-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-0401 JPCERT/CC 2020-01-29 <<< JPCERT/CC WEEKLY REPORT 2020-01-29 >>> ―――――――――――――――――――――――――――――――――――――― ■01/19(日)〜01/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Cisco 製品に脆弱性 【2】Samba に複数の脆弱性 【3】PHP に複数の脆弱性 【4】富士ゼロックス製の複数のスマートフォンアプリに SSL サーバ証明書の検証不備の脆弱性 【今週のひとくちメモ】サイバーセキュリティ月間について ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr200401.html https://www.jpcert.or.jp/wr/2020/wr200401.xml ============================================================================ 【1】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/01/23/cisco-releases-security-updates US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/01/24/cisco-releases-security-updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする などの可能性があります。 影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで す。 - Cisco Firepower Management Center Software - Cisco TelePresence Collaboration Endpoint Software - Cisco TelePresence Codec Software - Cisco RoomOS Software - Cisco IOS XE SD-WAN Software - Cisco SD-WAN Solution vManage Software - Cisco Smart Software Manager On-Prem - Cisco IOS XR Software - Cisco Webex Meetings Suite sites - Cisco Webex Meetings Online sites ※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、 影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が提 供する情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Firepower Management Center Lightweight Directory Access Protocol Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-fmc-auth Cisco Security Advisory Cisco TelePresence Collaboration Endpoint, TelePresence Codec, and RoomOS Software Path Traversal Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-telepresence-path-tr-wdrnYEZZ Cisco Security Advisory Cisco IOS XE SD-WAN Software Default Credentials Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sd-wan-cred-EVGSF259 Cisco Security Advisory Cisco SD-WAN Solution Local Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-sdwan-priv-esc Cisco Security Advisory Cisco Smart Software Manager On-Prem Web Interface Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-on-prem-dos Cisco Security Advisory Cisco IOS XR Software BGP EVPN Operational Routes Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-ios-xr-routes Cisco Security Advisory Cisco IOS XR Software BGP EVPN Denial of Service Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-ios-xr-evpn Cisco Security Advisory Cisco IOS XR Software Intermediate System-to-Intermediate System Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-ios-xr-dos Cisco Security Advisory Cisco Webex Meetings Suite and Cisco Webex Meetings Online Unauthenticated Meeting Join Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200124-webex-unauthjoin 【2】Samba に複数の脆弱性 情報源 US-CERT Current Activity Samba Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/01/21/samba-releases-security-updates 概要 Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス 運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - Samba 4.11.5 より前の 4.11 系バージョン - Samba 4.10.12 より前の 4.10 系バージョン - Samba 4.9.18 より前の 4.9 系バージョン なお、既にサポートが終了している Samba 4.9 系より前のバージョンも影響 を受けるとのことです。 この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更 新することで解決します。