-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-0201 JPCERT/CC 2020-01-16 <<< JPCERT/CC WEEKLY REPORT 2020-01-16 >>> ―――――――――――――――――――――――――――――――――――――― ■01/05(日)〜01/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Mozilla 製品に脆弱性 【2】複数の Citrix 製品に脆弱性 【3】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性 【4】複数の Cisco 製品に脆弱性 【5】複数の Juniper 製品に脆弱性 【6】F-RevoCRM にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】Windows 7 および Windows Server 2008 / 2008 R2 のサポートが終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr200201.html https://www.jpcert.or.jp/wr/2020/wr200201.xml ============================================================================ 【1】複数の Mozilla 製品に脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox and Firefox ESR https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-releases-security-updates-firefox-and-firefox-esr US-CERT Current Activity Mozilla Patches Critical Vulnerability https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-patches-critical-vulnerability 概要 複数の Mozilla 製品には、脆弱性があります。 結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 72.0.1 より前のバージョン - Mozilla Firefox ESR 68.4.1 より前のバージョン - Mozilla Thunderbird 68.4.1 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 72 https://www.mozilla.org/en-US/security/advisories/mfsa2020-01 Mozilla Security Vulnerabilities fixed in Firefox ESR 68.4 https://www.mozilla.org/en-US/security/advisories/mfsa2020-02 Mozilla Security Vulnerabilities fixed in Firefox 72.0.1 and Firefox ESR 68.4.1 https://www.mozilla.org/en-US/security/advisories/mfsa2020-03 Mozilla Security Vulnerabilities fixed in Thunderbird 68.4.1 https://www.mozilla.org/en-US/security/advisories/mfsa2020-04 【2】複数の Citrix 製品に脆弱性 情報源 CERT/CC Vulnerability Note VU#619785 Citrix Application Delivery Controller and Citrix Gateway web server vulnerability https://www.kb.cert.org/vuls/id/619785/ 概要 複数の Citrix 製品には、脆弱性があります。結果として、遠隔の第三者が認 証無しで任意のコードを実行する可能性があります。 対象となる製品は次のとおりです。 - Citrix Application Delivery Controller - Citrix Gateway - NetScaler Application Delivery Controller - NetScaler Gateway 2020年1月15日現在、この問題に対する修正済みのバージョンは提供されてい ません。Citrix が本脆弱性に関する回避策のページを公開しています。また Citrix によると、2020年1月下旬に修正バージョンを提供予定とのことです。 詳細は、Citrix の情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92281641 Citrix Application Delivery Controller および Citrix Gateway web server における任意のコード実行が可能な脆弱性 https://jvn.jp/vu/JVNVU92281641/ 関連文書 (英語) Citrix Systems, Inc. CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway https://support.citrix.com/article/CTX267027 Citrix Systems, Inc. Mitigation Steps for CVE-2019-19781 https://support.citrix.com/article/CTX267679 【3】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2020/01/08/google-releases-security-updates-chrome 概要 Google Chrome には、解放済みメモリの使用が可能な脆弱性があります。結果 として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 79.0.3945.117 より前のバージョン (Windows, Mac, Linux) この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop.html 【4】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2020/01/09/cisco-releases-security-updates-multiple-products 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコマンドを実行するなどの可能性があります。 影響度 High の脆弱性情報に記載されている製品は次のとおりです。 - Cisco Webex Video Mesh Software - Cisco IOS Software - Cisco IOS XE Software ※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、 影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が 提供する情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Webex Video Mesh Node Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-webex-video Cisco Security Advisory Cisco IOS and Cisco IOS XE Software Web UI Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-ios-csrf 【5】複数の Juniper 製品に脆弱性 情報源 US-CERT Current Activity Juniper Networks Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/01/09/juniper-networks-releases-security-updates 概要 複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする などの可能性があります。 対象となる製品は次のとおりです。 - Junos OS - SBR Carrier - Contrail Networking - Junos Space この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更 新することで解決します。詳細は、Juniper が提供する情報を参照してくださ い。 