JPCERT-WR-2020-1501
2020-04-15
2020-04-05
2020-04-11
Google Chrome に複数の脆弱性
Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 81.0.4044.92 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、開発者が提供する情報を参照してください。
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_7.html
複数の Mozilla 製品に脆弱性
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 75 より前のバージョン
- Mozilla Firefox ESR 68.7 より前のバージョン
- Mozilla Thunderbird 68.7 より前のバージョン
この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、開発者が提供する情報を参照してください。
Mozilla
Security Vulnerabilities fixed in Firefox 75
https://www.mozilla.org/en-US/security/advisories/mfsa2020-12
Mozilla
Security Vulnerabilities fixed in Firefox ESR 68.7
https://www.mozilla.org/en-US/security/advisories/mfsa2020-13
Mozilla
Security Vulnerabilities fixed in Thunderbird 68.7.0
https://www.mozilla.org/en-US/security/advisories/mfsa2020-14/
VMware vCenter Server に情報漏えいの脆弱性
VMware vCenter Server に同梱されている VMware ディレクトリサービスには、
情報漏えいの脆弱性があります。結果として、遠隔の第三者が機微な情報を窃
取する可能性があります。
対象となるバージョンは以下の通りです。
- VMware vCenter Server 6.7 (Virtual Appliance/Windows)
VMware によると、VMware vCenter Server 6.7 を新規でインストールした場
合は、本脆弱性の影響を受けないとのことです。
この問題は、VMware vCenter Server を VMware が提供する修正済みのバージョン
に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。
VMware Security Advisories
VMSA-2020-0006
https://www.vmware.com/security/advisories/VMSA-2020-0006.html
VMware Knowledge Base
Additional Documentation for VMSA-2020-0006: Determining if a vCenter 6.7 deployment w/embedded or external Platform Services Controller (PSC) is affected by CVE-2020-3952 (78543)
https://kb.vmware.com/s/article/78543
トレンドマイクロ製パスワードマネージャーに DLL 読み込みの脆弱性
トレンドマイクロ株式会社が提供するパスワードマネージャーには、DLL 読み
込みに関する脆弱性があります。結果として、第三者が任意のコードを実行す
る可能性があります。
対象となるバージョンは次のとおりです。
- パスワードマネージャー 5.0.0.1092 より前のバージョン (Windows版)
この問題は、パスワードマネージャーをトレンドマイクロ株式会社が提供する
修正済みのバージョンに更新することで解決します。詳細は、開発者が提供す
る情報を参照してください。
トレンドマイクロ株式会社
アラート/アドバイザリ:パスワードマネージャーのセキュリティ情報(CVE-2020-8469)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-01154
複数の Juniper 製品に脆弱性
複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が
サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となる製品は次のとおりです。
- Junos OS
- Junos OS Evolved
- NFX250 Series
- JATP Series
- vJATP
- Juniper Secure Analytics
この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、開発者が提供する情報を参照してください。
Juniper Networks
Security Advisories
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
Juniper Networks
2020-04 Security Bulletin: Junos OS: SRX Branch Series and vSRX Series: Multiple vulnerabilities in ISC BIND named.
