<<< JPCERT/CC WEEKLY REPORT 2019-10-30 >>>
■10/20(日)〜10/26(土) のセキュリティ関連情報
目 次
【1】複数の Mozilla 製品に脆弱性
【2】Google Chrome に複数の脆弱性
【3】PHP に任意のコード実行の脆弱性
【4】複数の VMware 製品に脆弱性
【5】複数の D-Link 製ルータにコマンドインジェクションの脆弱性
【6】複数のトレンドマイクロ製品に XML 外部実体参照 (XXE) の脆弱性
【7】PowerCMS にオープンリダイレクトの脆弱性
【今週のひとくちメモ】「ソフトウェア等の脆弱性関連情報に関する届出状況 2019年第3四半期(7月-9月) 」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194201.txt
https://www.jpcert.or.jp/wr/2019/wr194201.xml
【1】複数の Mozilla 製品に脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2019/10/23/mozilla-releases-security-updates-firefox-and-firefox-esrUS-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/10/24/mozilla-releases-security-update-thunderbird
概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Firefox 70 より前のバージョン - Firefox ESR 68.2 より前のバージョン - Thunderbird 68.2 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。
関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Firefox ESR 68.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-33/Mozilla
Security vulnerabilities fixed in Firefox 70
https://www.mozilla.org/en-US/security/advisories/mfsa2019-34/Mozilla
Security vulnerabilities fixed in Thunderbird 68.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-35/
【2】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/10/23/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の コードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 78.0.3904.70 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_22.html
【3】PHP に任意のコード実行の脆弱性
情報源
The PHP Group
PHP 7.3.11 Released
https://www.php.net/archive/2019.php#2019-10-24-2The PHP Group
PHP 7.2.24 Released
https://www.php.net/archive/2019.php#2019-10-24-1The PHP Group
PHP 7.1.33 Released
https://www.php.net/archive/2019.php#2019-10-24-3
概要
PHP には、遠隔の第三者が任意のコードを実行することが可能な脆弱性があり ます。 対象となるバージョンは次のとおりです。 - PHP 7.3.11 より前のバージョン - PHP 7.2.24 より前のバージョン - PHP 7.1.33 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。
関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.3.11
https://www.php.net/ChangeLog-7.php#7.3.11The PHP Group
PHP 7 ChangeLog Version 7.2.24
https://www.php.net/ChangeLog-7.php#7.2.24The PHP Group
PHP 7 ChangeLog Version 7.1.33
https://www.php.net/ChangeLog-7.php#7.1.33
【4】複数の VMware 製品に脆弱性
情報源
VMware Security Advisories
VMSA-2019-0018
https://www.vmware.com/security/advisories/VMSA-2019-0018.htmlVMware Security Advisories
VMSA-2019-0019
https://www.vmware.com/security/advisories/VMSA-2019-0019.html
概要
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、 中間者攻撃によって情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware vCenter Server Appliance 6.7u3a より前の 6.7 系のバージョン - VMware vCenter Server Appliance 6.5u3d より前の 6.5 系のバージョン - VMware vSphere ESXi 6.7 系のバージョン (ESXi670-201908101-SG 未適用) - VMware vSphere ESXi 6.5 系のバージョン (ESXi650-201910401-SG 未適用) - VMware Workstation Pro / Player 15.5.0 より前の 15 系のバージョン - VMware Fusion Pro / Fusion 11.5.0 より前の 11 系のバージョン (OSX) この問題は、該当する製品を VMware が提供するパッチを適用することで解決 します。詳細は、VMware が提供する情報を参照してください。
【5】複数の D-Link 製ルータにコマンドインジェクションの脆弱性
情報源
Vulnerability Note VU#766427
Multiple D-Link routers vulnerable to remote command execution
https://kb.cert.org/vuls/id/766427/
概要
複数の D-Link 製ルータには、コマンドインジェクションの脆弱性があります。 結果として、遠隔の第三者が、ルート権限で任意のコマンドを実行する可能性 があります。 対象となる製品は次のとおりです。 - DIR-615 - DIR-652 - DIR-655 - DIR-825 - DIR-835 - DIR-855L - DIR-862L - DIR-866L - DAP-1533 - DHP-1565 この問題の対象となっている製品は、すべて製品サポートが終了しています。 現行製品の使用を停止し、後継製品への移行を検討してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95198984
複数の D-Link 製ルータにおけるコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU95198984/
【6】複数のトレンドマイクロ製品に XML 外部実体参照 (XXE) の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99059651
トレンドマイクロ株式会社製の複数の製品における XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/vu/JVNVU99059651/
概要
複数のトレンドマイクロ製品には、XML 外部実体参照 (XXE) に関する脆弱性 があります。結果として、第三者が該当製品に有効化されている各 agent の 管理者権限を奪取した場合に、その agent を通じて XXE 攻撃を行う可能性が あります。 対象となる製品およびバージョンは次のとおりです。 - Trend Micro Deep Security Manager 12.0 より前のバージョン - Trend Micro Virtual Patch for Endpoint Manager 2.0 SP2 Patch7 およびそれ以前 なお開発者によると、Trend Micro Deep Security as a Service は本脆弱性 の影響を受けないとのことです。 この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの バージョンに更新するか、パッチを適用することで解決します。詳細は、トレ ンドマイクロ株式会社が提供する情報を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
「アラート/アドバイザリ」Trend Micro Deep Securityにおける XML External Entityに関する脆弱性(CVE-2019-9488)
https://success.trendmicro.com/jp/solution/1122942トレンドマイクロ株式会社
「アラート/アドバイザリ」Trend Micro Virtual Patch for Endpointにおける XML External Entityに関する脆弱性(CVE-2019-9488)
https://success.trendmicro.com/jp/solution/1123774
【7】PowerCMS にオープンリダイレクトの脆弱性
情報源
Japan Vulnerability Notes JVN#34634458
PowerCMS におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN34634458/
概要
アルファサード株式会社が提供する PowerCMS には、オープンリダイレクトの 脆弱性があります。結果として、遠隔の第三者が細工した URL にユーザをア クセスさせることで、任意のウェブサイトにリダイレクトさせる可能性があり ます。 対象となるバージョンは次のとおりです。 - PowerCMS 5.12 およびそれ以前の 5.x 系のバージョン - PowerCMS 4.42 およびそれ以前の 4.x 系のバージョン - PowerCMS 3.293 およびそれ以前の 3.x 系のバージョン この問題は、PowerCMS をアルファサード株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、アルファサード株式会社が提供 する情報を参照してください。
関連文書 (日本語)
アルファサード株式会社
PowerCMS 5.13 / 4.43 / 3.294 の提供を開始
https://www.powercms.jp/news/release-powercms-201910.html
■今週のひとくちメモ
○「ソフトウェア等の脆弱性関連情報に関する届出状況 2019年第3四半期(7月-9月) 」を公開
2019年10月24日、JPCERT/CC と IPA は「ソフトウェア等の脆弱性関連情報に 関する届出状況 2019年第3四半期(7月-9月) 」を公開しました。 2019年7月から9月までの、ソフトウエア、ウェブサイト等の脆弱性に関する取 扱状況や、開発者への要望をまとめています。
参考文献 (日本語)
JPCERT/CC
ソフトウェア等の脆弱性関連情報に関する届出状況 2019年第3四半期(7月-9月) (PDF)
https://www.jpcert.or.jp/press/2019/vulnREPORT_2019q3.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/