-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-4501 JPCERT/CC 2019-11-20 <<< JPCERT/CC WEEKLY REPORT 2019-11-20 >>> ―――――――――――――――――――――――――――――――――――――― ■11/10(日)〜11/16(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Intel 製品に脆弱性 【3】複数の Adobe 製品に脆弱性 【4】複数の VMware 製品に脆弱性 【5】Movable Type にオープンリダイレクトの脆弱性 【6】複数の三菱電機製 CPU ユニットにリソース枯渇の脆弱性 【7】オムロン製 CX-Supervisor に複数の脆弱性 【今週のひとくちメモ】「ジャパンセキュリティサミット2019」Day1 の開催 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr194501.html https://www.jpcert.or.jp/wr/2019/wr194501.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases November 2019 Security Updates https://www.us-cert.gov/ncas/current-activity/2019/11/12/microsoft-releases-november-2019-security-updates 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Internet Explorer - Microsoft Edge (EdgeHTML ベース) - ChakraCore - Microsoft Office、Microsoft Office Services および Web Apps - オープン ソース ソフトウェア - Microsoft Exchange Server - Visual Studio - Azure Stack この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2019 年 11 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/164aa83e-499c-e911-a994-000d3a33c573 JPCERT/CC 注意喚起 2019年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2019/at190042.html 【2】複数の Intel 製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#90354904 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU90354904 US-CERT Current Activity Intel Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/11/12/intel-releases-security-updates 概要 複数の Intel 製品には、脆弱性があります。結果として、遠隔の第三者が、 サービス運用妨害 (DoS) 攻撃を行ったり、情報を窃取したりするなどの可能 性があります。 影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel が提供するアドバイザリ情報を参照してください。 関連文書 (日本語) JPCERT/CC Intel 製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2019111301.html 関連文書 (英語) Intel IPAS: November 2019 Intel Platform Update (IPU) https://blogs.intel.com/technology/2019/11/ipas-november-2019-intel-platform-update-ipu/ Intel Intel Product Security Center Advisories https://www.intel.com/content/www/us/en/security-center/default.html Intel INTEL-SA-00164 2019.2 IPU Intel TXT Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00164.html Intel INTEL-SA-00210 2019.2 IPU Intel Processor Machine Check Error Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00210.html Intel INTEL-SA-00219 2019.2 IPU Intel SGX with Intel Processor Graphics Update Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00219.html Intel INTEL-SA-00220 2019.2 IPU Intel SGX and TXT Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00220.html Intel INTEL-SA-00240 2019.2 IPU Intel Processor Security Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00240.html Intel INTEL-SA-00241 2019.2 IPU Intel CSME, Intel SPS, Intel TXE, Intel AMT, Intel PTT and Intel DAL Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00241.html Intel INTEL-SA-00242 2019.2 IPU Intel Graphics Driver for Windows and Linux Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00242.html Intel INTEL-SA-00254 2019.2 IPU Intel Processor Graphics SMM Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00254.html Intel INTEL-SA-00255 2019.2 IPU Intel Ethernet 700 Series Controllers Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00255.html Intel INTEL-SA-00260 2019.2 IPU Intel Processor Graphics Update Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00260.html Intel INTEL-SA-00270 2019.2 IPU TSX Asynchronous