-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-4901 JPCERT/CC 2019-12-18 <<< JPCERT/CC WEEKLY REPORT 2019-12-18 >>> ―――――――――――――――――――――――――――――――――――――― ■12/08(日)〜12/14(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Apple 製品に脆弱性 【3】複数の Adobe 製品に脆弱性 【4】Google Chrome に複数の脆弱性 【5】複数の Intel 製品に脆弱性 【6】WordPress に複数の脆弱性 【7】Samba に複数の脆弱性 【8】OpenSSL に整数オーバーフローの脆弱性 【9】オムロン製 PLC CS、CJ および NJ シリーズに複数の脆弱性 【10】Kinza にクロスサイトスクリプティングの脆弱性 【11】WordPress 用プラグイン Custom Body Class に複数の脆弱性 【12】Athenz にオープンリダイレクトの脆弱性 【今週のひとくちメモ】JPCERT/CC Eyes「インターネットガバナンスフォーラム参加記」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr194901.html https://www.jpcert.or.jp/wr/2019/wr194901.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases December 2019 Security Updates https://www.us-cert.gov/ncas/current-activity/2019/12/10/microsoft-releases-december-2019-security-updates 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Internet Explorer - Microsoft Office、Microsoft Office Services および Web Apps - SQL Server - Visual Studio - Skype for Business この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2019 年 12 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2019-Dec JPCERT/CC 注意喚起 2019年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2019/at190046.html 【2】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Multiple Security Updates https://www.us-cert.gov/ncas/current-activity/2019/12/10/apple-releases-multiple-security-updates Japan Vulnerability Notes JVNVU#99404393 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU99404393/ 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を窃取したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 13.3 より前のバージョン - iOS 12.4.4 より前のバージョン - iPadOS 13.3 より前のバージョン - macOS Catalina 10.15.2 より前のバージョン - macOS Mojave 10.14.6 (Security Update 2019-002 未適用) - macOS High Sierra 10.13.6 (Security Update 2019-007 未適用) - watchOS 6.1.1 より前のバージョン - watchOS 5.3.4 より前のバージョン - tvOS 13.3 より前のバージョン - Safari 13.0.4 より前のバージョン - Xcode 11.3 より前のバージョン - iTunes for Windows 12.10.3 より前のバージョン - Windows 用 iCloud 7.16 (AAS 8.2 付属) より前のバージョン - Windows 用 iCloud 10.9 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Apple iOS 13.3 および iPadOS 13.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210785 Apple iOS 12.4.4 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210787 Apple macOS Catalina 10.15.2、セキュリティアップデート 2019-002 Mojave、セキュリティアップデート 2019-007 High Sierra のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210788 Apple watchOS 6.1.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210789 Apple watchOS 5.3.4 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210791 Apple tvOS 13.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210790 Apple Safari 13.0.4 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210792 Apple Xcode 11.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210796 Apple iTunes for Windows 12.10.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210793 Apple Windows 用 iCloud 7.16 (AAS 8.2 付属) のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210795 Apple Windows 用 iCloud 10.9 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210794 【3】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/12/10/adobe-releases-security-updates 概要 複数の Adobe 製品には、脆弱性があります。結果として、第三者が、任意の コードを実行したり、情報を窃取したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Acrobat Reader DC Continuous (2019.021.20056) およびそれ以前のバージョン (Windows, macOS) - Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30152) およびそれ以前のバージョン (Windows, macOS) - Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30505) およびそれ以前のバージョン (Windows, macOS) - Adobe Acrobat DC Continuous (2019.021.20056) およびそれ以前のバージョン (Windows, macOS) - Adobe Acrobat 2017 Classic 2017 (2017.011.30152) およびそれ以前のバージョン (Windows) - Adobe Acrobat 2017 Classic 2017 (2017.011.30155) およびそれ以前のバージョン (macOS) - Adobe Acrobat 2015 Classic 2015 (2015.006.30505) およびそれ以前のバージョン (Windows, macOS) - Adobe Photoshop CC 20.0.7 およびそれ以前のバージョン (Windows, macOS) - Adobe Photoshop CC 21.0.1 およびそれ以前のバージョン (Windows, macOS) - Adobe Brackets 1.14 およびそれ以前のバージョン (Windows, Linux, macOS) - Adobe ColdFusion 