-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-2601 JPCERT/CC 2020-07-08 <<< JPCERT/CC WEEKLY REPORT 2020-07-08 >>> ―――――――――――――――――――――――――――――――――――――― ■06/28(日)〜07/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Windows Codecs Library にリモートでコードが実行される脆弱性 【2】複数の Mozilla 製品に脆弱性 【3】Palo Alto Networks 製品に署名検証不備の脆弱性 【4】GitLab に複数の脆弱性 【5】複数の Cisco 製品に脆弱性 【6】サイボウズ Garoon に複数の脆弱性 【今週のひとくちメモ】ICT-ISAC が「家庭内で安全快適に在宅勤務を行うためのリファレンスガイド」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr202601.html https://www.jpcert.or.jp/wr/2020/wr202601.xml ============================================================================ 【1】Microsoft Windows Codecs Library にリモートでコードが実行される脆弱性 情報源 US-CERT Current Activity Microsoft Releases Security Updates for Windows 10, Windows Server https://www.us-cert.gov/ncas/current-activity/2020/07/01/microsoft-releases-security-updates-windows-10-windows-server 概要 Microsoft Windows Codecs Library には、リモートでコードが実行される脆 弱性があります。結果として、遠隔の第三者がシステム内の情報を窃取する可 能性があります。 対象となるバージョンは次のとおりです。 - Windows 10 Version 1709 for 32-bit Systems - Windows 10 Version 1709 for ARM64-based Systems - Windows 10 Version 1709 for x64-based Systems - Windows 10 Version 1803 for 32-bit Systems - Windows 10 Version 1803 for ARM64-based Systems - Windows 10 Version 1803 for x64-based Systems - Windows 10 Version 1809 for 32-bit Systems - Windows 10 Version 1809 for ARM64-based Systems - Windows 10 Version 1809 for x64-based Systems - Windows 10 Version 1903 for 32-bit Systems - Windows 10 Version 1903 for ARM64-based Systems - Windows 10 Version 1903 for x64-based Systems - Windows 10 Version 1909 for 32-bit Systems - Windows 10 Version 1909 for ARM64-based Systems - Windows 10 Version 1909 for x64-based Systems - Windows 10 Version 2004 for 32-bit Systems - Windows 10 Version 2004 for ARM64-based Systems - Windows 10 Version 2004 for x64-based Systems この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 CVE-2020-1425 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1425 マイクロソフト株式会社 CVE-2020-1457 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1457 JPCERT/CC 注意喚起 Microsoft Windows Codecs Library の脆弱性 (CVE-2020-1425, CVE-2020-1457) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200027.html 【2】複数の Mozilla 製品に脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox and Firefox ESR https://www.us-cert.gov/ncas/current-activity/2020/07/02/mozilla-releases-security-updates-firefox-and-firefox-esr 概要 複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が 情報を窃取するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 78 より前のバージョン - Mozilla Firefox ESR 68.10 より前のバージョン - Mozilla Thunderbird 68.10.0 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 78 https://www.mozilla.org/en-US/security/advisories/mfsa2020-24/ Mozilla Security Vulnerabilities fixed in Firefox ESR 68.10 https://www.mozilla.org/en-US/security/advisories/mfsa2020-25/ Mozilla Security Vulnerabilities fixed in Thunderbird 68.10.0 https://www.mozilla.org/en-US/security/advisories/mfsa2020-26/ 【3】Palo Alto Networks 製品に署名検証不備の脆弱性 情報源 US-CERT Current Activity Palo Alto Releases Security Updates for PAN-OS https://www.us-cert.gov/ncas/current-activity/2020/06/29/palo-alto-releases-security-updates-pan-os/ 概要 Palo Alto Networks 製の PAN-OS の SAML 認証には、署名検証の不備に起因 した脆弱性があります。結果として、遠隔の第三者が保護されたリソースにア クセスするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - PAN-OS 9.1.x 系のうち、9.1.3 より前のバージョン - PAN-OS 9.0.x 系のうち、9.0.9 より前のバージョン - PAN-OS 8.1.x 系のうち、8.1.15 より前のバージョン なお、既にサポートが終了している PAN-OS 8.0.x 系も本脆弱性の影響を受 けるとのことです。 