-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-1101 JPCERT/CC 2020-03-18 <<< JPCERT/CC WEEKLY REPORT 2020-03-18 >>> ―――――――――――――――――――――――――――――――――――――― ■03/08(日)〜03/14(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Intel 製品に脆弱性 【3】複数の Mozilla 製品に脆弱性 【4】複数の VMware 製品に脆弱性 【5】GitLab に複数の脆弱性 【6】三菱電機製データ収集アナライザ MELQIC IU1 シリーズに複数の脆弱性 【7】TRR 機能を実装した DDR4 メモリシステムに Rowhammer 攻撃が可能な脆弱性 【今週のひとくちメモ】IPA が「情報セキュリティ10大脅威 2020」の解説書を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr201101.html https://www.jpcert.or.jp/wr/2020/wr201101.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases March 2020 Security Updates https://www.us-cert.gov/ncas/current-activity/2020/03/10/microsoft-releases-march-2020-security-updates US-CERT Current Activity Microsoft Releases Out-of-Band Security Updates for SMB RCE Vulnerability https://www.us-cert.gov/ncas/current-activity/2020/03/12/microsoft-releases-out-band-security-updates-smb-rce-vulnerability 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Microsoft Edge (EdgeHTML ベース) - Microsoft Edge (Chromium ベース) - ChakraCore - Internet Explorer - Microsoft Exchange Server - Microsoft Office、Microsoft Office Services および Web Apps - Azure DevOps - Windows Defender - Visual Studio - オープン ソース ソフトウェア - Azure - Microsoft Dynamics ※マイクロソフトは、Microsoft Server Message Block 3.1.1 (SMBv3) にお ける脆弱性情報 (CVE-2020-0796) および修正プログラムを公開しています。 詳細は Microsoft が提供する情報を参照してください。 この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2020 年 3 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Mar マイクロソフト株式会社 CVE-2020-0796 | Windows SMBv3 クライアント/サーバーのリモートでコードが実行される脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0796 マイクロソフト株式会社 ADV200005 | SMBv3 の圧縮の無効化に関する Microsoft ガイダンス https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv200005 JPCERT/CC 注意喚起 2020年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200010.html JPCERT/CC 注意喚起 Microsoft SMBv3 の脆弱性 (CVE-2020-0796) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200011.html JPCERT/CC CyberNewsFlash SMBv3 における脆弱性について (追加情報) https://www.jpcert.or.jp/newsflash/2020031102.html Vulnerability Notes JVNVU#91394194 Microsoft SMBv3 の接続処理にリモートコード実行の脆弱性 https://jvn.jp/vu/JVNVU91394194 関連文書 (英語) US-CERT Current Activity Microsoft Server Message Block RCE Vulnerability https://www.us-cert.gov/ncas/current-activity/2020/03/11/microsoft-server-message-block-rce-vulnerability US-CERT Current Activity Unpatched Microsoft Exchange Servers Vulnerable to CVE-2020-0688 https://www.us-cert.gov/ncas/current-activity/2020/03/10/unpatched-microsoft-exchange-servers-vulnerable-cve-2020-0688 【2】複数の Intel 製品に脆弱性 情報源 US-CERT Current Activity Intel Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/03/10/intel-releases-security-updates Japan Vulnerability Notes JVNVU#94445466 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU94445466/ 概要 複数の Intel 製品には、脆弱性があります。結果として、第三者が、権限を 昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ ります。 影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel が提供するアドバイザリ情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Intel 製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2020031101.html 関連文書 (英語) Intel INTEL-SA-00315: Intel Graphics Drivers Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00315.html Intel INTEL-SA-00319: Intel FPGA Programmable Acceleration Card N3000 Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00319.html Intel INTEL-SA-00326: Intel Optane DC Persistent Memory Module Management Software Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00326.html Intel INTEL-SA-00330: Snoop Assisted L1D Sampling Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00330.html Intel INTEL-SA-00334: Intel Processors Load Value Injection Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00334.html Intel INTEL-SA-00343: Intel NUC Firmware Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00343.html Intel INTEL-SA-00349: Intel MAX 10 FPGA Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00349.html Intel INTEL-SA-00352: BlueZ Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00352.html Intel INTEL-SA-00354: Intel Smart Sound Technology Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00354.html 【3】複数の Mozilla 