-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-1601 JPCERT/CC 2020-04-22 <<< JPCERT/CC WEEKLY REPORT 2020-04-22 >>> ―――――――――――――――――――――――――――――――――――――― ■04/12(日)〜04/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】2020年 4月 Oracle Critical Patch Update について 【3】複数の Intel 製品に脆弱性 【4】複数の Cisco 製品に脆弱性 【5】複数の Adobe 製品に脆弱性 【6】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性 【7】VMware vRealize Log Insight に複数の脆弱性 【8】PHP に領域外のメモリに対する読み込みが可能な脆弱性 【9】Apple Xcode に不適切な入力確認に起因する情報漏えいの脆弱性 【10】ICS-CERTが公開した制御システムの脆弱性 【11】Pulse Connect Secure の脆弱性への対策や侵害有無などの確認を 【今週のひとくちメモ】長期休暇に備えて 2020/04 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr201601.html https://www.jpcert.or.jp/wr/2020/wr201601.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases April 2020 Security Updates https://www.us-cert.gov/ncas/current-activity/2020/04/14/microsoft-releases-april-2020-security-updates 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Microsoft Edge (EdgeHTML ベース) - Microsoft Edge (Chromium ベース) - ChakraCore - Internet Explorer - Microsoft Office、Microsoft Office Services および Web Apps - Windows Defender - Visual Studio - Microsoft Dynamics - Android 向け Microsoft アプリ - Mac 向け Microsoft アプリ この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2020 年 4 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Apr JPCERT/CC 注意喚起 2020年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200016.html 【2】2020年 4月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Oracle Releases April 2020 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2020/04/15/oracle-releases-april-2020-security-bulletin 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細は、Oracle が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 2020年4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200017.html 関連文書 (英語) Oracle Oracle Critical Patch Update Advisory - April 2020 https://www.oracle.com/security-alerts/cpuapr2020.html 【3】複数の Intel 製品に脆弱性 情報源 US-CERT Current Activity Intel Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/04/14/intel-releases-security-updates Japan Vulnerability Notes JVNVU#97303667 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU97303667/ 概要 複数の Intel 製品には、脆弱性があります。結果として、第三者が、権限を 昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel が提供するアドバイザリ情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Intel 製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2020041501.html 関連文書 (英語) Intel INTEL-SA-00327: Intel Data Migration Software Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00327.html Intel INTEL-SA-00338: Intel PROSet/Wireless WiFi Software Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00338.html Intel INTEL-SA-00344: Intel Driver and Support Assistant Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00344.html Intel INTEL-SA-00351: Intel Modular Server Compute Module Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00351.html Intel INTEL-SA-00359: Intel Binary Configuration Tool for Windows Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00359.html Intel INTEL-SA-00363: Intel NUC Firmware Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00363.html 【4】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2020/04/16/cisco-releases-security-updates-multiple-products 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 影響度 Critical および High の脆弱性情報に記載されている製品は次のとお りです。 - IP Phone 7811, 7821, 7841, 7861 - IP Phone 8811, 8841, 8845, 8851, 8861, 8865 - Unified IP Conference Phone 8831 - Wireless IP Phone 8821 and 8821-EX - UCS Director - UCS Director Express for Big Data - Wireless LAN Controller - Webex Network Recording Player for Microsoft Windows - Webex Player for Microsoft Windows - Mobility Express Software が稼働する次の製品 - Aironet 1540 Series Access Points - Aironet 1560 Series Access Points - Aironet 1800 Series Access Points - Aironet 2800 Series Access Points - Aironet 3800 Series Access Points - Aironet 4800 Series Access Points - Catalyst IW6300 Access Points - 6300 Embedded Services Access Points - IoT Field Network Director - Unified Communications Manager - Unified Communications Manager Session