この問題は、該当する製品を Palo Alto Networks が提供する修正済みのバー ジョンに更新し、更新後に既存の不正なセッションを破棄することで解決しま す。詳細は、Palo Alto Networks が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Palo Alto Networks 製品の脆弱性 (CVE-2020-2021) について https://www.jpcert.or.jp/newsflash/2020063001.html 関連文書 (英語) Palo Alto Networks Security Advisories CVE-2020-2021 PAN-OS: Authentication Bypass in SAML Authentication https://security.paloaltonetworks.com/CVE-2020-2021 【4】GitLab に複数の脆弱性 情報源 GitLab GitLab Security Release: 13.1.2, 13.0.8 and 12.10.13 https://about.gitlab.com/releases/2020/07/01/security-release-13-1-2-release/ 概要 GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用 妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - GitLab Community および Enterprise Edition 13.1.2 より前の 13.1 系バージョン - GitLab Community および Enterprise Edition 13.0.8 より前の 13.0 系バージョン - GitLab Community および Enterprise Edition 12.10.13 より前の 12.10 系バージョン なお、対象となるバージョンに記載していませんが、サポート終了したバージョン も影響を受けるとのことです。詳細は GitLab が提供する情報を参照してくだ さい。 この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新 することで解決します。詳細は、GitLab が提供する情報を参照してください。 【5】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2020/07/02/cisco-releases-security-updates-multiple-products 概要 複数の Cisco 製品には、脆弱性があります。結果として、認証されていない 遠隔の第三者が、管理インターフェースにおいて、管理者権限を取得するなど の可能性があります。 影響度 High の脆弱性情報の対象となる製品は次のとおりです。 - 250 Series Smart Switches - 350 Series Managed Switches - 350X Series Stackable Managed Switches - 550X Series Stackable Managed Switches なお、対象となる製品に記載していませんが、サポート終了した製品も影響を 受けるとのことです。詳細は Cisco が提供する情報を参照してください。 ※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、 影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が 提供する情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Small Business Smart and Managed Switches Session Management Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbswitch-session-JZAS5jnY 【6】サイボウズ Garoon に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#55497111 サイボウズ Garoon に複数の脆弱性 https://jvn.jp/jp/JVN55497111/ 概要 サイボウズ製 Garoon には、複数の脆弱性があります。結果として、遠隔の第 三者が、設定を閲覧したり、意図しない情報を取得したりするなどの可能性が あります。 対象となるバージョンは次のとおりです。 - サイボウズ Garoon 4.0.0 から 5.0.1 まで この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を 参照してください。 関連文書 (日本語) サイボウズ株式会社 パッケージ版 Garoon 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2020/007143.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ICT-ISAC が「家庭内で安全快適に在宅勤務を行うためのリファレンスガイド」を公開 2020年7月1日、一般社団法人ICT-ISAC は「家庭内で安全快適に在宅勤務を行 うためのリファレンスガイド」を公開しました。本リファレンスガイドは家庭 内のセキュリティ確保にフォーカスを当て、在宅勤務を行う社員等の参考にな る情報を国内各 ISAC 組織の協力を得てまとめたものです。本リファレンスガ イドの利用は、ISAC 会員企業などの社員が想定されていますが、フリーラン スなどの個人事業者の方でも十分に参考になるとのことです。 参考文献 (日本語) 一般社団法人ICT-ISAC 家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について https://www.ict-isac.jp/news/news20200701.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJfBRJKAAoJEKntH+qu5CT/H6EP/RxOZPA6q8rK4WuQHE4Ne/tk WslmDZjbn4CY/ZM1LxwyEWPYwaLD/8fyRZD0RDrwGV1+P5cxdzigP2NBgK7hwpGC LMCJtZVo/7q3qr75zTnTTmVtqbVhpxT7kb786bT+urwzGN4y90QXocch/B2n/3kP OmAg9mQ4pef3/aEcGwTxGzzMtOGLht+9lUjlDeNqInU9f5MVn8ZSUws6r5yqWVU9 Yr3Sgk7lY2/JxYCXnT/ey5cGj3XppMWZvO5XZVdAdq6jQ/VkszirR/TFN/pSFVik +N9YK/yiwHNU6RljXYtQce3X0LG+w0pIGm66sKieiEyAJcnlrStF9XZ7nR3VQNXJ sNeh/gbLgeJyMHFx5zuKrvbm8LqKis2gBxcReLYbbVJt37wxVuCcuqj60eekLiln REEE1bvLSrNef8DBBXicgV/59exvrrl1s/ctWJmL/5OyLCz8mk2uOIhcstOXMoaj zDSByTM53y85qpIyMVMZ+e84LmrzSaOtI1f4FzfiY7XRNyT8vEJ32bggLVLEOlGQ HpXc2xbN243frMNK+NHmXPiN0q7TsuYz4miyUT3EfSBqJ4+g/FI7hOpsznRWwR46 AXL6ycjbwHDwRYhudkHPbersnV+YlTeSzs97nTWoBg1DW7UbnEBKDAO2U1QNO3m6 jl9XosdiUjUs5jTBTkBY =7Zdu -----END PGP SIGNATURE-----