-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-2401 JPCERT/CC 2020-06-24 <<< JPCERT/CC WEEKLY REPORT 2020-06-24 >>> ―――――――――――――――――――――――――――――――――――――― ■06/14(日)〜06/20(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chrome に複数の脆弱性 【2】ISC BIND に複数の脆弱性 【3】複数の Cisco 製品に脆弱性 【4】Drupal に複数の脆弱性 【5】複数の Adobe 製品に脆弱性 【6】Treck 製 IP スタックに複数の脆弱性 【7】EC-CUBE にディレクトリトラバーサルの脆弱性 【8】VLC media player に複数の脆弱性 【今週のひとくちメモ】Adobe Flash Player が 2020年末でサポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr202401.html https://www.jpcert.or.jp/wr/2020/wr202401.xml ============================================================================ 【1】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2020/06/16/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 83.0.4103.106 より前のバージョン この問題は、Google が提供する修正済みのバージョンに更新することで解決 します。詳細は、Google が提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/06/stable-channel-update-for-desktop_15.html 【2】ISC BIND に複数の脆弱性 情報源 US-CERT Current Activity ISC Releases Security Advisories for BIND https://www.us-cert.gov/ncas/current-activity/2020/06/18/isc-releases-security-advisories-bind 概要 ISC BIND には、複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9.16.0 から 9.16.3 までのバージョン - BIND 9.14.9 から 9.14.12 までのバージョン - BIND 9.11.14 から 9.11.19 までのバージョン - BIND Supported Preview Edition 9.11.14-S1 から 9.11.19-S1 までのバージョン この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash ISC BIND 9 における脆弱性 (CVE-2020-8618、CVE-2020-8619) について https://www.jpcert.or.jp/newsflash/2020061801.html 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8618)- バージョンアップを推奨 - https://jprs.jp/tech/security/2020-06-18-bind9-vuln-zone-transfer.html 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8619)- バージョンアップを推奨 - https://jprs.jp/tech/security/2020-06-18-bind9-vuln-asterisk.html Japan Vulnerability Notes JVNVU#91012351 ISC BIND に複数の脆弱性 https://jvn.jp/vu/JVNVU91012351/ 関連文書 (英語) ISC Knowledge Base CVE-2020-8618: A buffer boundary check assertion in rdataset.c can fail incorrectly during zone transfer https://kb.isc.org/docs/cve-2020-8618 ISC Knowledge Base CVE-2020-8619: An asterisk character in an empty non-terminal can cause an assertion failure in rbtdb.c https://kb.isc.org/docs/cve-2020-8619 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Multiple Security Updates https://www.us-cert.gov/ncas/current-activity/2020/06/18/cisco-releases-multiple-security-updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 影響度 High の脆弱性情報の対象となる製品は次のとおりです。 - Cisco Small Business RV Series Routers - Cisco TelePresence Collaboration Endpoint Software - Cisco RoomOS Software - Cisco Webex Meetings - Cisco Webex Meetings Server - Cisco Webex Meetings Desktop App (Mac) ※影響度 Critical の脆弱性は、対象製品および対策方法が調査中です。詳細 は、Cisco が提供する情報を参照してください。 ※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、 影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が 提供する情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Multiple Vulnerabilities in Treck IP Stack Affecting Cisco Products: June 2020 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-treck-ip-stack-JyBQ5GyC Cisco Security Advisory Cisco Small Business RV Series Routers Stack Overflow Arbitrary Code Execution Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-routers-stack-vUxHmnNz Cisco Security Advisory Cisco Small Business RV110W, RV130, RV130W, and RV215W Series Routers Management Interface Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-routers-injection-tWC7krKQ Cisco Security Advisory Cisco Small Business RV Series Routers Command Injection Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-routers-Rj5JRfF8 Cisco Security Advisory Cisco TelePresence Collaboration Endpoint and RoomOS Software Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-tp-cmd-inj-7ZpWhvZb Cisco Security Advisory Cisco Webex Meetings and Cisco Webex Meetings Server Token Handling Unauthorized Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-token-zPvEjKN Cisco Security Advisory Cisco Webex Meetings Desktop App URL Filtering Arbitrary Program Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-client-url-fcmpdfVY Cisco Security Advisory Cisco Webex Meetings Desktop App for Mac Update Feature Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-client-mac-X7vp65BL 【4】Drupal に複数の脆弱性 情報源 US-CERT Current Activity Drupal Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/06/18/drupal-releases-security-updates 概要 Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 の PHP コードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.0.1 より前の 9.0 系のバージョン - Drupal 8.9.1 より前の 8.9 系のバージョン - Drupal 8.8.8 より前の 8.8 系のバージョン - Drupal 7.72 より前の 7 系のバージョン なお、Drupal によると Drupal 8.8 系より前の 8 系のバージョンは、サポー トが終了しているため、Drupal 8.8.8 に更新することを推奨しています。 この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Drupal が提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Critical - Cross Site Request Forgery - SA-CORE-2020-004 https://www.drupal.org/sa-core-2020-004 Drupal Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-005 https://www.drupal.org/sa-core-2020-005 【5】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2020/06/17/adobe-releases-security-updates-multiple-products 概要 複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Campaign Classic 20.1 およびそれ以前 (Windows および Linux) - Adobe After Effects 17.1 およびそれ以前 (Windows) - Adobe Illustrator 2020 24.1.2 およびそれ以前 (Windows) - Adobe Premiere Pro 14.2 およびそれ以前 (Windows) - Adobe Premiere Rush 1.5.12 およびそれ以前 (Windows) - Adobe Audition 13.0.6 およびそれ以前 (Windows) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2020061701.html Adobe Adobe Campaign Classic に関するセキュリティアップデート公開 | APSB19-34 https://helpx.adobe.com/jp/security/products/campaign/apsb20-34.html Adobe Adobe After Effects に関するセキュリティアップデート公開 | APSB20-35 https://helpx.adobe.com/jp/security/products/after_effects/apsb20-35.html Adobe Adobe Illustrator に関するセキュリティアップデート公開 | APSB20-37 https://helpx.adobe.com/jp/security/products/illustrator/apsb20-37.html Adobe Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB20-38 https://helpx.adobe.com/jp/security/products/premiere_pro/apsb20-38.html Adobe Adobe Premiere Rush に関するセキュリティアップデート公開 | APSB20-39 https://helpx.adobe.com/jp/security/products/premiere_rush/apsb20-39.html Adobe Adobe Audition に関するセキュリティアップデート公開 | APSB20-40 https://helpx.adobe.com/jp/security/products/audition/apsb20-40.html 【6】Treck 製 IP スタックに複数の脆弱性 情報源 US-CERT Current Activity Ripple20 Vulnerabilities Affecting Treck IP Stacks https://www.us-cert.gov/ncas/current-activity/2020/06/16/ripple20-vulnerabilities-affecting-treck-ip-stacks Japan Vulnerability Notes JVNVU#94736763 Treck 製 IP スタックに複数の脆弱性 https://jvn.jp/vu/JVNVU94736763/ 概要 Treck 社が提供する組み込み製品向け IP スタックには、複数の脆弱性があり ます。