関連文書 (日本語) Japan Vulnerability Notes JVN#07375820 Junos OS におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN07375820/ Japan Vulnerability Notes JVN#21753370 Junos OS におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN21753370/ 関連文書 (英語) Juniper Networks Security Advisories https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES Juniper Networks 2020-01 Security Bulletin: Junos OS: A specific SNMP command can trigger a high CPU usage Denial of Service in the RPD daemon. (CVE-2020-1600) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10979 Juniper Networks 2020-01 Security Bulletin: Junos OS: Upon receipt of certain types of malformed PCEP packets the pccd process may crash. (CVE-2020-1601) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10980 Juniper Networks 2020-01 Security Bulletin: Junos OS and Junos OS Evolved: Multiple vulnerabilities in JDHCPD allow for OS command injection and code execution of JDHCPD. https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10981 Juniper Networks 2020-01 Security Bulletin: Junos OS: Improper handling of specific IPv6 packets sent by clients eventually kernel crash (vmcore) the device. (CVE-2020-1603) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10982 Juniper Networks 2020-01 Security Bulletin: Junos OS: EX4300/EX4600/QFX3500/QFX5100 Series: Stateless IP firewall filter may fail to evaluate certain packets (CVE-2020-1604) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10983 Juniper Networks 2020-01 Security Bulletin: Junos OS: Path traversal vulnerability in J-Web (CVE-2020-1606) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10985 Juniper Networks 2020-01 Security Bulletin: Junos OS: Cross-Site Scripting (XSS) in J-Web (CVE-2020-1607) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10986 Juniper Networks 2020-01 Security Bulletin: Junos OS: MX Series: In BBE configurations, receipt of a specific MPLS or IPv6 packet causes a Denial of Service (CVE-2020-1608) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10987 Juniper Networks 2020-01 Security Bulletin: SBR Carrier: Multiple Vulnerabilities in OpenSSL https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10990 Juniper Networks 2020-01 Security Bulletin: SBR Carrier: Multiple Vulnerabilities in Net-SNMP https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10991 Juniper Networks 2020-01 Security Bulletin: Contrail Networking: Multiple Vulnerabilities have been resolved in release R1912 https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10992 Juniper Networks 2020-01 Security Bulletin: Junos Space: Multiple vulnerabilities resolved in 19.4R1 release. https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10993 【6】F-RevoCRM にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#97325754 F-RevoCRM におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN97325754/ 概要 シンキングリード株式会社が提供する F-RevoCRM には、クロスサイトスクリ プティングの脆弱性があります。結果として、遠隔の第三者が、当該製品を使 用しているユーザのブラウザ上で、任意のスクリプトを実行する可能性があり ます。 対象となるバージョンは次のとおりです。 - F-RevoCRM 6.0 から F-RevoCRM 6.5 patch6 までの 6 系のバージョン この問題は、F-RevoCRM にシンキングリード株式会社が提供するパッチを適用 することで解決します。詳細は、シンキングリード株式会社が提供する情報を 参照してください。 関連文書 (日本語) シンキングリード株式会社 F-RevoCRMバージョン6系の脆弱性と対応について https://f-revocrm.jp/2019/12/9393 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Windows 7 および Windows Server 2008 / 2008 R2 のサポートが終了 2020年1月14日をもって、Microsoft が提供する Windows 7 および Windows Server 2008 / 2008 R2 のサポートが終了しました。以降は、Windows 7 およ び Windows Server 2008 / 2008 R2 を実行している PC およびサーバに対し、 セキュリティ更新プログラムが提供されません。Windows 10 および Windows Server 2019 などの最新の OS にアップグレードすることを検討してください。 参考文献 (日本語) マイクロソフト株式会社 Windows 7 のサポートを本日で終了致します https://blogs.windows.com/japan/2020/01/14/0114_windows7eos/ マイクロソフト株式会社 2020 年 1 月 14 日に、Windows 7 のサポートが終了します https://support.microsoft.com/ja-jp/help/4057281/windows-7-support-will-end-on-january-14-2020 マイクロソフト株式会社 Windows Server 2008 および Windows Server 2008 R2 のサポート終了 https://support.microsoft.com/ja-jp/help/4456235/end-of-support-for-windows-server-2008-and-windows-server-2008-r2 JPCERT/CC Windows 7 および Windows Server 2008 R2 の延長サポート終了について https://www.jpcert.or.jp/newsflash/2019101801.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJeH6iJAAoJEKntH+qu5CT/jzEP/RQgAOiwhKH2lRZ5ZQOTzp0R XDIV+MR9nxo/ZDJ3xDRxkVsx4Q7+kLVr5ITruf9Yrw0GIjwRDGu8Mm44bI2EYov6 AF0u3vq5bJsx57A3pVH70WB3v74bkUxDd/EEmJHi05jGymjpM3Ki+JWiIUFXEEjy a3ttrLRjDbjcelPmhNXzWTESURwAqAGXkax5ODhy0VSuBbyRLDE4bKO1PlyGhH82 r6s33b/mBhirvob7pXGVYpNm5yq1cb6l9Uv8pkmySJJIlYiiIQThCXKp5noBMvxB fcaPU0zj/RemdGuFSqf0dcHE4v7VN/+8RgvCEEB4Je9/NBzdL5pXMJvUWySG/1ST Jb9al6ApA3nCEoXWV1UOh6wxP2ImNkdl6Hns2eNPaynP2ooIkAgyeP9VWRigmaqh OO0VNH3kUg3xKEaM+LNFpMzHd5mM2q10f8MK78sDYl7gtsPjeXPBefGPJi/Ctj8l drqay8Z+32CdP6AzS9F9XRPtE3Vs2VKXVLW6eJFSYNtVt6pRr/6BrSaQyGHw6K46 /CQBaElk1QQCc9Y5eLOHu7yKXH8Y9XlH1f5EiUwC8x+X3jyWNEiv2HGNmPgAYcQg c9KhgXLWWOJMqHdLVJY3LGXXXDe6UwdyuW5gSf9iu+XHLSeUTRnQQPLpruTvyNUs aa5jCMJFVMu+saSwzXzE =RP6V -----END PGP SIGNATURE-----