-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-2801 JPCERT/CC 2020-07-22 <<< JPCERT/CC WEEKLY REPORT 2020-07-22 >>> ―――――――――――――――――――――――――――――――――――――― ■07/12(日)〜07/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】2020年 7月 Oracle Critical Patch Update について 【4】複数の Cisco 製品に脆弱性 【5】Google Chrome に複数の脆弱性 【6】複数の Apple 製品に脆弱性 【7】複数の SAP 製品に脆弱性 【8】Apache Tomcat に複数の脆弱性 【9】Mozilla Thunderbird に複数の脆弱性 【今週のひとくちメモ】ISOG-J が「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr202801.html https://www.jpcert.or.jp/wr/2020/wr202801.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases July 2020 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/microsoft-releases-july-2020-security-updates US-CERT Current Activity Microsoft Addresses 'Wormable' RCE Vulnerability in Windows DNS Server https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/microsoft-addresses-wormable-rce-vulnerability-windows-dns-server US-CERT Current Activity CISA Releases Emergency Directive on Critical Microsoft Vulnerability https://us-cert.cisa.gov/ncas/current-activity/2020/07/16/cisa-releases-emergency-directive-critical-microsoft-vulnerability US-CERT Current Activity Microsoft Releases Security Update for Edge https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/microsoft-releases-security-update-edge 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Microsoft Edge (EdgeHTML ベース) - Microsoft Edge (Chromium ベース) - Microsoft ChakraCore - Internet Explorer - Microsoft Office、Microsoft Office Services および Web Apps - Windows Defender - Skype for Business - Visual Studio - Microsoft OneDrive - Azure Storage Explorer - Bond - TypeScript - .NET Framework - Azure DevOps なお、マイクロソフトは、Windows DNS サーバーの脆弱性 (CVE-2020-1350) について注意喚起を公開しています。現時点で本脆弱性の悪用は確認されてい ないものの、影響を受ける Windows Server での早期の対策実施が推奨されて います。 この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2020 年 7 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Jul Microsoft Security Response Center Windows DNS サーバーの脆弱性情報 CVE-2020-1350 に関する注意喚起 https://msrc-blog.microsoft.com/2020/07/14/20200715-dnsvulnerability/ JPCERT/CC 注意喚起 2020年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200029.html マイクロソフト株式会社 CVE-2020-1341 | Microsoft Edge (Chromium ベース) の特権の昇格の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1341 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/adobe-releases-security-updates-multiple-products 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Creative Cloud デスクトップアプリケーション - Adobe Media Encoder - Adobe Genuine Service - ColdFusion 2018 - ColdFusion 2016 - Adobe Download Manager この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2020071501.html Adobe Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB20-33 https://helpx.adobe.com/jp/security/products/creative-cloud/apsb20-33.html Adobe Adobe Media Encoder に関するセキュリティアップデート公開 | APSB20-36 https://helpx.adobe.com/jp/security/products/media-encoder/apsb20-36.html Adobe Adobe Genuine Service に関するセキュリティアップデート公開 | APSB20-42 https://helpx.adobe.com/jp/security/products/integrity_service/apsb20-42.html Adobe Adobe ColdFusion 用セキュリティアップデート公開 | APSB20-43 https://helpx.adobe.com/jp/security/products/coldfusion/apsb20-43.html Adobe Adobe Download Manager に関するセキュリティアップデート公開 | APSB20-49 https://helpx.adobe.com/jp/security/products/adm/apsb20-49.html 【3】2020年 7月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Oracle Releases July 2020 Security Bulletin https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/oracle-releases-july-2020-security-bulletin 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細は、Oracle が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 2020年7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200030.html 関連文書 (英語) Oracle Oracle Critical Patch Update Advisory - July 2020 https://www.oracle.com/security-alerts/cpujul2020.html 【4】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2020/07/15/cisco-releases-security-updates-multiple-products 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 影響度 Critical の脆弱性情報の対象となる製品およびバージョンは次のとお りです。 - Cisco Small Business RV110W Wireless-N VPN Firewall ファームウェア 1.2.2.8 より前のバージョン - Cisco Small Business RV130 VPN Router ファームウェア 1.0.3.55 より前のバージョン - Cisco Small Business RV130W Wireless-N Multifunction VPN Router ファームウェア 1.0.3.55 より前のバージョン - Cisco Small Business RV215W Wireless-N VPN Router ファームウェア 1.3.1.7 より前のバージョン - Cisco Prime License Manager Software 10.5(2)SU10 より前のバージョン - Cisco Prime License Manager Software 11.5(1)SU7 より前のバージョン ※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、 影響度 High および Medium の複数の脆弱性情報が公開されています。詳細 は、Cisco が提供する情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Small Business RV110W Wireless-N VPN Firewall Static Default Credential Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv110w-static-cred-BMTWBWTy Cisco Security Advisory Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-rce-AQKREqp Cisco Security Advisory Cisco RV110W, RV130, RV130W, and RV215W Routers Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-auth-bypass-cGv9EruZ Cisco Security Advisory Cisco RV110W and RV215W Series Routers Arbitrary Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-code-exec-wH3BNFb Cisco Security Advisory Cisco Prime License Manager Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-prime-priv-esc-HyhwdzBA Cisco Security Advisory Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【5】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 84.0.4147.89 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html 【6】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/07/16/apple-releases-security-updates 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 13.6 より前のバージョン - iPadOS 13.6 より前のバージョン - macOS Catalina 10.15.6 より前のバージョン - macOS Mojave (Security Update 2020-004 未適用) - macOS High Sierra (Security Update 2020-004 未適用) - tvOS 13.4.8 より前のバージョン - watchOS 6.2.8 より前のバージョン - Safari 13.1.2 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94090210 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU94090210/ Apple iOS 13.6 および iPadOS 13.6 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211288 Apple macOS Catalina 10.15.6、セキュリティアップデート 2020-004 Mojave、セキュリティアップデート 2020-004 High Sierra のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211289 Apple tvOS 13.4.8 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211290 Apple watchOS 6.2.8 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211291 Apple Safari 13.1.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211292 【7】複数の SAP 製品に脆弱性 情報源 SAP SAP Security Patch Day - July 2020 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675 CISA Alert (AA20-195A) Critical Vulnerability in SAP NetWeaver AS Java https://us-cert.cisa.gov/ncas/alerts/aa20-195a 概要 複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該 製品を制御するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - SAP NetWeaver AS JAVA (LM Configuration Wizard) バージョン 7.30, 7.31, 7.40, 7.50 - SAP Business Client バージョン 6.5 - SAP NetWeaver (XML Toolkit for JAVA) バージョン ENGINEAPI 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 - SAP Disclosure Management バージョン 10.1 - SAP Business Objects Business Intelligence Platform (BI Launchpad) バージョン 4.2 - SAP Business Objects Business Intelligence Platform (bipodata) バージョン 4.2 - SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE) バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 - SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS) バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 - SAP Business Objects Business Intelligence Platform (BI Launchpad and CMC) バージョン 4.1, 4.2 - SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface) バージョン 4.1, 4.2 - SAP NetWeaver (ABAP Server) and ABAP Platform バージョン 731, 740, 750 なお、米 CISA は、SAP NetWeaver AS Java の脆弱性 (CVE-2020-6287) につ いてアラートを公開しています。