ISC BIND 9 に複数の脆弱性

JPCERT-WR-2020-2001 2020-05-27 2020-05-17 2020-05-23

ISC BIND 9 に複数の脆弱性 US-CERT Current Activity ISC Releases Security Advisory for BIND https://www.us-cert.gov/ncas/current-activity/2020/05/20/isc-releases-security-advisory-bind

ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。対象となるバージョンは次のとおりです。 - BIND 9.16 系 9.16.0 から 9.16.2 まで - BIND 9.14 系 9.14.0 から 9.14.11 まで - BIND 9.11 系 9.11.0 から 9.11.18 まで - BIND Supported Preview Edition 9.9.3-S1 から 9.11.18-S1 までなお、既にサポートが終了している BIND 9.10 系以前や 9.12 系、9.13 系、 9.15 系および開発版の 9.17 系についても本脆弱性の影響を受けます。この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新することで解決します。詳細は、ISC が提供する情報を参照してください。

JPCERT/CC 注意喚起 ISC BIND 9 の脆弱性 (CVE-2020-8616, CVE-2020-8617) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200023.html 株式会社日本レジストリサービス (JPRS) （緊急）BIND 9.xの脆弱性（パフォーマンスの低下・リフレクション攻撃の踏み台化）について（CVE-2020-8616） - バージョンアップを強く推奨 - https://jprs.jp/tech/security/2020-05-20-bind9-vuln-processing-referrals.html 株式会社日本レジストリサービス (JPRS) （緊急）BIND 9.xの脆弱性（DNSサービスの停止・異常な動作）について（CVE-2020-8617） - フルリゾルバー（キャッシュDNSサーバー）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨 - https://jprs.jp/tech/security/2020-05-20-bind9-vuln-tsig.html Japan Vulnerability Notes JVNVU#92065932 ISC BIND 9 に複数の脆弱性 https://jvn.jp/vu/JVNVU92065932 Tel Aviv University NXNSAttack http://www.nxnsattack.com/ ISC Knowledge Base CVE-2020-8616: BIND does not sufficiently limit the number of fetches performed when processing referrals https://kb.isc.org/docs/cve-2020-8616 ISC Knowledge Base CVE-2020-8617: A logic error in code which checks TSIG validity can be used to trigger an assertion failure in tsig.c https://kb.isc.org/docs/cve-2020-8617

Windows DNS Server にサービス運用妨害 (DoS) の脆弱性 US-CERT Current Activity Microsoft Releases Security Advisory for Windows DNS Servers https://www.us-cert.gov/ncas/current-activity/2020/05/20/microsoft-releases-security-advisory-windows-dns-servers

Windows DNS Server には、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。対象となるバージョンは次のとおりです。 - Windows DNS Server すべてのバージョンこの問題について、Microsoft によると、Windows DNS Server で Response Rate Limiting (RRL) を有効にすることで、脆弱性の影響を軽減することができるとのことです。詳細は、Microsoft が提供する情報を参照してください。

マイクロソフト株式会社 ADV200009 | Windows DNS Server Denial of Service Vulnerability https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200009

Google Chrome に複数の脆弱性 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2020/05/20/google-releases-security-updates-chrome

Google Chrome には、複数の脆弱性があります。対象となるバージョンは次のとおりです。 - Google Chrome 83.0.4103.61 より前のバージョンこの問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/05/stable-channel-update-for-desktop_19.html

vCloud Director にコードインジェクションの脆弱性 US-CERT Current Activity VMware Releases Security Update for Cloud Director https://www.us-cert.gov/ncas/current-activity/2020/05/20/vmware-releases-security-update-cloud-director

vCloud Director には、コードインジェクションの脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能性があります。対象となるバージョンは次のとおりです。 - vCloud Director 10.0 系 (Linux,PhotonOS) - vCloud Director 9.7 系 (Linux,PhotonOS) - vCloud Director 9.5 系 (Linux,PhotonOS) - vCloud Director 9.1 系 (Linux) この問題は、vCloud Director (10.1.0 以降のバージョンでは VMware Cloud Director に改称) に VMware が提供するパッチを適用したり、回避策を適用したりすることで解決します。詳細は、VMware が提供する情報を参照してください。

VMware Security Advisories VMSA-2020-0010 https://www.vmware.com/security/advisories/VMSA-2020-0010.html

複数の Adobe 製品に脆弱性 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/05/20/adobe-releases-security-updates JPCERT/CC CyberNewsFlash 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2020052101.html

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。対象となる製品およびバージョンは次のとおりです。 - Adobe Character Animator 2020 3.2 およびそれ以前 (Windows) - Adobe Premiere Pro 14.1 およびそれ以前 (Windows) - Adobe Audition 13.0.5 およびそれ以前 (Windows) - Adobe Premiere Rush 1.5.8 およびそれ以前 (Windows) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

Adobe Adobe Character Animator に関するセキュリティアップデート公開 | APSB20-25 https://helpx.adobe.com/jp/security/products/character_animator/apsb20-25.html Adobe Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB20-27 https://helpx.adobe.com/jp/security/products/premiere_pro/apsb20-27.html Adobe Adobe Audition に関するセキュリティアップデート公開 | APSB20-28 https://helpx.adobe.com/jp/security/products/audition/apsb20-28.html Adobe Adobe Premiere Rush に関するセキュリティアップデート公開 | APSB20-29 https://helpx.adobe.com/jp/security/products/premiere_rush/apsb20-29.html