Abort Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00270.html Intel INTEL-SA-00271 2019.2 IPU Intel Xeon Scalable Processors Voltage Setting Modulation Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00271.html Intel INTEL-SA-00280 2019.2 IPU UEFI Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00280.html Intel INTEL-SA-00287 Intel WIFI Drivers and Intel PROSet/Wireless WiFi Software extension DLL Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00287.html Intel INTEL-SA-00288 Intel PROSet/Wireless WiFi Software Security Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00288.html Intel INTEL-SA-00293 2019.2 IPU Intel SGX Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00293.html Intel INTEL-SA-00309 Nuvoton CIR Driver for Windows 8 for Intel NUC Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00309.html Intel INTEL-SA-00313 Intel BMC Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00313.html 【3】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/11/12/adobe-releases-security-updates 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を窃取したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Animate CC 2019 19.2.1 およびそれ以前 (Windows) - Illustrator CC 2019 23.1 およびそれ以前 (Windows) - Adobe Media Encoder 13.1 (Windows, macOS) - Adobe Bridge CC 9.1 (Windows, macOS) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2019111302.html Adobe Adobe Animate CC に関するセキュリティアップデート公開 | APSB19-34 https://helpx.adobe.com/jp/security/products/animate/apsb19-34.html Adobe Adobe Illustrator に関するセキュリティアップデート公開 | APSB19-36 https://helpx.adobe.com/jp/security/products/illustrator/apsb19-36.html Adobe Adobe Media Encoder に関するセキュリティアップデート公開 | APSB19-52 https://helpx.adobe.com/jp/security/products/media-encoder/apsb19-52.html Adobe Adobe Bridge CC に関するセキュリティアップデート公開 | APSB19-53 https://helpx.adobe.com/jp/security/products/bridge/apsb19-53.html 【4】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/11/12/vmware-releases-security-updates 概要 複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー ザがホスト OS 上で任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware vSphere ESXi 6.7 系 - VMware vSphere ESXi 6.5 系 - VMware vSphere ESXi 6.0 系 - VMware Workstation Pro / Player 15 系 - VMware Fusion / Pro 11 系 この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2019-0020 https://www.vmware.com/security/advisories/VMSA-2019-0020.html VMware Security Advisories VMSA-2019-0021 https://www.vmware.com/security/advisories/VMSA-2019-0021.html 【5】Movable Type にオープンリダイレクトの脆弱性 情報源 Japan Vulnerability Notes JVN#65280626 Movable Type におけるオープンリダイレクトの脆弱性 https://jvn.jp/jp/JVN65280626 概要 シックス・アパート株式会社が提供する Movable Type には、オープンリダイ レクトの脆弱性があります。結果として、遠隔の第三者が細工した URL にユー ザをアクセスさせることで、任意のウェブサイトにリダイレクトさせる可能性 があります。 対象となる製品およびバージョンは次のとおりです。 - Movable Type 7 r.4602 およびそれ以前 (Movable Type 7系) - Movable Type 6.5.0 および 6.5.1 (Movable Type 6.5系) - Movable Type 6.3.9 およびそれ以前 (Movable Type 6.3.x系、6.2.x系、6.1.x系、6.0.x系) - Movable Type Advanced 7 r.4602 およびそれ以前 (Movable Type 7系) - Movable Type Advanced 6.5.0 および 6.5.1 (Movable Type 6.5系) - Movable Type Advanced 6.3.9 およびそれ以前 (Movable Type 6.3.x系、6.2.x系、6.1.x系、6.0.x系) - Movable Type Premium 1.24 およびそれ以前 (Movable Type Premium 系) - Movable Type Premium (Advanced Edition) 1.24 およびそれ以前 (Movable Type Premium 系) この問題は、該当する製品をシックス・アパート株式会社が提供する修正済み のバージョンに更新することで解決します。詳細については、シックス・アパー ト株式会社が提供する情報を参照してください。 