-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-4601 JPCERT/CC 2019-11-27 <<< JPCERT/CC WEEKLY REPORT 2019-11-27 >>> ―――――――――――――――――――――――――――――――――――――― ■11/17(日)〜11/23(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 【2】Google Chrome に複数の脆弱性 【3】Android 版 Microsoft Outlook にメールスプーフィングによる攻撃が可能な脆弱性 【今週のひとくちメモ】「第11回TCG日本支部公開ワークショップ」、「SecurityDay2019」開催のお知らせ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr194601.html https://www.jpcert.or.jp/wr/2019/wr194601.xml ============================================================================ 【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Current Activity ISC Releases Security Advisory for BIND https://www.us-cert.gov/ncas/current-activity/2019/11/21/isc-releases-security-advisory-bind 概要 ISC BIND には、TCP クライアントの同時接続数の制限を迂回し、システムリ ソースを過度に消費できる脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.14.1 から 9.14.7 まで - BIND 9.12.4-P1 から 9.12.4-P2 まで - BIND 9.11.6-P1 から 9.11.12 まで - BIND Supported Preview Edition 9.11.5-S6 から 9.11.12-S1 まで なお、ISC によると開発版の BIND 9.15 系についても影響を受けます。また BIND 9.11.0 より前のバージョンは、本脆弱性の検証対象外とのことです。 この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) 株式会社日本レジストリサービス(JPRS) (緊急)BIND 9.xの脆弱性(システムリソースの過度な消費)について(CVE-2019-6477) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 - https://jprs.jp/tech/security/2019-11-21-bind9-vuln-tcp-pipelining.html Japan Vulnerability Notes JVNVU#98706074 ISC BIND にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU98706074/ JPCERT/CC 注意喚起 ISC BIND 9 の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190043.html 関連文書 (英語) Internet Systems Consortium, Inc. (ISC) CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit https://kb.isc.org/docs/cve-2019-6477 【2】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2019/11/19/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 78.0.3904.108 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2019/11/stable-channel-update-for-desktop_18.html 【3】Android 版 Microsoft Outlook にメールスプーフィングによる攻撃が可能な脆弱性 情報源 US-CERT Current Activity Microsoft Releases Outlook for Android Security Update https://www.us-cert.gov/ncas/current-activity/2019/11/21/microsoft-releases-outlook-android-security-update 概要 Android 版 Microsoft Outlook には、メールスプーフィングによる攻撃が可 能な脆弱性があります。結果として、遠隔の第三者が細工したメールを送信す ることで、メールの受信者の security context 上でスクリプトを実行する可 能性があります。 この問題は、Android 版 Microsoft Outlook を Microsoft が提供する修正済 みのバージョンに更新することで解決します。詳細は、Microsoft が提供する 情報を参照してください。 関連文書 (英語) Microsoft CVE-2019-1460 | Outlook for Android Spoofing Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1460 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「第11回TCG日本支部公開ワークショップ」、「SecurityDay2019」開催のお知らせ ・第11回TCG日本支部公開ワークショップ 2019年12月18日 (水) に秋葉原で「第11回TCG日本支部公開ワークショップ」 が開催されます。TCG日本支部が主催する本イベントは「IOT時代に求められる Security by designのその先へ」をテーマに講演やパネルディスカッションが 行われます。JPCERT/CC は本イベントでの講演、および運営に協力しています。 参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第 締め切りとなります。 参加費: 無料 日時および場所: 12月18日 (水) 13:00 - 19:30 秋葉原UDX 4F GALLERY NEXT1 & 3 (東京都千代田区外神田四丁目14-1) ・SecurityDay2019 2019年12月20日 (金) に熱海市で「SecurityDay2019」が開催されます。 SecurityDay運営委員会が主催する本イベントは、2019年を振り返り、これか らのセキュリティについて参加者と意見交換を行うことを目的としています。 JPCERT/CC は本イベントでの講演、および運営に協力しています。 参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第 締め切りとなります。 参加費: 無料 日時および場所: 2019年12月20日 (金) 09:55 - 18:00 KKRホテル熱海 (静岡県熱海市春日町7-39) 参考文献 (日本語) TCG 日本支部 (TCG Japan Regional Forum) 第11回TCG日本支部公開ワークショップ https://trustedcomputinggroup.org/work-groups/regional-forums/japan/jrfworkshop/ SecurityDay運営委員会 SecurityDay2019 http://www.securityday.jp/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJd3cH6AAoJEKntH+qu5CT/eIEQAIRFKmTNc8CfFp3jz4GEtKSc Lv3PfBirjtDFeGBDTpy13fEJkA54a7lMu98xBS6LEYSQ9inA0us/Y9ihDfW0lIM4 D4wk7DUSg916Xq34BcfS5hKc1msaWm19w0OVkJQ2SgSNeZ/Ua2r4RmUVvxTF7YLj rExUu8+3AlRFkLienJaNn93h2uhQ1fbziyCvBjOyFgXKOtRxxyBLJeLfVDjFAGSD JP8hblusV72ptHi9wCy/i52wf6e8GG4rajTNk6O5Uw764iZ+h6vFSL7BXJwK2rFv IXRm2TpeSU66Z3w7GAPwCwc6L0ikxuFxjCKBDlYf8GemOJd1vTyxaDmLg7KDro/+ W/NYU9/2DkWJ8P/oXLJVQV4j/eJ4cVftrCMoVtd2SA+M3VOaG1C04ko8FRn+E25J GmWJq/q57h5JY7jJZN89W+BI/qcBdt/0d/JQnDDI+5tJxV1lZ8fq4ExgJG2fjgVB 9xfof30PEIxH/2ilAS1sF19q4m2waNo+lVpkRpD2EgiFbpSQSohz7pymndbASOki XWUOySONlSYoKqiqCWc4FTAVC3cBoYqhM8etqkllJJshSKex0MwZHQs/BGsGNDuk IQldEBHxQ+h2gaXFuEM6oSLtWs2k+lc/ru2smy9/YLqUAgcK4eg1tIAy8Lqa0+im 8Up1eYZW9pQWGxRJdVbY =+n7T -----END PGP SIGNATURE-----