現時点で本脆弱性の悪用は確認されていない ものの、影響を受ける SAP NetWeaver AS JAVA での早期の対策実施が推奨さ れています。 この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す ることで解決します。詳細は、SAP が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash SAP NetWeaver Application Server Java の脆弱性 (CVE-2020-6287) について https://www.jpcert.or.jp/newsflash/2020071401.html 【8】Apache Tomcat に複数の脆弱性 情報源 US-CERT Current Activity Apache Releases Security Advisories for Apache Tomcat https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/apache-releases-security-advisories-apache-tomcat Japan Vulnerability Notes JVNVU#96390265 Apache Tomcat における複数のサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU96390265/ 概要 The Apache Software Foundation が提供する Apache Tomcat には複数の脆弱 性があります。結果として、サービス運用妨害 (DoS) 攻撃を行う可能性があ ります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 10.0.0-M1 から 10.0.0-M6 まで - Apache Tomcat 9.0.0.M1 から 9.0.36 まで - Apache Tomcat 8.5.0 から 8.5.56 まで - Apache Tomcat 7.0.27 から 7.0.104 まで この問題は、Apache Tomcat を The Apache Software Foundation が提供する 修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) The Apache Software Foundation Fixed in Apache Tomcat 10.0.0-M7 https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M7 The Apache Software Foundation Fixed in Apache Tomcat 9.0.37 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37 The Apache Software Foundation Fixed in Apache Tomcat 8.5.57 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.57 The Apache Software Foundation Fixed in Apache Tomcat 7.0.105 https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.105 【9】Mozilla Thunderbird に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Update for Thunderbird https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/mozilla-releases-security-update-thunderbird 概要 Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第 三者が、情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となるバージョンは次のとおりです。 - Mozilla Thunderbird 78 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに更新することで解決 します。詳細は、Mozilla が提供する情報を参照してください。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Thunderbird 78 https://www.mozilla.org/en-US/security/advisories/mfsa2020-29/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ISOG-J が「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開 2020年7月13日、日本セキュリティオペレーション事業者協議会 (ISOG-J) は 「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開 しました。本ガイドラインでは、ユーザーがマネージドセキュリティサービス (MSS) を選ぶ際のポイントや事前に検討しておくと選定がしやすいポイントに ついて、導入企画から平時の運用、インシデント時の運用といったフェーズご とに解説されています。 参考文献 (日本語) 日本セキュリティオペレーション事業者協議会 (ISOG-J) マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0 (2020年7月) https://isog-j.org/output/2020/MSS-Guideline_v200.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJfF3qpAAoJEKntH+qu5CT/1v4P/jYqmRNH5OdFx8e7Ovcl00B4 J/MVzJ0uec1ZlbN7MohFxnopbHsPkuRyvCuKzFGd1AbeqdnTa3JoXbObeD+KvxAZ EUh/kHLIaUgX+G/ipIjv9jEvSzYCr4GiXgUS0hHDmxBnYUxqNuEiwWVBTY0Rcs+m zMtYNuYrvCMLx7QecbhYQiUrssQfZo5ncwCH+vcWYqAKD1Xn0ij0kamWOiWokPS9 XlMRehLPG3FY48y3jSHp2SkEuuyj7wevWDf6hLTSHFYQ3iLSYxOzPrFzOjWPebnV 2cBJmeT2AcbEy1HCdUiiHjJ4Kmt4DpijVtXUHAaCoMxsmVBq2wc6sLBWt9+wDjUE mu/n3N7QPAX6d7IMq7eyJ0uK0J0rlj8WxW8nqoQ73PjO5WqixhKtArkUn9g7geQ8 YBoGFY78h0+/Nnd2zCewnv1B4g4OASKb+U5uqt09g/haKoWRKL9cOpce2vcTtQ2g wxXJi6AgtWl/WYb7ECTAN7n3rGEAhxWyI+9nEFg/YjTSzZ5mWnl8lvF8Mc/W4Wrt uQRleV5PMJtQ1eqD0hHVQ9ZZNUlMFVBoiuj+ppZ7AcjKxDJiyXNdxn2VHnH5UaAH VyKZsEkY7gK+vXnw1xczXNglXbEZXLizCvgNqROzU6nkKv79mKjgUaVOTrfBo7VY Qxw7pP6eyvck6BQUsVeZ =vJSP -----END PGP SIGNATURE-----