-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-4201 JPCERT/CC 2019-10-30 <<< JPCERT/CC WEEKLY REPORT 2019-10-30 >>> ―――――――――――――――――――――――――――――――――――――― ■10/20(日)〜10/26(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Mozilla 製品に脆弱性 【2】Google Chrome に複数の脆弱性 【3】PHP に任意のコード実行の脆弱性 【4】複数の VMware 製品に脆弱性 【5】複数の D-Link 製ルータにコマンドインジェクションの脆弱性 【6】複数のトレンドマイクロ製品に XML 外部実体参照 (XXE) の脆弱性 【7】PowerCMS にオープンリダイレクトの脆弱性 【今週のひとくちメモ】「ソフトウェア等の脆弱性関連情報に関する届出状況 2019年第3四半期(7月-9月) 」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr194201.html https://www.jpcert.or.jp/wr/2019/wr194201.xml ============================================================================ 【1】複数の Mozilla 製品に脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox and Firefox ESR https://www.us-cert.gov/ncas/current-activity/2019/10/23/mozilla-releases-security-updates-firefox-and-firefox-esr US-CERT Current Activity Mozilla Releases Security Update for Thunderbird https://www.us-cert.gov/ncas/current-activity/2019/10/24/mozilla-releases-security-update-thunderbird 概要 複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Firefox 70 より前のバージョン - Firefox ESR 68.2 より前のバージョン - Thunderbird 68.2 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (英語) Mozilla Security vulnerabilities fixed in Firefox ESR 68.2 https://www.mozilla.org/en-US/security/advisories/mfsa2019-33/ Mozilla Security vulnerabilities fixed in Firefox 70 https://www.mozilla.org/en-US/security/advisories/mfsa2019-34/ Mozilla Security vulnerabilities fixed in Thunderbird 68.2 https://www.mozilla.org/en-US/security/advisories/mfsa2019-35/ 【2】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2019/10/23/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。結果として、第三者が任意の コードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 78.0.3904.70 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_22.html 【3】PHP に任意のコード実行の脆弱性 情報源 The PHP Group PHP 7.3.11 Released https://www.php.net/archive/2019.php#2019-10-24-2 The PHP Group PHP 7.2.24 Released https://www.php.net/archive/2019.php#2019-10-24-1 The PHP Group PHP 7.1.33 Released https://www.php.net/archive/2019.php#2019-10-24-3 概要 PHP には、遠隔の第三者が任意のコードを実行することが可能な脆弱性があり ます。 対象となるバージョンは次のとおりです。 - PHP 7.3.11 より前のバージョン - PHP 7.2.24 より前のバージョン - PHP 7.1.33 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。 関連文書 (英語) The PHP Group PHP 7 ChangeLog Version 7.3.11 https://www.php.net/ChangeLog-7.php#7.3.11 The PHP Group PHP 7 ChangeLog Version 7.2.24 https://www.php.net/ChangeLog-7.php#7.2.24 The PHP Group PHP 7 ChangeLog Version 7.1.33 https://www.php.net/ChangeLog-7.php#7.1.33 【4】複数の VMware 製品に脆弱性 情報源 VMware Security Advisories VMSA-2019-0018 https://www.vmware.com/security/advisories/VMSA-2019-0018.html VMware Security Advisories VMSA-2019-0019 https://www.vmware.com/security/advisories/VMSA-2019-0019.html 概要 複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、 中間者攻撃によって情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware vCenter Server Appliance 6.7u3a より前の 6.7 系のバージョン - VMware vCenter Server Appliance 6.5u3d より前の 6.5 系のバージョン - VMware vSphere ESXi 6.7 系のバージョン (ESXi670-201908101-SG 未適用) - VMware vSphere ESXi 6.5 系のバージョン (ESXi650-201910401-SG 未適用) - VMware Workstation Pro / Player 15.5.0 より前の 15 系のバージョン - VMware Fusion Pro / Fusion 11.5.0 より前の 11 系のバージョン (OSX) この問題は、該当する製品を VMware が提供するパッチを適用することで解決 します。詳細は、VMware が提供する情報を参照してください。 