Apache Tomcat に安全でないデシリアライゼーションの問題 Japan Vulnerability Notes JVNVU#98086086 Apache Tomcat に安全でないデシリアライゼーションの問題 https://jvn.jp/vu/JVNVU98086086/

Apache Software Foundation が提供する Apache Tomcat には、デシリアライズ対象データの検証が適切に行われていない脆弱性があります。結果として、遠隔の第三者が、サーバ上に管理可能なファイルを配置することができる場合などに、任意のコードを実行する可能性があります。対象となるバージョンは次のとおりです。 - Apache Tomcat 10.0.0-M1 から 10.0.0-M4 - Apache Tomcat 9.0.0.M1 から 9.0.34 - Apache Tomcat 8.5.0 から 8.5.54 - Apache Tomcat 7.0.0 から 7.0.103 この問題は、Apache Tomcat を Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は Apache Software Foundation が提供する情報を参照してください。

JPCERT/CC 注意喚起 Apache Tomcat の脆弱性 (CVE-2020-9484) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200024.html Apache Software Foundation CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E

Apple Xcode における脆弱性に対するアップデート US-CERT Current Activity Apple Releases Security Update for Xcode https://www.us-cert.gov/ncas/current-activity/2020/05/21/apple-releases-security-update-xcode Japan Vulnerability Notes JVNVU#94926165 Apple Xcode における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU94926165/

Apple Xcode には、Xcode に内包された git が使用している credential helper プログラムの脆弱性に起因する問題があります。結果として、遠隔の第三者が、特別に細工した URL を指定することで、git の認証情報を窃取する可能性があります。対象となるバージョンは次のとおりです。 - Xcode 11.5 より前のバージョンこの問題は、Xcode を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

Apple About the security content of Xcode 11.5 https://support.apple.com/en-us/HT211183

複数の Cisco 製品に脆弱性 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/05/22/cisco-releases-security-updates

複数の Cisco 製品には、脆弱性があります。結果として、認証されていない第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃したりする可能性があります。対象となる製品およびバージョンは次のとおりです。 - Cisco Unified Contact Center Express 12.0(1)ES03 より前のバージョン - Cisco Prime Network Registrar 10.1.0.1 より前のバージョン - Cisco Prime Network Registrar 10.0 系すべてのバージョン - Cisco Prime Network Registrar 9.1.3 より前のバージョン - Cisco Prime Network Registrar 9.0 系すべてのバージョン - Cisco Prime Network Registrar 8.3.7.1 より前の 8.3 系バージョンこの問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

Cisco Cisco Unified Contact Center Express Remote Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN Cisco Cisco Prime Network Registrar DHCP Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cpnr-dhcp-dos-BkEZfhLP

Drupal に複数の脆弱性 US-CERT Current Activity Drupal Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/05/21/drupal-releases-security-updates

Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のコードを実行したり、任意の URL にリダイレクトしたりする可能性があります。対象となるバージョンは次のとおりです。 - Drupal 8.8.6 より前のバージョン - Drupal 8.7.14 より前のバージョン - Drupal 7.70 より前のバージョンなお、Drupal によると Drupal 8.7 系より前の 8 系のバージョンは、サポートが終了しているため、Drupal 8.7.14 に更新することを推奨しています。この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新することで解決します。詳細は、Drupal が提供する情報を参照してください。

Drupal Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2020-002 https://www.drupal.org/sa-core-2020-002 Drupal Drupal core - Moderately critical - Open Redirect - SA-CORE-2020-003 https://www.drupal.org/sa-core-2020-003

WordPress 用プラグイン Paid Memberships Pro に SQL インジェクションの脆弱性 Japan Vulnerability Notes JVN#20248858 WordPress 用プラグイン Paid Memberships Pro における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN20248858

WordPress 用プラグイン Paid Memberships Pro には、SQL インジェクションの脆弱性があります。結果として、本製品の管理画面にアクセス可能な第三者が、データベース内の情報を窃取したり、改ざんしたりする可能性があります。対象となるバージョンは次のとおりです。 - Paid Memberships Pro version 2.3.3 より前のバージョンこの問題は、Paid Memberships Pro を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してださい。

PaidMembershipsPro PMPro Update 2.3.3 - Security Release https://www.paidmembershipspro.com/pmpro-update-2-3-3-security-release/

日本シーサート協議会が「シーサートワークショップ〜加盟希望組織向け説明会〜（オンライン）2020 年 4 月開催報告」を公開 2020年5月19日、日本シーサート協議会は、2020年4月22日に開催された「シーサートワークショップ〜加盟希望組織向け説明会〜」の報告を公開しました。今回は、初めての完全なオンライン開催となり、加盟希望のオブザーバー組織の方を対象に、日本シーサート協議会や地区活動委員会の活動紹介が行われました。今後もオンライン開催を促進していくとのことです。日本シーサート協議会シーサートワークショップ〜加盟希望組織向け説明会〜（オンライン）2020 年 4 月開催報告 https://www.nca.gr.jp/2020/ws-online/