Management Edition - Cisco Aironet Series Access Points Software が稼働する次の製品 - Aironet 1540 Series Access Points - Aironet 1800 Series Access Points この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco IP Phones Web Server Remote Code Execution and Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voip-phones-rce-dos-rB6EeRXs Cisco Security Advisory Multiple Vulnerabilities in Cisco UCS Director and Cisco UCS Director Express for Big Data https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucsd-mult-vulns-UNfpdW4E Cisco Security Advisory Cisco Wireless LAN Controller 802.11 Generic Advertisement Service Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-gas-dos-8FsE3AWH Cisco Security Advisory Cisco Wireless LAN Controller CAPWAP Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-capwap-dos-Y2sD9uEw Cisco Security Advisory Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-player-Q7Rtgvby Cisco Security Advisory Cisco Mobility Express Software Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mob-exp-csrf-b8tFec24 Cisco Security Advisory Cisco IoT Field Network Director Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iot-coap-dos-WTBu6YTq Cisco Security Advisory Cisco Unified Communications Manager Path Traversal Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-taps-path-trav-pfsFO93r Cisco Security Advisory Cisco Aironet Series Access Points Client Packet Processing Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-airo-wpa-dos-5ZLs6ESz 【5】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2020/04/14/adobe-releases-security-updates-multiple-products 概要 複数の Adobe 製品には、脆弱性があります。結果として、第三者が、権限を 昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ ります。 対象となる製品およびバージョンは次のとおりです。 - Adobe ColdFusion 2016 Update 14 およびそれ以前 - Adobe ColdFusion 2018 Update 8 およびそれ以前 - Adobe After Effects 17.0.1 およびそれ以前 (Windows) - Adobe Digital Editions 4.5.11.187212 およびそれ以前 (Windows) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2020041502.html Adobe ColdFusion に関するセキュリティアップデート公開 | APSB20-18 https://helpx.adobe.com/jp/security/products/coldfusion/apsb20-18.html Adobe Adobe After Effects に関するセキュリティアップデート公開 | APSB20-21 https://helpx.adobe.com/jp/security/products/after_effects/apsb20-21.html Adobe Adobe Digital Editions に関するセキュリティアップデート公開 | APSB20-23 https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb20-23.html 【6】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/04/16/google-releases-security-updates 概要 Google Chrome には、解放済みメモリ使用 (use-after-free) に関する脆弱性 があります。 対象となるバージョンは次のとおりです。 - Google Chrome 81.0.4044.113 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_15.html 【7】VMware vRealize Log Insight に複数の脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates for vRealize Log Insight https://www.us-cert.gov/ncas/current-activity/2020/04/14/vmware-releases-security-updates-vrealize-log-insight 概要 VMware vRealize Log Insight には、複数の脆弱性があります。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行するなどの可 能性があります。 対象となるバージョンは次のとおりです。 - VMware vRealize Log Insight 8.0.0 - VMware vRealize Log Insight 4.x.y 系のバージョン この問題は、 VMware vRealize Log Insight を VMware が提供する修正済み のバージョンに更新することで解決します。詳細は、VMware が提供する情報 を参照してください。 関連文書 (英語) VMware VMSA-2020-0007 https://www.vmware.com/security/advisories/VMSA-2020-0007.html 【8】PHP に領域外のメモリに対する読み込みが可能な脆弱性 情報源 The PHP Group PHP 7.2.30 Release Announcement https://www.php.net/archive/2020.php#2020-04-17-1 The PHP Group PHP 7.3.17 Released https://www.php.net/archive/2020.php#2020-04-16-1 The PHP Group PHP 7.4.5 Released https://www.php.net/archive/2020.php#2020-04-16-2 概要 PHP には、領域外のメモリに対する読み込みが可能な脆弱性があります。結果 として、第三者が情報を窃取する可能性があります。 対象となるバージョンは次のとおりです。 - PHP 7.2.30 より前のバージョン - PHP 7.3.17 より前のバージョン - PHP 7.4.5 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。 