-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-4101 JPCERT/CC 2019-10-24 <<< JPCERT/CC WEEKLY REPORT 2019-10-24 >>> ―――――――――――――――――――――――――――――――――――――― ■10/13(日)〜10/19(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Cisco 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】2019年 10月 Oracle Critical Patch Update について 【4】WordPress に複数の脆弱性 【5】ISC BIND 9 に複数の脆弱性 【6】NetCommons3 にクロスサイトスクリプティングの脆弱性 【7】複数の VMware 製品にアクセス制御不備の脆弱性 【8】Apple Swift にファイルディスクリプタの不適切な管理に関する問題 【今週のひとくちメモ】Windows 7 および Windows Server 2008 R2 の延長サポート終了について ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr194101.html https://www.jpcert.or.jp/wr/2019/wr194101.xml ============================================================================ 【1】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/10/17/cisco-releases-security-updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで す。 - Cisco Aironet AP Software - Cisco WLC Software - Cisco SPA100 Series ATAs - Cisco Small Business Smart Switches - Cisco Small Business Managed Switches ※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、 影響度 Medium の脆弱性情報、アドバイザリが公開されています。詳細は、 Cisco が提供する情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、Cisco が提供する情報 を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Aironet Access Points Unauthorized Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-unauth-access Cisco Security Advisory Cisco Wireless LAN Controller Secure Shell Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-wlc-ssh-dos Cisco Security Advisory Cisco SPA100 Series Analog Telephone Adapters Remote Code Execution Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-spa-rce Cisco Security Advisory Cisco Small Business Smart and Managed Switches Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-sbss-csrf Cisco Security Advisory Cisco Aironet Access Points Point-to-Point Tunneling Protocol Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-pptp-dos Cisco Security Advisory Cisco Aironet Access Points and Catalyst 9100 Access Points CAPWAP Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-capwap-dos 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2019/10/15/adobe-releases-security-updates-multiple-products 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、 情報を窃取したり、実行ユーザの権限で任意のコードを実行したりするなどの 可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Acrobat Reader DC Continuous (2019.012.20040) およびそれ以前 (Windows, macOS) - Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30148) およびそれ以前 (Windows, macOS) - Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30503) およびそれ以前 (Windows, macOS) - Adobe Acrobat DC Continuous (2019.012.20040) およびそれ以前 (Windows, macOS) - Adobe Acrobat 2017 Classic 2017 (2017.011.30148) およびそれ以前 (Windows, macOS) - Adobe Acrobat 2015 Classic 2015 (2015.006.30503) およびそれ以前 (Windows, macOS) - Adobe Experience Manager 6.5, 6.4, 6.3 - Adobe Experience Manager Forms 6.5, 6.4, 6.3 - Adobe Download Manager 2.0.0.363 (Windows) なお、既にコアサポート期間が終了している Adobe Experience Manager 6.2、 6.1、6.0 も本脆弱性の影響を受けるとのことです。該当のバージョンを使用 している場合は、サポート対象のバージョンをご使用ください。 この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Adobe Acrobat および Reader の脆弱性 (APSB19-49) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190039.html JPCERT/CC 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2019101602.html Adobe Adobe Experience Manager に関するセキュリティアップデート公開 | APSB19-48 https://helpx.adobe.com/jp/security/products/experience-manager/apsb19-48.html Adobe Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-49 https://helpx.adobe.com/jp/security/products/acrobat/apsb19-49.html Adobe Adobe Experience Manager Forms に関するセキュリティアップデート公開 | APSB19-50 https://helpx.adobe.com/jp/security/products/aem-forms/apsb19-50.html Adobe Adobe Download Manager に関するセキュリティアップデート公開 | APSB19-51 https://helpx.adobe.com/jp/security/products/adm/apsb19-51.html 【3】2019年 10月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Oracle Releases October 2019 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2019/10/15/oracle-releases-october-2019-security-bulletin 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細は、Oracle が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 2019年 10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2019/at190040.html 関連文書 (英語) Oracle Oracle Critical Patch Update Advisory - October 2019 https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html 【4】WordPress に複数の脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2019/10/15/wordpress-releases-security-update 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - WordPress 5.2.4 より前のバージョン この問題は、WordPress を WordPress が提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 関連文書 (英語) WordPress WordPress 5.2.4 Security Release https://wordpress.org/news/2019/10/wordpress-5-2-4-security-release/ 【5】ISC BIND 9 に複数の脆弱性 情報源 US-CERT Current Activity ISC Releases Security Advisories for BIND https://www.us-cert.gov/ncas/current-activity/2019/10/17/isc-releases-security-advisories-bind 概要 ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.14.0 から BIND 9.14.6 まで なお、開発版の BIND 9.15 系についても影響を受けるとのことです。 