詳細は、The Samba Team が提供する情報を参照し てください。 関連文書 (英語) The Samba Team Samba Security Releases https://www.samba.org/samba/history/security.html The Samba Team Replication of ACLs set to inherit down a subtree on AD Directory not automatic https://www.samba.org/samba/security/CVE-2019-14902.html The Samba Team Crash after failed character conversion at log level 3 or above https://www.samba.org/samba/security/CVE-2019-14907.html The Samba Team Use after free during DNS zone scavenging in Samba AD DC https://www.samba.org/samba/security/CVE-2019-19344.html 【3】PHP に複数の脆弱性 情報源 The PHP Group PHP 7.4.2 Released https://www.php.net/archive/2020.php#2020-01-23-1 The PHP Group PHP 7.3.14 Released https://www.php.net/archive/2020.php#2020-01-23-3 The PHP Group PHP 7.2.27 Released https://www.php.net/archive/2020.php#2020-01-23-2 概要 PHP には、複数の脆弱性があります。結果として、第三者が任意のコードを実 行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - PHP 7.4.2 より前のバージョン - PHP 7.3.14 より前のバージョン - PHP 7.2.27 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。 関連文書 (英語) The PHP Group PHP 7 ChangeLog Version 7.4.2 https://www.php.net/ChangeLog-7.php#7.4.2 The PHP Group PHP 7 ChangeLog Version 7.3.14 https://www.php.net/ChangeLog-7.php#7.3.14 The PHP Group PHP 7 ChangeLog Version 7.2.27 https://www.php.net/ChangeLog-7.php#7.2.27 【4】富士ゼロックス製の複数のスマートフォンアプリに SSL サーバ証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#66435380 富士ゼロックス製の複数のスマートフォンアプリにおける SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN66435380/ 概要 富士ゼロックス製の複数のスマートフォンアプリには、SSL サーバ証明書の検 証不備の脆弱性があります。結果として、遠隔の第三者が中間者攻撃によって 暗号通信の盗聴を行うなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS アプリ「netprint」 3.2.3 およびそれ以前のバージョン - iOS アプリ「かんたんnetprint」 2.0.2 およびそれ以前のバージョン - Android アプリ「かんたんnetprint」 2.0.3 およびそれ以前のバージョン この問題は、該当する製品を富士ゼロックス株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、富士ゼロックス株式会社が提供 する情報を参照してください。 関連文書 (日本語) 富士ゼロックス株式会社 ネットプリントサービスのスマートフォンアプリの不具合(脆弱性)について https://www.printing.ne.jp/support/information/AppVulnerability.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○サイバーセキュリティ月間について 2月1日から 3月18日は、「サイバーセキュリティ月間」です。昨今、不審メー ルや情報漏えいなど、サイバーセキュリティに関する問題が多数報じられてい ます。こうした問題に対応していくためにも、日本政府はサイバーセキュリティ に関する普及啓発活動として、今年も日本全国各地で様々なイベントの開催や ポスター掲示などの取り組みを行います。興味のある方は、是非参加をご検討 ください。 参考文献 (日本語) 内閣サイバーセキュリティセンター (NISC) サイバーセキュリティ月間 https://www.nisc.go.jp/security-site/month/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJeMMwmAAoJEKntH+qu5CT/hKIP/0C2r3eZOTp7hLsKeiS8Po2D zgrm2CGJNEF1H4ycWyNP9qkVsH9zlbdQjjzdHmptZ0pY1QEZx5GRxC4rFuvnxB2F 8KiYKy9k2WDq9Iti2PdCPBGuOhqMy6hU6qrPlSZpi/XLpexCBzVo1o3dPhvw+sHN zcXo9PwP9hYGGfgZp8r9iUaQQRHbnXef10niE4yQ1buNvPjAEJ3m2xEWiJaIylVu ndfjHHQM3iqDOU25KLqsA8NZpCD2bX2TvFwOYTKT+Y/ogIOD4s3i7stkxNWoI/g5 pN53NvzJ+8LqwFGcDhZwQhvL4sB3VVI7rzZR5yZIGMibRPlyiKJSRterpBvwY5Sz c0cr/wM89JvIPnlP79tgPEBgOr4BaBd5eqbiM0yyRoa5vH5wBhnsYAUMySB3wZPT ZhdHoDdRJpa+FIniHeC9pQXgndTBVSgRVoah9jQncp0gPjWjUigxe2b99BxYRE5d ytW1bIpyKS3QssucvI5JOqM6MorfYG7c3r9oaj6FNM5H+oXoO6/HBLb4q+nUGXwG WyyBlYzD5HUFMoVdjKwaauAOnvv0qA5Da7g5eSgyQR4TSCiLlEVJS0CJ8ALIWvOh taWaD8ts35gzg/PM+gAafURCj0fOOtkuXQKuZhljsX0ygqa4/hftZrGuNId5bjLd Qnj8eE9im400kwZmNdpP =b4Ju -----END PGP SIGNATURE-----