2018 アップデート 6 およびそれ以前のバージョン この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-55 https://helpx.adobe.com/jp/security/products/acrobat/apsb19-55.html Adobe Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB19-56 https://helpx.adobe.com/jp/security/products/photoshop/apsb19-56.html Adobe Brackets に関するセキュリティアップデート公開 | APSB19-57 https://helpx.adobe.com/jp/security/products/brackets/apsb19-57.html Adobe ColdFusion に関するセキュリティアップデート公開 | APSB19-58 https://helpx.adobe.com/jp/security/products/coldfusion/apsb19-58.html JPCERT/CC 注意喚起 Adobe Acrobat および Reader の脆弱性 (APSB19-55) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190045.html JPCERT/CC CyberNewsFlash 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2019121101.html 【4】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2019/12/10/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 79.0.3945.79 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2019/12/stable-channel-update-for-desktop.html 【5】複数の Intel 製品に脆弱性 情報源 US-CERT Current Activity Intel Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/12/10/intel-releases-security-updates Japan Vulnerability Notes JVNVU#93632155 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU93632155/ 概要 複数の Intel 製品には、脆弱性があります。結果として、第三者が権限を昇 格するなどの可能性があります。 影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel が提供するアドバイザリ情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Intel 製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2019121102.html 関連文書 (英語) Intel INTEL-SA-00230: Intel Dynamic Platform and Thermal Framework Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00230.html Intel INTEL-SA-00237: Linux Administrative Tools for Intel Network Adapters Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00237.html Intel INTEL-SA-00253: Intel Ethernet I218 Adapter Driver for Windows Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00253.html Intel INTEL-SA-00284: Intel FPGA SDK for OpenCL Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00284.html Intel INTEL-SA-00289: Intel Processors Voltage Settings Modification Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00289.html Intel INTEL-SA-00299: Control Center-I Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00299.html Intel INTEL-SA-00311: Intel Quartus Prime Pro Edition Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00311.html Intel INTEL-SA-00312: Intel SCS Platform Discovery Utility Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00312.html Intel INTEL-SA-00317: Unexpected Page Fault in Virtualized Environment Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00317.html Intel INTEL-SA-00323: Intel NUC Firmware Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00323.html Intel INTEL-SA-00324: Intel RST Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00324.html 【6】WordPress に複数の脆弱性 情報源 US-CERT Current Activity WordPress Releases Security and Maintenance Updates https://www.us-cert.gov/ncas/current-activity/2019/12/13/wordpress-releases-security-and-maintenance-updates 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユー ザのウェブブラウザ上で、任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - WordPress 5.3.1 より前のバージョン この問題は、WordPress を WordPress が提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 関連文書 (英語) WordPress WordPress 5.3.1 Security and Maintenance Release https://wordpress.org/news/2019/12/wordpress-5-3-1-security-and-maintenance-release/ 【7】Samba に複数の脆弱性 情報源 US-CERT Current Activity Samba Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/12/10/samba-releases-security-updates 概要 Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス 運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - Samba 4.11.3 より前の 4.11 系バージョン - Samba 4.10.11 より前の 4.10 系バージョン - Samba 4.9.17 より前の 4.9 系バージョン なお、既にサポートが終了している Samba 4.9 系より前のバージョンも影響 を受けるとのことです。 この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更 新することで解決します。詳細は、The Samba Team が提供する情報を参照し てください。 