<<< JPCERT/CC WEEKLY REPORT 2019-11-20 >>>
■11/10(日)〜11/16(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Intel 製品に脆弱性
【3】複数の Adobe 製品に脆弱性
【4】複数の VMware 製品に脆弱性
【5】Movable Type にオープンリダイレクトの脆弱性
【6】複数の三菱電機製 CPU ユニットにリソース枯渇の脆弱性
【7】オムロン製 CX-Supervisor に複数の脆弱性
【今週のひとくちメモ】「ジャパンセキュリティサミット2019」Day1 の開催
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194501.txt
https://www.jpcert.or.jp/wr/2019/wr194501.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases November 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/12/microsoft-releases-november-2019-security-updates
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Internet Explorer - Microsoft Edge (EdgeHTML ベース) - ChakraCore - Microsoft Office、Microsoft Office Services および Web Apps - オープン ソース ソフトウェア - Microsoft Exchange Server - Visual Studio - Azure Stack この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2019 年 11 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/164aa83e-499c-e911-a994-000d3a33c573JPCERT/CC 注意喚起
2019年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190042.html
【2】複数の Intel 製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#90354904
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU90354904US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/12/intel-releases-security-updates
概要
複数の Intel 製品には、脆弱性があります。結果として、遠隔の第三者が、 サービス運用妨害 (DoS) 攻撃を行ったり、情報を窃取したりするなどの可能 性があります。 影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel が提供するアドバイザリ情報を参照してください。
関連文書 (日本語)
JPCERT/CC
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019111301.html
関連文書 (英語)
Intel
IPAS: November 2019 Intel Platform Update (IPU)
https://blogs.intel.com/technology/2019/11/ipas-november-2019-intel-platform-update-ipu/Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.htmlIntel
INTEL-SA-00164 2019.2 IPU Intel TXT Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00164.htmlIntel
INTEL-SA-00210 2019.2 IPU Intel Processor Machine Check Error Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00210.htmlIntel
INTEL-SA-00219 2019.2 IPU Intel SGX with Intel Processor Graphics Update Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00219.htmlIntel
INTEL-SA-00220 2019.2 IPU Intel SGX and TXT Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00220.htmlIntel
INTEL-SA-00240 2019.2 IPU Intel Processor Security Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00240.htmlIntel
INTEL-SA-00241 2019.2 IPU Intel CSME, Intel SPS, Intel TXE, Intel AMT, Intel PTT and Intel DAL Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00241.htmlIntel
INTEL-SA-00242 2019.2 IPU Intel Graphics Driver for Windows and Linux Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00242.htmlIntel
INTEL-SA-00254 2019.2 IPU Intel Processor Graphics SMM Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00254.htmlIntel
INTEL-SA-00255 2019.2 IPU Intel Ethernet 700 Series Controllers Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00255.htmlIntel
INTEL-SA-00260 2019.2 IPU Intel Processor Graphics Update Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00260.htmlIntel
INTEL-SA-00270 2019.2 IPU TSX Asynchronous Abort Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00270.htmlIntel
INTEL-SA-00271 2019.2 IPU Intel Xeon Scalable Processors Voltage Setting Modulation Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00271.htmlIntel
INTEL-SA-00280 2019.2 IPU UEFI Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00280.htmlIntel
INTEL-SA-00287 Intel WIFI Drivers and Intel PROSet/Wireless WiFi Software extension DLL Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00287.htmlIntel
INTEL-SA-00288 Intel PROSet/Wireless WiFi Software Security Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00288.htmlIntel
INTEL-SA-00293 2019.2 IPU Intel SGX Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00293.htmlIntel
INTEL-SA-00309 Nuvoton CIR Driver for Windows 8 for Intel NUC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00309.htmlIntel
INTEL-SA-00313 Intel BMC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00313.html
【3】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/12/adobe-releases-security-updates
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を窃取したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Animate CC 2019 19.2.1 およびそれ以前 (Windows) - Illustrator CC 2019 23.1 およびそれ以前 (Windows) - Adobe Media Encoder 13.1 (Windows, macOS) - Adobe Bridge CC 9.1 (Windows, macOS) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019111302.htmlAdobe
Adobe Animate CC に関するセキュリティアップデート公開 | APSB19-34