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10994
Juniper Networks
2020-04 Security Bulletin: Junos OS: BGP session termination upon receipt of specific BGP FlowSpec advertisement. (CVE-2020-1613)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10996
Juniper Networks
2020-04 Security Bulletin: NFX250 Series: Hardcoded credentials in the vSRX VNF instance. (CVE-2020-1614)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10997
Juniper Networks
2020-04 Security Bulletin: Junos OS: vMX: Default credentials supplied in vMX configuration (CVE-2020-1615)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10998
Juniper Networks
2020-04 Security Bulletin: JATP Series: JATP Is susceptible to slow brute force attacks on the SSH service. (CVE-2020-1616)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10999
Juniper Networks
2020-04 Security Bulletin: Junos OS: non-AFT architectures: A specific genuine packet inspected by sFlow will cause a reboot. A second packet received and inspected by sFlow will cause a core and reboot. (CVE-2020-1617)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11000
Juniper Networks
2020-04 Security Bulletin: Junos OS: EX and QFX Series: Console port authentication bypass vulnerability (CVE-2020-1618)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11001
Juniper Networks
2020-04 Security Bulletin: Junos OS: QFX10K Series, EX9200 Series, MX Series, PTX Series: Privilege escalation vulnerability in NG-RE. (CVE-2020-1619)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11002
Juniper Networks
2020-04 Security Bulletin: Junos OS Evolved: Local log files accessible from the shell may leak sensitive information
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11003
Juniper Networks
2020-04 Security Bulletin: Junos OS: Kernel memory leak in virtual-memory due to interface flaps (CVE-2020-1625)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11004
Juniper Networks
2020-04 Security Bulletin: Junos OS Evolved: Denial of Service vulnerability in processing high rate of specific packets (CVE-2020-1626)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11005
Juniper Networks
2020-04 Security Bulletin: Junos OS: vMX and MX150: Denial of Service vulnerability in packet processing (CVE-2020-1627)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11006
Juniper Networks
2020-04 Security Bulletin: Juniper Secure Analytics (JSA): Multiple vulnerabilities resolved in JSA 7.3.2 Patch 5, and 7.3.3 Patch 1 FixPack 1
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11007
Juniper Networks
2020-04 Security Bulletin: Junos OS: EX4300: Traffic from the network internal to the device (128.0.0.0) may be forwarded to egress interfaces (CVE-2020-1628)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11008
Juniper Networks
2020-04 Security Bulletin: Junos OS: A race condition vulnerability may cause RPD daemon to crash when processing a BGP NOTIFICATION message. (CVE-2020-1629)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11009
Juniper Networks
2020-04 Security Bulletin: Junos OS: Privilege escalation vulnerability in dual REs, VC or HA cluster may allow unauthorized configuration change. (CVE-2020-1630)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11010
Juniper Networks
2020-04 Security Bulletin: Junos OS: MX Series: Crafted packets traversing a Broadband Network Gateway (BNG) configured with IPv6 NDP proxy could lead to Denial of Service (CVE-2020-1633)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11012
Juniper Networks
2020-04 Security Bulletin: Junos OS and Junos OS Evolved: Invalid BGP UPDATE sent to peer device may cause BGP session to terminate. (CVE-2020-1632)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11013
Juniper Networks