【5】複数の D-Link 製ルータにコマンドインジェクションの脆弱性 情報源 Vulnerability Note VU#766427 Multiple D-Link routers vulnerable to remote command execution https://kb.cert.org/vuls/id/766427/ 概要 複数の D-Link 製ルータには、コマンドインジェクションの脆弱性があります。 結果として、遠隔の第三者が、ルート権限で任意のコマンドを実行する可能性 があります。 対象となる製品は次のとおりです。 - DIR-615 - DIR-652 - DIR-655 - DIR-825 - DIR-835 - DIR-855L - DIR-862L - DIR-866L - DAP-1533 - DHP-1565 この問題の対象となっている製品は、すべて製品サポートが終了しています。 現行製品の使用を停止し、後継製品への移行を検討してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95198984 複数の D-Link 製ルータにおけるコマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU95198984/ 【6】複数のトレンドマイクロ製品に XML 外部実体参照 (XXE) の脆弱性 情報源 Japan Vulnerability Notes JVNVU#99059651 トレンドマイクロ株式会社製の複数の製品における XML 外部実体参照 (XXE) に関する脆弱性 https://jvn.jp/vu/JVNVU99059651/ 概要 複数のトレンドマイクロ製品には、XML 外部実体参照 (XXE) に関する脆弱性 があります。結果として、第三者が該当製品に有効化されている各 agent の 管理者権限を奪取した場合に、その agent を通じて XXE 攻撃を行う可能性が あります。 対象となる製品およびバージョンは次のとおりです。 - Trend Micro Deep Security Manager 12.0 より前のバージョン - Trend Micro Virtual Patch for Endpoint Manager 2.0 SP2 Patch7 およびそれ以前 なお開発者によると、Trend Micro Deep Security as a Service は本脆弱性 の影響を受けないとのことです。 この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みの バージョンに更新するか、パッチを適用することで解決します。詳細は、トレ ンドマイクロ株式会社が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 「アラート/アドバイザリ」Trend Micro Deep Securityにおける XML External Entityに関する脆弱性(CVE-2019-9488) https://success.trendmicro.com/jp/solution/1122942 トレンドマイクロ株式会社 「アラート/アドバイザリ」Trend Micro Virtual Patch for Endpointにおける XML External Entityに関する脆弱性(CVE-2019-9488) https://success.trendmicro.com/jp/solution/1123774 【7】PowerCMS にオープンリダイレクトの脆弱性 情報源 Japan Vulnerability Notes JVN#34634458 PowerCMS におけるオープンリダイレクトの脆弱性 https://jvn.jp/jp/JVN34634458/ 概要 アルファサード株式会社が提供する PowerCMS には、オープンリダイレクトの 脆弱性があります。結果として、遠隔の第三者が細工した URL にユーザをア クセスさせることで、任意のウェブサイトにリダイレクトさせる可能性があり ます。 対象となるバージョンは次のとおりです。 - PowerCMS 5.12 およびそれ以前の 5.x 系のバージョン - PowerCMS 4.42 およびそれ以前の 4.x 系のバージョン - PowerCMS 3.293 およびそれ以前の 3.x 系のバージョン この問題は、PowerCMS をアルファサード株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、アルファサード株式会社が提供 する情報を参照してください。 関連文書 (日本語) アルファサード株式会社 PowerCMS 5.13 / 4.43 / 3.294 の提供を開始 https://www.powercms.jp/news/release-powercms-201910.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「ソフトウェア等の脆弱性関連情報に関する届出状況 2019年第3四半期(7月-9月) 」を公開 2019年10月24日、JPCERT/CC と IPA は「ソフトウェア等の脆弱性関連情報に 関する届出状況 2019年第3四半期(7月-9月) 」を公開しました。 2019年7月から9月までの、ソフトウエア、ウェブサイト等の脆弱性に関する取 扱状況や、開発者への要望をまとめています。 参考文献 (日本語) JPCERT/CC ソフトウェア等の脆弱性関連情報に関する届出状況 2019年第3四半期(7月-9月) (PDF) https://www.jpcert.or.jp/press/2019/vulnREPORT_2019q3.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJduNHeAAoJEKntH+qu5CT/Z6UP/2EZoqWqABPm1BNsub1qQpGw pSAGls15dUSzIbaKZ6BuPr5/yGjgga5auBSzNPwjItFoe1AEFIBQnkcRt7rQgt/s p5EfhPG4M45kkGyzzYdzDX0qvbCDNhwRt6v+zT30eO0RTvKvLgNmi66JXNZkjvbt SP8ol65gSjLBv/zNhnv2r1T8rMxW/+h0XoMWkTOasv5iF6nkc95n3ZLVf2cdOWCN gGKev8RQk7Yi7pXtRpfarICGuoiHANPKj5LMbj2UIinejqjbgF+iC/4qKd4k3Ram 0jNFtoHtR2M4yMHE/7EVT/chtKmubvO1juDWGO7NCEs/m7hI0ZzAdQJXx3OUCWmS 96Y5DZA4DOkPEthCIED2SU0FQyHNB+t8VTFcIJjGdLDbW6Fgn/9LLLuTlH9n4wIH 40OADFs77jmauu0Syi1Bd1RT8YB690WTWGi2Br2vqXAKXQcOcT43xsWZLMEfk6uG xNvTsGuHI9Vo81hIb1+jGoFmSPpH0hJ4Wq3trEDKjozT/gf3SUohqQv893ywkb/0 6VBCienOpah96z9uhjTlzirJazuQFcwzaewVmt/0/+OTHSpn12e9Iu1cCCm6djd4 3Ix33SfI0mTlXLP804hK5gA5GrulyCyw8JUyzZOIc9i4ieC2fj2z2mCBW2cccDKm GhbyHXFTHZKL45QwAaQF =Xk+i -----END PGP SIGNATURE-----