm
GitLab に複数の脆弱性
GitLab には、複数の脆弱性があります。結果として、第三者が、情報を窃取
したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性がありま
す。
対象となるバージョンは次のとおりです。
- GitLab 12.2.3 より前のバージョン
- GitLab 12.1.8 より前のバージョン
- GitLab 12.0.8 より前のバージョン
※情報源によると、上記に記載されていない GitLab 11系以前のバージョンに
おいても、影響を受ける脆弱性があるとのことです。
この問題は、GitLab を GitLab が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、GitLab が提供する情報を参照してください。
ISC Kea DHCP サーバに複数の脆弱性
ISC Kea DHCP サーバには、複数の脆弱性があります。結果として、当該製品
にアクセス可能な第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があり
ます。
対象となるバージョンは次のとおりです。
- ISC Kea 1.4.0 から 1.5.0 までのバージョン
この問題は、ISC Kea を ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。
ISC Knowledge Base
CVE-2019-6472: A packet containing a malformed DUID can cause the kea-dhcp6 server to terminate
https://kb.isc.org/docs/cve-2019-6472
ISC Knowledge Base
CVE-2019-6473: An invalid hostname option can cause the kea-dhcp4 server to terminate
https://kb.isc.org/docs/cve-2019-6473
ISC Knowledge Base
CVE-2019-6474: An oversight when validating incoming client requests can lead to a situation where the Kea server will exit when trying to restart
https://kb.isc.org/docs/cve-2019-6474
パナソニック製 Video Insight VMS に SQL インジェクションの脆弱性
パナソニック株式会社が提供する Video Insight VMS には、SQL インジェク
ションの脆弱性があります。結果として、当該製品にログイン可能な第三者が
データベースに対し任意の SQL 文を実行する可能性があります。
対象となるバージョンは次のとおりです。
- Video Insight 7.3.2.5 VMS
この問題は、パナソニック株式会社が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、パナソニック株式会社が提供する情報を参照し
てください。
パナソニック株式会社
Release Notes -Video Insight IP Server 7.5 Minor Release
http://downloadvi.com/downloads/IPServer/v7.5/75089/v75089RN.pdf
NICT が NICTER観測レポート2019上半期を公開
情報通信研究機構 (NICT) は 2019年9月4日、「NICTER観測レポート2019上半
期」を公開しました。2019年1月1日から 2019年6月30日にかけて、NICTER プ
ロジェクトの大規模サイバー攻撃観測網 (ダークネット観測網) における観測
結果をまとめています。
情報通信研究機構 (NICT)
NICTER観測レポート2019上半期
https://blog.nicter.jp/2019/09/nicter-darknet-2019-1h/