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運 用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Treck 社が提供する IP スタック 6.0.1.67 より前のバージョンを使用している製品 - 図研エルミック株式会社が提供する IP スタック KASAGO 6.0.1.33 より前のバージョンを使用している製品 この問題は、使用する IP スタックを、開発者が提供する情報をもとに修正済 みのバージョンに更新することで解決します。詳細は、開発者が提供する情報 を参照してください。 関連文書 (日本語) 図研エルミック株式会社 KASAGO製品における脆弱性に関するお知らせ https://www.elwsc.co.jp/news/4136/ 関連文書 (英語) JSOF Overview- Ripple20 https://www.jsof-tech.com/ripple20/ 【7】EC-CUBE にディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#77458946 EC-CUBE におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN77458946/ 概要 EC-CUBE には、ディレクトリトラバーサルの脆弱性があります。結果として、 ユーザ権限を持つ第三者が、サーバ内の任意のファイルやディレクトリを削除 する可能性があります。 対象となるバージョンは次のとおりです。 - EC-CUBE 4.0.0 から 4.0.3 までのバージョン - EC-CUBE 3.0.0 から 3.0.18 までのバージョン この問題は、該当する製品を株式会社イーシーキューブが提供する修正済みの バージョンに更新するか、パッチを適用することで解決します。詳細は、株式 会社イーシーキューブが提供する情報を参照してください。 関連文書 (日本語) 株式会社イーシーキューブ ディレクトリトラバーサルの脆弱性(4.0系) https://www.ec-cube.net/info/weakness/weakness.php?id=74 株式会社イーシーキューブ ディレクトリトラバーサルの脆弱性(3.0系) https://www.ec-cube.net/info/weakness/weakness.php?id=73 【8】VLC media player に複数の脆弱性 情報源 Video LAN Security Bulletin VLC 3.0.11 http://www.videolan.org/security/sb-vlc3011.html 概要 Video LAN が提供する VLC media player には、バッファオーバーフローの脆 弱性があります。結果として、第三者が特別に細工したコンテンツをユーザに 開かせることで、任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - VLC media player 3.0.10 およびそれ以前のバージョン この問題は、VLC media player を Video LAN が提供する修正済みのバージョン に更新することで解決します。詳細は、Video LAN が提供する情報を参照して ください。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Adobe Flash Player が 2020年末でサポート終了 Adobe が提供する Adobe Flash Player は、2020年12月31日にサポートが終了 します。サポートが終了すると、アップデートやセキュリティパッチが提供さ れません。Adobe Flash Player をインストールしている場合は、サポート終 了日より前にアンインストールすることを推奨します。 なお、サポート終了日以降は、Adobe Flash Player のコンテンツ実行がブロック されるとのことです。詳細は Adobe が提供する情報を参照してください。 参考文献 (日本語) Adobe Adobe Flash Playerサポート終了情報ページ https://www.adobe.com/jp/products/flashplayer/end-of-life.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJe8pciAAoJEKntH+qu5CT/xyoP/RxudFq6n/HpzuVuB+YoVuIq miyXP5QNK99b8BJjvsBKUtO0W8IFK0EwfrXj1Hl0+NQa1t1uKkOGqZD7aKGDLmgd 5M2+nbJGTpWi8uUuui1+ZP4wraqsi7+AtOjgOhKWjZxLidLlSrfYiFrz5tztVAP8 brr4Mm3A5gRKpgv+ZddvdrVU3ok0Lt8Xjo07nm0LwT61YWz6mght3CcP0CrCF3lp Axvf2oqTjn7xchaJhAOrPCkQmT/731ARshclELALYYC7ycA2dX34TDOUpGscR5BB eVDKF5YRUCG5PfDK0xeRITdnCAwmyC99Szhya8rq5QXMZ+IprLPx3+kjhAMs4jq0 t4E62hfsLPqp2efpweOFPQMVOivNyLKKYvVQG6HXVTnOk8Oehrpe4irvfA3+2NzA 04F14W9blGk+aDj2gGatGBub2czkcFp5BpF3GdXOfCaDlu8QcYKcCpA5HZPY3bVw f4TdmQlwd0g71Ikku+ZEgTWrkaBHQl4TlWhvgJo8VGr9ZPpr0lKmOb8rm9w4M7bE av1wQ/pLgEPJmZnExA0J+e8wEeLbp/Ww0cPwKSMf0YLaSKd0Hib235rUMoLSjNG4 BSfu7DS2wUK1tGjcypP22XVBpO7pKZvYbAB/wKYMduKEm3bqMdLYX87k4IRCmNeP CzX+6P37+RBup2H1Cy61 =PQCV -----END PGP SIGNATURE-----