製品に脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox and Firefox ESR https://www.us-cert.gov/ncas/current-activity/2020/03/10/mozilla-releases-security-updates-firefox-and-firefox-esr 概要 複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 74 より前のバージョン - Mozilla Firefox ESR 68.6 より前のバージョン - Thunderbird 68.6 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 74 https://www.mozilla.org/en-US/security/advisories/mfsa2020-08/ Mozilla Security Vulnerabilities fixed in Firefox ESR 68.6 https://www.mozilla.org/en-US/security/advisories/mfsa2020-09/ Mozilla Security Vulnerabilities fixed in Thunderbird 68.6 https://www.mozilla.org/en-US/security/advisories/mfsa2020-10/ 【4】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2020/03/16/vmware-releases-security-updates-multiple-products 概要 複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー ザがホスト OS 上でコードを実行したり、サービス運用妨害 (DoS) 攻撃を行 ったりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware Workstation Pro / Player 15 系のバージョン - VMware Fusion Pro / Fusion 11 系のバージョン (OSX) - VMware Horizon Client for Windows 5 系のバージョンおよびそれ以前 - VMware Remote Console for Windows 10 系のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2020-0004.1 https://www.vmware.com/security/advisories/VMSA-2020-0004.html 【5】GitLab に複数の脆弱性 情報源 GitLab GitLab Security Release: 12.8.2, 12.7.7, and 12.6.8 https://about.gitlab.com/releases/2020/03/04/gitlab-12-dot-8-dot-2-released/ 概要 GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用 妨害 (DoS) 攻撃をするなどの可能性があります。 対象となるバージョンは次のとおりです。 - GitLab Community および Enterprise Edition 12.8.2 より前の 12.8 系バージョン - GitLab Community および Enterprise Edition 12.7.7 より前の 12.7 系バージョン - GitLab Community および Enterprise Edition 12.6.8 より前の 12.6 系バージョン なお、上記に記載されていないバージョンも影響を受けるとのことです。詳細 は GitLab が提供する情報を参照してください。 この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新 することで解決します。詳細は、GitLab が提供する情報を参照してください。 【6】三菱電機製データ収集アナライザ MELQIC IU1 シリーズに複数の脆弱性 情報源 Vulnerability Note JVNVU#92370624 三菱電機製データ収集アナライザ MELQIC IU1 シリーズの TCP/IP 機能における複数の脆弱性 https://jvn.jp/vu/JVNVU92370624 概要 三菱電機株式会社が提供する MELQIC IU1 シリーズの TCP/IP 機能には、複数 の脆弱性があります。結果として、遠隔の第三者が、細工した TCP パケット を送信することで、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があり ます。 対象となる製品およびバージョンは次のとおりです。 - IU1-1M20-D (バージョン 1.07 およびそれ以前) この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、三菱電機株式会社が提供する情報を参 照してください。 関連文書 (日本語) 三菱電機株式会社 MELQIC IU1シリーズのTCP/IPスタックに複数の脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2019-004.pdf 【7】TRR 機能を実装した DDR4 メモリシステムに Rowhammer 攻撃が可能な脆弱性 情報源 Vulnerability Note JVNVU#99239584 TRR 機能を実装した DDR4 メモリシステムに対する Rowhammer 攻撃手法 https://jvn.jp/vu/JVNVU99239584/ 概要 TRR (Target Row Refresh) 機能を実装している DDR4 メモリシステムに対し Rowhammer 攻撃が可能であるとする研究結果が公開されています。 対象となる製品は次のとおりです。 - TRR (Target Row Refresh) 機能を実装している DDR4 メモリシステム 2020年3月12日現在、この問題への対策方法は不明です。 関連文書 (日本語) NCSC-NL NCSC-2020-0180: Kwetsbaarheid ontdekt in DDR4-geheugen (TRRespass) https://advisories.ncsc.nl/advisory?id=NCSC-2020-0180 VUSec TRRESPASS https://www.vusec.net/projects/trrespass/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA が「情報セキュリティ10大脅威 2020」の解説書を公開 2020年3月10日、情報処理推進機構 (IPA) は、「情報セキュリティ10大脅威 2020」の解説書を公開しました。これは、IPA が昨年発生した情報セキュリティ における事案から脅威候補を選出し、情報セキュリティ関連に携わるメンバー で審議・投票を行い、順位を決定したものです。解説書では、選出された 10 大脅威について組織や個人が優先順位をつけて対策を講じられるよう、各脅威 に関する用語や事例、対策などが整理されています。 参考文献 (日本語) 情報処理推進機構 (IPA) 情報セキュリティ10大脅威 2020 https://www.ipa.go.jp/security/vuln/10threats2020.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJecWVNAAoJEKntH+qu5CT/R54P/R06ay7oDtGe/XUPjLPD3uuw dWp0HQS2yWwpgCz2WvLzxcErfiEuTpLRI32hEXmoSdZAwrxh/TX4WglM1cDJKWkd VlyuR48nupLGGFqqG9AipEJ61dgVxZezeBmw4apcN7cFMMgtweWtTWvXF9Imx6YZ PlrZ0tyHADOys/iwrCs5E9/IhozXZej3PfV5ZBgvDbCZ8KfoWCS609LjswQ8bQH1 sG3HZnGQBu13BTi6G72/Cxs6dSWOgXW+GHlwKxN9P4tAb4vkGEqaTkqkVHQbtGfi SzecV2IHxcc0uUHXOgTxROBM/9tbdpyXbdc/rfTJim3lXpFO3KY+3KwhAe0hz1Yp tR8cPuEALuipldX45BZPmyPAjAjv54CcPkCqh0P2p9csaYcJlHkUE5MFi8SwLGdc MSaG2/HZRcy0ATX9EE+ordYt3qwV7UQUCS6v5doS2sDPCoq6IhL/2wZXrYGiEsFk f76qpIUlgc8bEr/o6b7IOYxc/bFgiZ/feCYxzTgJeNJS4S9qIyuuTjvEJTLDlEHA 4eMJHAUpR3+yn3LIzORD1Hb1DI7yeZn0xPR1apxpWGYlYPdZNE/azydcDmasPO/B sZ7E7f7jo+HP70pc4Rd5ZNs9A/+Cle/Rj1sYENDI0x7eZjkacAi5kVHFg5s7/HXb gRmtnCZTPJQ/SYnXjjxB =s81Q -----END PGP SIGNATURE-----