この問題は、ISC BIND 9 を ISC が提供する修正済みのバージョンに更新する ことで解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(mirror zones機能におけるDNSSEC検証のバイパス)について(CVE-2019-6475)- mirror zones機能を設定している場合のみ対象、バージョンアップを推奨 https://jprs.jp/tech/security/2019-10-17-bind9-vuln-mirror-zones.html 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6476)- バージョンアップを推奨 https://jprs.jp/tech/security/2019-10-17-bind9-vuln-qname-minimisation.html Japan Vulnerability Notes JVNVU#98919979 ISC BIND 9 における複数の脆弱性 https://jvn.jp/vu/JVNVU98919979/ JPCERT/CC ISC BIND 9 における脆弱性 (CVE-2019-6475、CVE-2019-6476) について https://www.jpcert.or.jp/newsflash/2019101701.html 関連文書 (英語) Internet Systems Consortium, Inc. (ISC) CVE-2019-6475: A flaw in mirror zone validity checking can allow zone data to be spoofed https://kb.isc.org/docs/cve-2019-6475 Internet Systems Consortium, Inc. (ISC) CVE-2019-6476: An error in QNAME minimization code can cause BIND to exit with an assertion failure https://kb.isc.org/docs/cve-2019-6476 Internet Systems Consortium, Inc. (ISC) BIND 9 Security Vulnerability Matrix https://kb.isc.org/docs/aa-00913 【6】NetCommons3 にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#74530672 NetCommons3 におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN74530672/ 概要 NetCommonsプロジェクトが提供する NetCommons3 には、クロスサイトスクリ プティングの脆弱性があります。結果として、遠隔の第三者が、当該製品にロ グインしているユーザのウェブブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは次のとおりです。 - NetCommons3.2.2 およびそれ以前の 3.0 系バージョン この問題は、NetCommons3 を NetCommonsプロジェクトが提供する修正済みの バージョンに更新することで解決します。詳細は、NetCommonsプロジェクトが 提供する情報を参照してください。 関連文書 (日本語) NetCommonsプロジェクト 次世代の情報共有基盤システムNetCommons(ネットコモンズ) https://www.netcommons.org/NetCommons3/ 【7】複数の VMware 製品にアクセス制御不備の脆弱性 情報源 US-CERT Current Activity VMware Releases Security Update for Harbor Container Registry for PCF https://www.us-cert.gov/ncas/current-activity/2019/10/16/vmware-releases-security-update-harbor-container-registry-pcf 概要 複数の VMware 製品には、アクセス制御不備の脆弱性があります。結果として、 遠隔の第三者が、当該ソフトウェアを介してアクセス可能なプロジェクトに隣 接する別プロジェクトのコンテナイメージを取得・変更する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Harbor Registry がデプロイされている VMware Cloud Foundation - VMware Harbor Container Registry for PCF 1.8.4 より前の 1.8 系バージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2019-0016 https://www.vmware.com/security/advisories/VMSA-2019-0016.html 【8】Apple Swift にファイルディスクリプタの不適切な管理に関する問題 情報源 Japan Vulnerability Notes JVNVU#91825432 Apple Swift における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU91825432/ 概要 Apple Swift には、URLSession でのファイルディスクリプタの管理に問題が あります。結果として、第三者が情報を窃取する可能性があります。 対象となるバージョンは次のとおりです。 - Swift 5.1.1 for Ubuntu より前のバージョン この問題は、Apple Swift を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Apple Ubuntu 向け Swift 5.1.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210647 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Windows 7 および Windows Server 2008 R2 の延長サポート終了について 2019年10月17日 (米国時間)、US-CERT から Windows 7 および Windows Server 2008 R2 の延長サポート終了についての注意喚起が公開されました。 2020年1月14日をもって、当該製品の延長サポートが終了します。サポート終 了後は、マルウエアへの感染や情報漏えいなどの被害を受けやすくなります。 当該製品を利用している場合、サポートが行われているバージョンへの移行を お勧めします。 参考文献 (日本語) JPCERT/CC Windows 7 および Windows Server 2008 R2 の延長サポート終了について https://www.jpcert.or.jp/newsflash/2019101801.html マイクロソフト株式会社 2020 年 1 月 14 日に Windows 7 のサポートが終了します https://www.microsoft.com/ja-jp/windows/windows-7-end-of-life-support-information マイクロソフト株式会社 Windows Server 2008 および Windows Server 2008 R2 のサポート終了 https://support.microsoft.com/ja-jp/help/4456235/end-of-support-for-windows-server-2008-and-windows-server-2008-r2 マイクロソフト株式会社 Windows ライフサイクルのファクト シート https://support.microsoft.com/ja-jp/help/13853/windows-lifecycle-fact-sheet 参考文献 (英語) US-CERT Microsoft Ending Support for Windows 7 and Windows Server 2008 R2 https://www.us-cert.gov/ncas/alerts/aa19-290a ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJdsOhHAAoJEKntH+qu5CT/CR0P/0Ey4+26lQscLA8Qpt+bTCYU aLrzAKa/6uy7vrzD1ev1fMKShjSbg+hTRddSYsJjATrto8lD9UjzJRcPBBYIEHmX oTBoFcb7CInmvG5V49zIFEAkAPW29ISNCPXIF7e+mAFrq3/6MNXKRhniYv31WWes XlOHcJyOj64WPm8pNCvy3IGGOF/hQBpwR3OBi8PjliVA7rZShNJsy24Ax5qNIc+v IcVIKLqMfM1Hsly3AjtwSsQhJBf71YSgheGyBeaktmNshbEvlO1akqjV7et46fjy wqlUPG9Vc3PlrDxMWD4kFMY1iaAq+fXRpez4sBFfb2aRD3iTnaFIBpflcWtfxpZ5 TZfd2NIJ5jMYr0WkDaUciO45tXpF5Na17JBxpXp6HbFyt9ZftRqNKwJr0rQ1+6J4 eFmEzl3g7Bi+K/wCtUDldfUpVHF9tvTCppXkqbU/3acLpvC7pUaCqnttdy4JxTVN 46aO1fDRYT4lsgk6sJ8LBxgbih5ZvBu6HIzHET2Jf2hMilywScp4PxucmDzIIYQW sO1ufJjfa1D6LWiWEjv9+jo9d3yQeR4b2CyR2yYGUm0ksbj+liRPx0bARoO145XN bE2hlGbQHp/Xlyr+Be7lmA2elIka/4qWrKYZx3qTYuW7KfhYVzSXzsP5Mje0vVbJ EC6KWhNRFCLdDBpTPz/t =ZMKm -----END PGP SIGNATURE-----