https://helpx.adobe.com/jp/security/products/animate/apsb19-34.htmlAdobe
Adobe Illustrator に関するセキュリティアップデート公開 | APSB19-36
https://helpx.adobe.com/jp/security/products/illustrator/apsb19-36.htmlAdobe
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB19-52
https://helpx.adobe.com/jp/security/products/media-encoder/apsb19-52.htmlAdobe
Adobe Bridge CC に関するセキュリティアップデート公開 | APSB19-53
https://helpx.adobe.com/jp/security/products/bridge/apsb19-53.html
【4】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/12/vmware-releases-security-updates
概要
複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー ザがホスト OS 上で任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware vSphere ESXi 6.7 系 - VMware vSphere ESXi 6.5 系 - VMware vSphere ESXi 6.0 系 - VMware Workstation Pro / Player 15 系 - VMware Fusion / Pro 11 系 この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2019-0020
https://www.vmware.com/security/advisories/VMSA-2019-0020.htmlVMware Security Advisories
VMSA-2019-0021
https://www.vmware.com/security/advisories/VMSA-2019-0021.html
【5】Movable Type にオープンリダイレクトの脆弱性
情報源
Japan Vulnerability Notes JVN#65280626
Movable Type におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN65280626
概要
シックス・アパート株式会社が提供する Movable Type には、オープンリダイ レクトの脆弱性があります。結果として、遠隔の第三者が細工した URL にユー ザをアクセスさせることで、任意のウェブサイトにリダイレクトさせる可能性 があります。 対象となる製品およびバージョンは次のとおりです。 - Movable Type 7 r.4602 およびそれ以前 (Movable Type 7系) - Movable Type 6.5.0 および 6.5.1 (Movable Type 6.5系) - Movable Type 6.3.9 およびそれ以前 (Movable Type 6.3.x系、6.2.x系、6.1.x系、6.0.x系) - Movable Type Advanced 7 r.4602 およびそれ以前 (Movable Type 7系) - Movable Type Advanced 6.5.0 および 6.5.1 (Movable Type 6.5系) - Movable Type Advanced 6.3.9 およびそれ以前 (Movable Type 6.3.x系、6.2.x系、6.1.x系、6.0.x系) - Movable Type Premium 1.24 およびそれ以前 (Movable Type Premium 系) - Movable Type Premium (Advanced Edition) 1.24 およびそれ以前 (Movable Type Premium 系) この問題は、該当する製品をシックス・アパート株式会社が提供する修正済み のバージョンに更新することで解決します。詳細については、シックス・アパー ト株式会社が提供する情報を参照してください。
関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 6.5.2 / 6.3.10 / Movable Type 7 r. 4603 / Movable Type Premium 1.25 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2019/11/13-1100.html
【6】複数の三菱電機製 CPU ユニットにリソース枯渇の脆弱性
情報源
Japan Vulnerability Notes JVNVU#97094124
三菱電機製 MELSEC-Qシリーズ CPU ユニットおよび MELSEC-L シリーズ CPU ユニットの FTP サーバ機能にリソース枯渇の脆弱性
https://jvn.jp/vu/JVNVU97094124/
概要
三菱電機株式会社が提供する MELSEC-Q シリーズ CPU ユニットおよび MELSEC-L シリーズ CPU ユニットの FTP サーバ機能には、リソース枯渇の脆弱性があり ます。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能 性があります。 対象となる製品およびバージョンは次のとおりです。 MELSEC-Q シリーズ CPU ユニット - Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU (シリアル番号の上位5桁が 21081 およびそれ以前) - Q03/04/06/13/26UDVCPU (シリアル番号の上位5桁が 21081 およびそれ以前) - Q04/06/13/26UDPVCPU (シリアル番号の上位5桁が 21081 およびそれ以前) MELSEC-L シリーズ CPU ユニット - L02/06/26CPU, L26CPU-BT (シリアル番号の上位5桁が 21101 およびそれ以前) - L02/06/26CPU-P, L26CPU-PBT (シリアル番号の上位5桁が 21101 およびそれ以前) - L02/06/26CPU-CM, L26CPU-BT-CM (シリアル番号の上位5桁が 21101 およびそれ以前) この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン に更新することで解決します。詳細については、三菱電機株式会社が提供する 情報を参照してください。
関連文書 (日本語)
三菱電機株式会社
MELSEC-QシリーズCPU、およびMELSEC-LシリーズCPUにおけるFTPサーバ機能の脆弱性 (PDF)
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2019-002.pdf
関連文書 (英語)
ICS Advisory (ICSA-19-311-01)
Mitsubishi Electric MELSEC-Q Series and MELSEC-L Series CPU Modules
https://www.us-cert.gov/ics/advisories/icsa-19-311-01
【7】オムロン製 CX-Supervisor に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#94335589
オムロン製 CX-Supervisor に脆弱性
https://jvn.jp/vu/JVNVU94335589/
概要
オムロン株式会社が提供する CX-Supervisor には、複数の脆弱性があります。 結果として、遠隔の第三者が情報を窃取するなどの可能性があります。 対象となるバージョンは次のとおりです。 - CX-Supervisor バージョン 3.5 (12) およびそれ以前 この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参 照してください。
関連文書 (英語)
Omron
Release Notes For CX-Supervisor 3.5.1
https://www.myomron.com/index.php?action=kb&article=1713ICS Advisory (ICSA-19-309-01)
Omron CX-Supervisor
https://www.us-cert.gov/ics/advisories/icsa-19-309-01ICS Advisory (ICSA-19-318-04)
Omron CX-Supervisor
https://www.us-cert.gov/ics/advisories/icsa-19-318-04
■今週のひとくちメモ
○「ジャパンセキュリティサミット2019」Day1 の開催
2019年11月12日、ジャパンセキュリティサミット実行委員会は、「ジャパンセ キュリティサミット2019」Day1 を開催しました。IoT / クラウド等の諸機関 の連携と企業活動をテーマに、講演やパネルディスカッションが行われました。 日本スマートフォンセキュリティ協会 (JSSEC) からは、講演資料が公開され ています。また 2019年12月17日、12月18日に「ジャパンセキュリティサミット 2019」Day2 (セキュアな情報通信基盤の確立)、Day3 (情報セキュリティ人材 育成と女性 / シニア研究者の活動支援) の開催が予定されています。
参考文献 (日本語)
ジャパンセキュリティサミット実行委員会
ジャパンセキュリティサミット2019
https://security-summit.jp/日本スマートフォンセキュリティ協会 (JSSEC)
IoT導入に必要なセキュリティ対策をどう進めるか? (PDF)
https://www.jssec.org/dl/20191112_Etsuo_Gotou.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/