関連文書 (英語) The Samba Team DelegationNotAllowed not being enforced in protocol transition on Samba AD DC. https://www.samba.org/samba/security/CVE-2019-14870.html The Samba Team Samba AD DC zone-named record Denial of Service in DNS management server (dnsserver) https://www.samba.org/samba/security/CVE-2019-14861.html 【8】OpenSSL に整数オーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVNVU#90419651 OpenSSL における整数オーバーフローの脆弱性 https://jvn.jp/vu/JVNVU90419651/ 概要 OpenSSL には、整数オーバーフローの脆弱性があります。結果として、第 三者が秘密鍵を窃取する可能性があります。 対象となるバージョンは次のとおりです。 - OpenSSL 1.1.1 - OpenSSL 1.0.2 なお、OpenSSL 1.1.0 はサポートが終了しており、本件への影響は不明とのこ とです。そのため開発者は OpenSSL 1.1.1 へのアップグレードを推奨してい ます。 この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ さい。 関連文書 (英語) OpenSSL Project OpenSSL Security Advisory [6 December 2019] https://www.openssl.org/news/secadv/20191206.txt 【9】オムロン製 PLC CS、CJ および NJ シリーズに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#91952379 オムロン製 PLC CJ および PLC CS における複数の脆弱性 https://jvn.jp/vu/JVNVU91952379/ Japan Vulnerability Notes JVNVU#94348866 オムロン製 PLC CS, CJ および NJ シリーズにおける総当たり攻撃に対する脆弱性 https://jvn.jp/vu/JVNVU94348866/ 概要 オムロン株式会社が提供する PLC CS、CJ および NJ シリーズには、複数の脆 弱性があります。結果として、遠隔の第三者が、コマンドを実行したり、ロッ ク機能を制御したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Omron PLC CS シリーズの全てのバージョン - Omron PLC CJ シリーズの全てのバージョン - Omron PLC NJ シリーズの全てのバージョン オムロン株式会社はこの問題に対する回避策に関する情報を提供しています。 詳細は、オムロン株式会社が提供する情報を参照してください。 関連文書 (日本語) オムロン株式会社 弊社PLC(CSシリーズCPUおよびCJシリーズCPU)に対する外部機関からの脆弱性指摘について (PDF) https://www.omron-cxone.com/security/2019-12-06_PLC_JP.pdf 【10】Kinza にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#63047298 Kinza におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN63047298/ 概要 Dayz株式会社が提供する Kinza には、クロスサイトスクリプティングの脆弱 性があります。結果として、遠隔の第三者が、RSS リーダを使用しているユー ザのウェブブラウザ上で、任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Kinza (windows 版) version 5.9.2 およびそれ以前のバージョン - Kinza (Mac 版) version 5.0.0 およびそれ以前のバージョン この問題は、Kinza を Dayz株式会社が提供する修正済みのバージョンに更新 することで解決します。詳細は、Dayz株式会社が提供する情報を参照してくだ さい。 関連文書 (日本語) Kinza 更新履歴 https://www.kinza.jp/download/releases/ 【11】WordPress 用プラグイン Custom Body Class に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#26847507 WordPress 用プラグイン Custom Body Class における複数の脆弱性 https://jvn.jp/jp/JVN26847507/ 概要 WordPress 用プラグイン Custom Body Class には、複数の脆弱性があります。 結果として、遠隔の第三者が、当該製品の管理画面にアクセスしたユーザの ウェブブラウザ上で、任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Custom Body Class 0.6.0 およびそれ以前のバージョン この問題は、Custom Body Class を開発者が提供する修正済みのバージョンに 更新することで解決します。詳細は、開発者が提供する情報を参照してくださ い。 関連文書 (英語) Custom Body Class Changelog https://wordpress.org/plugins/wp-custom-body-class/#developers 【12】Athenz にオープンリダイレクトの脆弱性 情報源 Japan Vulnerability Notes JVN#57070811 Athenz におけるオープンリダイレクトの脆弱性 https://jvn.jp/jp/JVN57070811/ 概要 Athenz には、オープンリダイレクトの脆弱性があります。結果として、遠隔 の第三者が、細工した URL にユーザをアクセスさせることで、任意のウェブ サイトにリダイレクトさせる可能性があります。 対象となるバージョンは次のとおりです。 - Athenz v1.8.24 およびそれ以前のバージョン この問題は、Athenz を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) yahoo/athenz Athenz https://github.com/yahoo/athenz yahoo/athenz fix UI open redirect vulnerability #700 https://github.com/yahoo/athenz/pull/700 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CC Eyes「インターネットガバナンスフォーラム参加記」を公開 2019年12月10日(火)、JPCERT/CC は、ドイツの首都ベルリンで開催されたイン ターネットガバナンスフォーラム (以下、IGF) の参加記を、公式ブログ JPCERT/CC Eyes で公開しました。本記事では、IGF の概要や、会場で議論さ れていた内容の紹介の他、IGF におけるサイバーセキュリティの重要性につい て、本ブログ執筆者が所感などをまとめています。 参考文献 (日本語) JPCERT/CC Eyes インターネットガバナンスフォーラム参加記 https://blogs.jpcert.or.jp/ja/2019/12/post-4.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJd/HJrAAoJEKntH+qu5CT/XdkP/jww7djzxWMLJpNvTlmCunQ9 uwtApgDvDFcO1a2W7jIAAgqXug5Mor/xzKSAuYBuYFzojEDhIP/uIp1piTkxT71T mxeQ2whV/cU+CN2I6/QHWdxITWfYBLUh+hrxqNDNk8tImjM6YAMFmNwf0UTKRwxW C8BbNXFyKkR4IiW4pRFAOFbFTgaF8XD4/PaRAnxP6Uu5sLP3/qmbMNhEwvF1yq2P jUAQqjCyVvkDBKG276tjjVUwJ3hyTMEXQhsnseqCfJp2BfpwK5c0apX9FOUhfBLR AKcnK5G4kFG44C00aCg5IK7GGroMqF1Ts7Nr/N4kljiN+iu1ZpzVqWLQZvMKPkUS poCHrrROC2+vlRCAKIS25rZ+xSoRNCCn7owZv6IKnDCFH0WB9pB59QIgaidXXriy Q5nzwA47A/tS6BDLljxsX12pU1GvtvvOQGQnnANBYr7NeHeskMREJ8+l85Pp9zo1 Sv86HeBV5+qyyy8GAgi69OGRBktg/jhI3fNht3BmtlsknPVhDc5vRqcweGspxRNU 6r3q27w9bFgG0CCdpw+pzWuATtN1lng0YQ1y8Yd3bxP631L+4I/lqEDv2cQEh8L4 LMOoH9DnH9LSp03vmv42wNJjHezP7/6ByzkKbg7KoWS6NfMHUf2tIjQ/rEMGirY2 ahW8Fj3CsHaICLgjl/EF =nJNV -----END PGP SIGNATURE-----