2020-04 Security Bulletin: Junos OS: High-End SRX Series: Multicast traffic might cause all FPCs to reset. (CVE-2020-1634)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11014
Juniper Networks
2020-04 Security Bulletin: Junos OS: Multiple IPsec AH vulnerabilities resolved.
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11016
Juniper Networks
2020-04 Security Bulletin: Junos OS: SRX Series: Unified Access Control (UAC) bypass vulnerability (CVE-2020-1637)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11018
Juniper Networks
2020-04 Security Bulletin: Junos OS & Junos OS Evolved: A specific IPv4 packet can lead to FPC restart. (CVE-2020-1638)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11019
Juniper Networks
2020-04 Security Bulletin: Junos OS: A crafted Ethernet OAM packet received by Junos may cause the Ethernet OAM connectivity fault management process (CFM) to core. (CVE-2020-1639)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11020
複数の EasyBlocks IPv6 製品に脆弱性
EasyBlocks IPv6 には複数の脆弱性があります。結果として、遠隔の第三者が、
当該製品にログインしているユーザのウェブブラウザ上で、意図しない操作を
行うなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- EasyBlocks IPv6 バージョン 2.0.1 およびそれ以前のバージョン
- EasyBlocks IPv6 Enterprise バージョン 2.0.1 およびそれ以前のバージョン
この問題は、該当する製品をぷらっとホーム株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、開発者が提供する情報を参照し
てください。
ぷらっとホーム株式会社
EasyBlocks IPv6 ソフトウェアリリース情報|バージョン2.0.2
https://www.plathome.co.jp/software/ipv6-v2-0-2
ぷらっとホーム株式会社
EasyBlocks IPv6 Enterprise ソフトウェアリリース情報|バージョン2.0.2
https://www.plathome.co.jp/software/ipv6-enterprise-v2-0-2
Joomla! 用プラグイン「AcyMailing」に任意のファイルをアップロード可能な脆弱性
Joomla! 用プラグイン AcyMailing には、任意のファイルをアップロードされ
る脆弱性があります。結果として、遠隔の第三者が任意の PHP コードを実行
する可能性があります。
対象となるバージョンは次のとおりです。
- AcyMailing 6.9.2 より前のバージョン
この問題は、AcyMailing を Acyba が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
Acyba
AcyMailing Change log
https://www.acyba.com/acymailing/68-acymailing-changelog.html?Itemid=329
BuySpeed にクロスサイトスクリプティングの脆弱性
BuySpeed には、クロスサイトスクリプティングの脆弱性があります。結果と
して、第三者が、ユーザのウェブブラウザ上で、任意のスクリプトを実行する
可能性があります。
対象となるバージョンは次のとおりです。
- BuySpeed version 14.5
この問題は、BuySpeed を Periscope が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#91401524
Periscope 製 BuySpeed におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU91401524
Periscope
Buyspeed 15.3.0 Release Notes
https://support.buyspeed.com/hc/en-us/articles/360035773831-Buyspeed-15-3-0-Release-Notes
ICS-CERTが公開した制御システムの脆弱性
ICS-CERT は、制御システムの脆弱性情報を公開しました。
対象となる製品は次のとおりです。
- Automation Studio
- WebAccess/NMS
- CIMPLICITY
- eWON Flexy および eWON Cosy
- V-Server Lite
- KUKA.Sim Pro
- RSLinx Classic
影響を受ける製品のバージョンや脆弱性の詳細は、ICS-CERT が提供するアド
バイザリ情報や開発者の情報を参照してください。
ICS Advisory (ICSA-20-093-01)
B&R Automation Studio
https://www.us-cert.gov/ics/advisories/icsa-20-093-01
ICS Advisory (ICSA-20-098-01)
Advantech WebAccess/NMS
https://www.us-cert.gov/ics/advisories/icsa-20-098-01
ICS Advisory (ICSA-20-098-02)
GE Digital CIMPLICITY
https://www.us-cert.gov/ics/advisories/icsa-20-098-02
ICS Advisory (ICSA-20-098-03)
HMS Networks eWON Flexy and Cosy
https://www.us-cert.gov/ics/advisories/icsa-20-098-03
ICS Advisory (ICSA-20-098-04)
Fuji Electric V-Server Lite
https://www.us-cert.gov/ics/advisories/icsa-20-098-04
ICS Advisory (ICSA-20-098-05)
KUKA.Sim Pro
https://www.us-cert.gov/ics/advisories/icsa-20-098-05
ICS Advisory (ICSA-20-100-01)
Rockwell Automation RSLinx Classic
https://www.us-cert.gov/ics/advisories/icsa-20-100-01
IPA が「脆弱性発見 報告のみちしるべ〜発見者に知っておいて欲しいこと〜」全8編を公開
2020年4月6日、情報処理推進機構 (IPA) は、全8編の短編動画「脆弱性発見
報告のみちしるべ〜発見者に知っておいて欲しいこと〜」を公開しました。
これは、IPA がこれまでの脆弱性の発見や取扱いに関する説明資料を、脆弱性
の発見を行う初学者向けにスライドショーとして再構成したものです。各動画
の再生時間は2〜3分程度となっています。個人学習やワークショップ、教育機
関での教材活用を想定し、全8編をまとめた統合版も用意されています。
情報処理推進機構 (IPA)
プレス発表 動画「脆弱性発見 報告のみちしるべ 〜発見者に知っておいて欲しいこと〜」全8編の公開
https://www.ipa.go.jp/about/press/20200406.html