-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-2101 JPCERT/CC 2020-06-03 <<< JPCERT/CC WEEKLY REPORT 2020-06-03 >>> ―――――――――――――――――――――――――――――――――――――― ■05/24(日)〜05/30(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Cisco 製品に SaltStack Salt に起因する脆弱性 【2】Microsoft Edge に権限昇格の脆弱性 【3】複数の VMware 製品に脆弱性 【4】Gitlab に複数の脆弱性 【5】複数の Apple 製品に脆弱性 【6】複数のサイボウズ製品に脆弱性 【今週のひとくちメモ】IPA が「情報セキュリティ対策支援サイト」刷新版を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr202101.html https://www.jpcert.or.jp/wr/2020/wr202101.xml ============================================================================ 【1】複数の Cisco 製品に SaltStack Salt に起因する脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates for CML and VIRL-PE https://www.us-cert.gov/ncas/current-activity/2020/05/29/cisco-releases-security-updates-cml-and-virl-pe 概要 複数の Cisco 製品には、SaltStack Salt に起因する脆弱性があります。結果 として、遠隔の第三者が、任意のコマンドを実行したり、情報を窃取したりす るなどの可能性があります。 対象となる製品は次のとおりです。 - Cisco Modeling Labs Corporate Edition (CML) - Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) この問題は、該当する製品を Cisco が提供するパッチを適用することで解決 します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200020.html 関連文書 (英語) Cisco Security Advisory SaltStack FrameWork Vulnerabilities Affecting Cisco Products https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-salt-2vx545AG SaltStack Critical Vulnerabilities Update: CVE-2020-11651 and CVE-2020-11652 https://community.saltstack.com/blog/critical-vulnerabilities-update-cve-2020-11651-and-cve-2020-11652/ 【2】Microsoft Edge に権限昇格の脆弱性 情報源 US-CERT Current Activity Microsoft Releases Security Update for Edge https://www.us-cert.gov/ncas/current-activity/2020/05/22/microsoft-releases-security-update-edge 概要 Microsoft Edge には、権限昇格の脆弱性があります。結果として、第三者が 上位の権限を取得する可能性があります。 対象となるバージョンは次のとおりです。 - Microsoft Edge (Chromium ベース) 83.0.478.37 より前のバージョン この問題は、Microsoft Edge を Microsoft が提供する修正済みのバージョン に更新することで解決します。詳細は、Microsoft が提供する情報を参照して ください。 関連文書 (日本語) マイクロソフト株式会社 CVE-2020-1195 | Microsoft Edge (Chromium ベース) の特権の昇格の脆弱性 https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2020-1195 【3】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2020/05/29/vmware-releases-security-updates-multiple-products 概要 複数の VMware 製品には、脆弱性があります。結果として、該当製品のユーザ 権限を持つ第三者が、root 権限を取得するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware ESXi 6.7 - VMware ESXi 6.5 - VMware Workstation Pro / Player 15 系のバージョン - VMware Fusion Pro / Fusion 11 系のバージョン - VMware Remote Console for Mac 11 系のバージョンおよびそれ以前 - VMware Horizon Client for Mac 5 系のバージョンおよびそれ以前 この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2020-0011 https://www.vmware.com/security/advisories/VMSA-2020-0011.html 【4】Gitlab に複数の脆弱性 情報源 GitLab GitLab Security Release: 13.0.1, 12.10.7, 12.9.8 https://about.gitlab.com/releases/2020/05/27/security-release-13-0-1-released/ 概要 GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用 妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - GitLab Community および Enterprise Edition 13.0.1 より前の 13.0 系バージョン - GitLab Community および Enterprise Edition 12.10.7 より前の 12.10 系バージョン - GitLab Community および Enterprise Edition 12.9.8 より前の 12.9 系バージョン なお、上記に記載されていないバージョンも影響を受けるとのことです。詳細 は GitLab が提供する情報を参照してください。 この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新 することで解決します。詳細は、GitLab が提供する情報を参照してください。 【5】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/06/02/apple-releases-security-updates US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/05/27/apple-releases-security-updates CERT/CC Vulnerability Note VU#127371 iOS, iPadOS, tvOS, watchOS, and macOS contain an unspecified kernel vulnerability https://kb.cert.org/vuls/id/127371/ 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を窃取したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 13.5.1 より前のバージョン - iOS 12.4.7 より前のバージョン - iPadOS 13.5.1 より前のバージョン - macOS Catalina 10.15.5 (Supplemental Update 未適用) - macOS Mojave (Security Update 2020-003 未適用) - macOS High Sierra (Security Update 2020-003 未適用) - tvOS 13.4.6 より前のバージョン - watchOS 6.2.6 より前のバージョン - watchOS 5.3.7 より前のバージョン - Safari 13.1.1 より前のバージョン - iTunes 12.10.7 for Windows より前のバージョン - iCloud for Windows 11.2 より前のバージョン - iCloud for Windows 7.19 より前のバージョン - Windows Migration Assistant 2.2.0.0 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96200968 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU96200968/ Japan Vulnerability Notes JVNVU#98042162 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU98042162/ Japan Vulnerability Notes JVNVU#98960050 iOS のカーネルに Jailbreak につながる脆弱性 https://jvn.jp/vu/JVNVU98960050/ 関連文書 (英語) Apple About the security content of iOS 13.5.1 and iPadOS 13.5.1 https://support.apple.com/en-us/HT211214 Apple About the security content of iOS 12.4.7 https://support.apple.com/en-us/HT211169 Apple About the security content of macOS Catalina 10.15.5 Supplemental Update, Security Update 2020-003 High Sierra https://support.apple.com/ja-jp/HT211215 Apple About the security content of macOS Catalina 10.15.5, Security Update 2020-003 Mojave, Security Update 2020-003 High Sierra https://support.apple.com/en-us/HT211170 Apple About the security content of tvOS 13.4.6 https://support.apple.com/ja-jp/HT211216 Apple About the security content of watchOS 6.2.6 https://support.apple.com/ja-jp/HT211217 Apple About the security content of watchOS 5.3.7 https://support.apple.com/en-us/HT211176 Apple About the security content of Safari 13.1.1 https://support.apple.com/en-us/HT211177 Apple About the security content of iTunes 12.10.7 for Windows https://support.apple.com/en-us/HT211178 Apple About the security content of iCloud for Windows 11.2 https://support.apple.com/en-us/HT211179 Apple About the security content of iCloud for Windows 7.19 https://support.apple.com/en-us/HT211181 Apple About the security content of Windows Migration Assistant 2.2.0.0 https://support.apple.com/en-us/HT211186 【6】複数のサイボウズ製品に脆弱性 情報源 Japan Vulnerability Notes JVN#59552136 Cybozu Desktop Windows版において任意のコードが実行可能な脆弱性 https://jvn.jp/jp/JVN59552136/ Japan Vulnerability Notes JVN#78745667 複数のサイボウズ製品における脆弱性に対するアップデート https://jvn.jp/jp/JVN78745667/ 概要 複数のサイボウズ製品には脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cybozu Desktop Windows版 2.0.23 から 2.2.40 まで - メールワイズ for Android 1.0.0 から 1.0.1 まで - kintone mobile for Android 1.0.0 から 2.5 まで この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、サイボウズ株式会社が提供する 情報を参照してください。 関連文書 (日本語) サイボウズからのお知らせ Cybozu Desktop 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2020/007043.html サイボウズからのお知らせ メールワイズ for Android 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2020/007011.html サイボウズからのお知らせ kintone mobile for Android 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2020/007002.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA が「情報セキュリティ対策支援サイト」刷新版を公開 2020年5月28日、独立行政法人情報処理推進機構 (IPA) は、「情報セキュリ ティ対策支援サイト」の刷新版を公開しました。今回の刷新版では、Web サイ トの操作性の向上を図り、組織の情報セキュリティへの取組状況を自己診断す るサービスや、利用者の立場に合わせた学習コースを新たに提供しています。 企業・組織内の情報セキュリティ対策水準の向上にご活用ください。 参考文献 (日本語) IPA 独立行政法人 情報処理推進機構 情報セキュリティ対策支援サイトの公開について https://www.ipa.go.jp/security/isec-portal/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJe1vQhAAoJEKntH+qu5CT/SEAP/RuEm6G7g1W9ttkqxUx1xi2t FrkMVDbKy8s3Z5z7zHWDy4471hQKdGMSydRNokXXBGLZ/3LTED2ny6mdWhDZilmH R5Ma2en7MCXzgYs+HSbybgyCQysV+IeAXC1VeO0+l/jT3QXsR65M72eKYGa/q/pY +k0Khp1ZN82RPHgdX5rjAACak0JWzmLwYkiTk9SaKJRjUZyzKdsfmS/7Kh65DyTA xG4dZ9se3jMh1YtljDjevy7CvyMQp1UHhbAWVGmi0ffwHTth0ZAdgjCwKflbzRhG K/5n6QgNw+faXNu30Qy9sXZOtYqgOTy3Fs/5ZVWAOuA3+y8LtZZ506FfnuuAVqWE oEDIwmrMxubC++qAcqAz2Wkm735AB/5F7FLTOJHZtLx5FMoU6TRaZtx0A1o6Rvnf cAa2eRNhtg/RY6UQbIUtoTtt66P9vfcEVyLfyqWUSnSGutL7vYv8jsAws/dm63zZ 1aUuuKE/dYmM8RLtJH+Yv5EmlVhEZSqBhCq5F7YY7rZv4SRZVpBmY5d8zD11L4h5 rJAQcR2xZX8AQbNZPTnXEi3pZ9PiYWAFtylRcbNbDj33AM6gLKlG42b5ufZ1PQ+M TLcM8GTCSiwRl3rFcw1w7WwZA5ILCP/6a7NB9Hjpql7FT4R8DudJL4wo+Jx+JF/w B3F3VYW2AJtVMItt3I70 =YI4N -----END PGP SIGNATURE-----