関連文書 (日本語) シックス・アパート株式会社 [重要] Movable Type 6.5.2 / 6.3.10 / Movable Type 7 r. 4603 / Movable Type Premium 1.25 の提供を開始(セキュリティアップデート) https://www.sixapart.jp/movabletype/news/2019/11/13-1100.html 【6】複数の三菱電機製 CPU ユニットにリソース枯渇の脆弱性 情報源 Japan Vulnerability Notes JVNVU#97094124 三菱電機製 MELSEC-Qシリーズ CPU ユニットおよび MELSEC-L シリーズ CPU ユニットの FTP サーバ機能にリソース枯渇の脆弱性 https://jvn.jp/vu/JVNVU97094124/ 概要 三菱電機株式会社が提供する MELSEC-Q シリーズ CPU ユニットおよび MELSEC-L シリーズ CPU ユニットの FTP サーバ機能には、リソース枯渇の脆弱性があり ます。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能 性があります。 対象となる製品およびバージョンは次のとおりです。 MELSEC-Q シリーズ CPU ユニット - Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU (シリアル番号の上位5桁が 21081 およびそれ以前) - Q03/04/06/13/26UDVCPU (シリアル番号の上位5桁が 21081 およびそれ以前) - Q04/06/13/26UDPVCPU (シリアル番号の上位5桁が 21081 およびそれ以前) MELSEC-L シリーズ CPU ユニット - L02/06/26CPU, L26CPU-BT (シリアル番号の上位5桁が 21101 およびそれ以前) - L02/06/26CPU-P, L26CPU-PBT (シリアル番号の上位5桁が 21101 およびそれ以前) - L02/06/26CPU-CM, L26CPU-BT-CM (シリアル番号の上位5桁が 21101 およびそれ以前) この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン に更新することで解決します。詳細については、三菱電機株式会社が提供する 情報を参照してください。 関連文書 (日本語) 三菱電機株式会社 MELSEC-QシリーズCPU、およびMELSEC-LシリーズCPUにおけるFTPサーバ機能の脆弱性 (PDF) https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2019-002.pdf 関連文書 (英語) ICS Advisory (ICSA-19-311-01) Mitsubishi Electric MELSEC-Q Series and MELSEC-L Series CPU Modules https://www.us-cert.gov/ics/advisories/icsa-19-311-01 【7】オムロン製 CX-Supervisor に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#94335589 オムロン製 CX-Supervisor に脆弱性 https://jvn.jp/vu/JVNVU94335589/ 概要 オムロン株式会社が提供する CX-Supervisor には、複数の脆弱性があります。 結果として、遠隔の第三者が情報を窃取するなどの可能性があります。 対象となるバージョンは次のとおりです。 - CX-Supervisor バージョン 3.5 (12) およびそれ以前 この問題は、該当する製品をオムロン株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、オムロン株式会社が提供する情報を参 照してください。 関連文書 (英語) Omron Release Notes For CX-Supervisor 3.5.1 https://www.myomron.com/index.php?action=kb&article=1713 ICS Advisory (ICSA-19-309-01) Omron CX-Supervisor https://www.us-cert.gov/ics/advisories/icsa-19-309-01 ICS Advisory (ICSA-19-318-04) Omron CX-Supervisor https://www.us-cert.gov/ics/advisories/icsa-19-318-04 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「ジャパンセキュリティサミット2019」Day1 の開催 2019年11月12日、ジャパンセキュリティサミット実行委員会は、「ジャパンセ キュリティサミット2019」Day1 を開催しました。IoT / クラウド等の諸機関 の連携と企業活動をテーマに、講演やパネルディスカッションが行われました。 日本スマートフォンセキュリティ協会 (JSSEC) からは、講演資料が公開され ています。また 2019年12月17日、12月18日に「ジャパンセキュリティサミット 2019」Day2 (セキュアな情報通信基盤の確立)、Day3 (情報セキュリティ人材 育成と女性 / シニア研究者の活動支援) の開催が予定されています。 参考文献 (日本語) ジャパンセキュリティサミット実行委員会 ジャパンセキュリティサミット2019 https://security-summit.jp/ 日本スマートフォンセキュリティ協会 (JSSEC) IoT導入に必要なセキュリティ対策をどう進めるか? (PDF) https://www.jssec.org/dl/20191112_Etsuo_Gotou.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJd1IEqAAoJEKntH+qu5CT/rzYP/2YHJpWFGxIduNOpuSuPJ9nu 6znyJggHVl/4V6w4C510eyXXUpw+qqmfmGLRLY9X36uZb4YAC1azuyntw4nPB7Dj d+qWajkQof9z+e20boSqEDUmoP+e9AJMGr4b+KNPczaC/A//U/IgX6jMrWYUtgOW BZvdRXOKHnE4lpXOsp5OaslZfyuddwAqidCtxKdwU/7uRjrqXxEfbWEXh3xsw+v6 uckY3RwwrtNBSmz1l/SmZBKuGpIeiXryI0M1BCwNthrUGZIPgUqgwGGnpZXK5Lfd /QPSfGxHUx7jjrehDy8et/OwAp/1cTd+HR2uL5K5TLEnGd15/FEj66zYiKrL99gQ DD8W7pr2dW3h8apkttdIgI4H6MPi9+AxLwoGxLzFM98fu9W/NTJedzedDqQ9tOKI Hw6ikRDKzrpx4UY/Ai35XmA9S2a7gaaAaETZyGTQ9BHM8nr0bL/FAjOnXxzKdMBY +88gxwUxAW7l9c712f7FoiJRMfKxOZEJ4zX5+3hgn18B/6Uvr2IFEFrTh3oN9Xan A7Si1Q6FmGe5iADP/7NmldxZnkJsiD/93hkWp23fJX1JXtVkqf/imz5jdRjOVDPj 0bGglCCBz202czJh8LdWexkj97y6fIU7SpSuSvCunuVi49EEiJt0EgxVl0KnkotV GzMTK2FicuAHIjPLh7o2 =DjxC -----END PGP SIGNATURE-----