関連文書 (英語) The PHP Group PHP 7 ChangeLog Version 7.2.30 https://www.php.net/ChangeLog-7.php#7.2.30 The PHP Group PHP 7 ChangeLog Version 7.3.17 https://www.php.net/ChangeLog-7.php#7.3.17 The PHP Group PHP 7 ChangeLog Version 7.4.5 https://www.php.net/ChangeLog-7.php#7.4.5 【9】Apple Xcode に不適切な入力確認に起因する情報漏えいの脆弱性 情報源 US-CERT Current Activity Apple Releases Security Update for Xcode https://www.us-cert.gov/ncas/current-activity/2020/04/17/apple-releases-security-update-xcode Japan Vulnerability Notes JVNVU#95670817 Apple Xcode における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU95670817/ 概要 Apple の Xcode には、Xcode に内包された git が使用している credential helper プログラムの脆弱性に起因する問題があります。結果として、第三者 が改行文字を含む特別に細工した URL を処理することで、git の認証情報を 窃取する可能性があります。 対象となるバージョンは次のとおりです。 - Xcode 11.4.1 より前のバージョン この問題は、Xcode を Apple が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (英語) Apple About the security content of Xcode 11.4.1 https://support.apple.com/en-us/HT211141 【10】ICS-CERTが公開した制御システムの脆弱性 情報源 Industrial Control Systems ICS-CERT Alerts https://www.us-cert.gov/ics/alerts 概要 ICS-CERT は、制御システムの脆弱性情報を公開しました。 対象となる製品は次のとおりです。 - Eaton - HMiSoft VU3 - Triangle MicroWorks - DNP3 Outstation Libraries - SCADA Data Gateway - Siemens - Climatix - IE/PB-Link - RUGGEDCOM - SCALANCE - SIMATIC - SINEMA - SIMOTICS - Desigo - APOGEE - TALON - KTK - SIDOOR - SINAMICS - TIM 3V-IE - TIM 4R-IE 影響を受ける製品のバージョンや脆弱性の詳細は、ICS-CERT が提供するアド バイザリ情報や開発者の情報を参照してください。 関連文書 (英語) ICS Advisory (ICSA-20-105-01) Eaton HMiSoft VU3 https://www.us-cert.gov/ics/advisories/icsa-20-105-01 ICS Advisory (ICSA-20-105-02) Triangle MicroWorks DNP3 Outstation Libraries https://www.us-cert.gov/ics/advisories/icsa-20-105-02 ICS Advisory (ICSA-20-105-03) Triangle MicroWorks SCADA Data Gateway https://www.us-cert.gov/ics/advisories/icsa-20-105-03 ICS Advisory (ICSA-20-105-04) Siemens Climatix https://www.us-cert.gov/ics/advisories/icsa-20-105-04 ICS Advisory (ICSA-20-105-05) Siemens IE/PB-Link, RUGGEDCOM, SCALANCE, SIMATIC, SINEMA https://www.us-cert.gov/ics/advisories/icsa-20-105-05 ICS Advisory (ICSA-20-105-06) Siemens SIMOTICS, Desigo, APOGEE, and TALON https://www.us-cert.gov/ics/advisories/icsa-20-105-06 ICS Advisory (ICSA-20-105-07) Siemens SCALANCE & SIMATIC https://www.us-cert.gov/ics/advisories/icsa-20-105-07 ICS Advisory (ICSA-20-105-08) Siemens KTK, SIDOOR, SIMATIC, and SINAMICS https://www.us-cert.gov/ics/advisories/icsa-20-105-08 ICS Advisory (ICSA-20-105-09) Siemens TIM 3V-IE and 4R-IE Family Devices https://www.us-cert.gov/ics/advisories/icsa-20-105-09 【11】Pulse Connect Secure の脆弱性への対策や侵害有無などの確認を 情報源 US-CERT Alert (AA20-107A) Continued Threat Actor Exploitation Post Pulse Secure VPN Patching https://www.us-cert.gov/ncas/alerts/aa20-107a 概要 2020年4月16日 (米国時間)、US-CERT (CISA) は Pulse Connect Secure の脆 弱性 (CVE-2019-11510) を悪用した攻撃について、脆弱性の悪用方法や対策方 法をまとめた注意喚起 (AA20-107A) を発行しました。本注意喚起では、同脆 弱性を悪用してシステムからユーザや管理者アカウントのパスワード情報を窃 取する事例などを紹介しています。また、CISA が観測している事案における、 侵害後の悪用内容や IoC が公開されており、利用者に対し、アップデートや 侵害有無の確認などを行うことが呼びかけられています。 新型コロナウイルス感染症 (COVID-19) の感染拡大防止のため、テレワークの 必要性が増す一方、脆弱な状態のままテレワーク環境を運用していると、情報 セキュリティ上のリスクも増加します。今一度対策状況をご確認ください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Pulse Connect Secure の脆弱性への対策や侵害有無などの確認を https://www.jpcert.or.jp/newsflash/2020041701.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○長期休暇に備えて 2020/04 2020年4月14日、JPCERT/CC は「長期休暇に備えて 2020/04」を公開しました。 この呼びかけでは、JPCERT/CC が報告を受けた複数のインシデントを例に挙げ、 インシデント発生の予防および緊急時の対応に関して、対策などの要点をまと めて記載しています。休暇期間中のインシデント発生に備え、自組織のセキュ リティ対策や対応を今一度ご確認ください。 参考文献 (日本語) JPCERT/CC CyberNewsFlash 長期休暇に備えて 2020/04 https://www.jpcert.or.jp/newsflash/2020041401.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJen4iEAAoJEKntH+qu5CT/FSYQAIoAuYgHoR8HlWigz+CRp/ww fybCooyctV/R8D7Y/TPYR9y03as32djrb3a45NaQRSbnxs53WyfYKlklxogL626l LDV7hZv2mVdbouq4h7foI9lNTbD7lqDCUUO0c70zMp0MkMcfv1EEshJjIiUPbdPp H7LDy9f8N9GXFN6O2EhLoqVT4BBqokzv+0hYGq3GQG8KGropoeyxGm2pomX9KdFb knY6JfhhYzLAYooMIfQwvcOTnEfJbCu1jtNSSwXOiWj2uHINJ0Fwy0np65HGS6Yq KImFzsOXuJuoyR66r5hYc6e+XFJ3CD1R8bWRLQXntgO0EXMXmsistwfdSq7nNj4B eS/Cpf2UcoTZHiUYINJC2rNz4bd3kNmzaRxfmnujK09gwuwM2Cnx+EcBMqK4gQjO 4tfVHpYwF1Xi1myZ4wcoOw99G1DEz3B+mTlNkrUvCFjwEPbKn/nFN+KIYYR2DOZW RKkSwb/YtH5zgZt7ckabIZbgS2BEt1P91ERdRYUK5slpecDjrsvzbIH7WhHFbMkL sLchbECp74N5HhsFHJB1kd4YT0XMB/XG5WJTmReqlqIsy676dW4VI2f6TY6Ck4xq VNqkRtrdxGk/AX0+g8Hl+ZrH1jRP4S3BTGld2n4qfT8m9Qx3n8s/+WCA6NE2TbhI rw8ahPhzbJGR6fRc6UZS =V9lW -----END PGP SIGNATURE-----