複数の Microsoft 製品に脆弱性

JPCERT-WR-2020-2801 2020-07-22 2020-07-12 2020-07-18

複数の Microsoft 製品に脆弱性 US-CERT Current Activity Microsoft Releases July 2020 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/microsoft-releases-july-2020-security-updates US-CERT Current Activity Microsoft Addresses 'Wormable' RCE Vulnerability in Windows DNS Server https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/microsoft-addresses-wormable-rce-vulnerability-windows-dns-server US-CERT Current Activity CISA Releases Emergency Directive on Critical Microsoft Vulnerability https://us-cert.cisa.gov/ncas/current-activity/2020/07/16/cisa-releases-emergency-directive-critical-microsoft-vulnerability US-CERT Current Activity Microsoft Releases Security Update for Edge https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/microsoft-releases-security-update-edge

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。対象となる製品は次のとおりです。 - Microsoft Windows - Microsoft Edge (EdgeHTML ベース) - Microsoft Edge (Chromium ベース) - Microsoft ChakraCore - Internet Explorer - Microsoft Office、Microsoft Office Services および Web Apps - Windows Defender - Skype for Business - Visual Studio - Microsoft OneDrive - Azure Storage Explorer - Bond - TypeScript - .NET Framework - Azure DevOps なお、マイクロソフトは、Windows DNS サーバーの脆弱性 (CVE-2020-1350) について注意喚起を公開しています。現時点で本脆弱性の悪用は確認されていないものの、影響を受ける Windows Server での早期の対策実施が推奨されています。この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

マイクロソフト株式会社 2020 年 7 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Jul Microsoft Security Response Center Windows DNS サーバーの脆弱性情報 CVE-2020-1350 に関する注意喚起 https://msrc-blog.microsoft.com/2020/07/14/20200715-dnsvulnerability/ JPCERT/CC 注意喚起 2020年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200029.html マイクロソフト株式会社 CVE-2020-1341 | Microsoft Edge (Chromium ベース) の特権の昇格の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1341

複数の Adobe 製品に脆弱性 US-CERT Current Activity Adobe Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/adobe-releases-security-updates-multiple-products

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。対象となる製品は次のとおりです。 - Creative Cloud デスクトップアプリケーション - Adobe Media Encoder - Adobe Genuine Service - ColdFusion 2018 - ColdFusion 2016 - Adobe Download Manager この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

JPCERT/CC CyberNewsFlash 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2020071501.html Adobe Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB20-33 https://helpx.adobe.com/jp/security/products/creative-cloud/apsb20-33.html Adobe Adobe Media Encoder に関するセキュリティアップデート公開 | APSB20-36 https://helpx.adobe.com/jp/security/products/media-encoder/apsb20-36.html Adobe Adobe Genuine Service に関するセキュリティアップデート公開 | APSB20-42 https://helpx.adobe.com/jp/security/products/integrity_service/apsb20-42.html Adobe Adobe ColdFusion 用セキュリティアップデート公開 | APSB20-43 https://helpx.adobe.com/jp/security/products/coldfusion/apsb20-43.html Adobe Adobe Download Manager に関するセキュリティアップデート公開 | APSB20-49 https://helpx.adobe.com/jp/security/products/adm/apsb20-49.html

2020年 7月 Oracle Critical Patch Update について US-CERT Current Activity Oracle Releases July 2020 Security Bulletin https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/oracle-releases-july-2020-security-bulletin

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。詳細は、Oracle が提供する情報を参照してください。

JPCERT/CC 注意喚起 2020年7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200030.html Oracle Oracle Critical Patch Update Advisory - July 2020 https://www.oracle.com/security-alerts/cpujul2020.html

複数の Cisco 製品に脆弱性 US-CERT Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2020/07/15/cisco-releases-security-updates-multiple-products

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。影響度 Critical の脆弱性情報の対象となる製品およびバージョンは次のとおりです。 - Cisco Small Business RV110W Wireless-N VPN Firewall ファームウェア 1.2.2.8 より前のバージョン - Cisco Small Business RV130 VPN Router ファームウェア 1.0.3.55 より前のバージョン - Cisco Small Business RV130W Wireless-N Multifunction VPN Router ファームウェア 1.0.3.55 より前のバージョン - Cisco Small Business RV215W Wireless-N VPN Router ファームウェア 1.3.1.7 より前のバージョン - Cisco Prime License Manager Software 10.5(2)SU10 より前のバージョン - Cisco Prime License Manager Software 11.5(1)SU7 より前のバージョン ※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、影響度 High および Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が提供する情報を参照してください。この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

Cisco Security Advisory Cisco Small Business RV110W Wireless-N VPN Firewall Static Default Credential Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv110w-static-cred-BMTWBWTy Cisco Security Advisory Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-rce-AQKREqp Cisco Security Advisory Cisco RV110W, RV130, RV130W, and RV215W Routers Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-auth-bypass-cGv9EruZ Cisco Security Advisory Cisco RV110W and RV215W Series Routers Arbitrary Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-code-exec-wH3BNFb Cisco Security Advisory Cisco Prime License Manager Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-prime-priv-esc-HyhwdzBA Cisco Security Advisory Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x

Google Chrome に複数の脆弱性 US-CERT Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/google-releases-security-updates-chrome

Google Chrome には、複数の脆弱性があります。対象となるバージョンは次のとおりです。 - Google Chrome 84.0.4147.89 より前のバージョンこの問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html

複数の Apple 製品に脆弱性 US-CERT Current Activity Apple Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/07/16/apple-releases-security-updates

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。対象となる製品およびバージョンは次のとおりです。 - iOS 13.6 より前のバージョン - iPadOS 13.6 より前のバージョン - macOS Catalina 10.15.6 より前のバージョン - macOS Mojave (Security Update 2020-004 未適用) - macOS High Sierra (Security Update 2020-004 未適用) - tvOS 13.4.8 より前のバージョン - watchOS 6.2.8 より前のバージョン - Safari 13.1.2 より前のバージョンこの問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#94090210 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU94090210/ Apple iOS 13.6 および iPadOS 13.6 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211288 Apple macOS Catalina 10.15.6、セキュリティアップデート 2020-004 Mojave、セキュリティアップデート 2020-004 High Sierra のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211289 Apple tvOS 13.4.8 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211290 Apple watchOS 6.2.8 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211291 Apple Safari 13.1.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211292

複数の SAP 製品に脆弱性 SAP SAP Security Patch Day - July 2020 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675 CISA Alert (AA20-195A) Critical Vulnerability in SAP NetWeaver AS Java https://us-cert.cisa.gov/ncas/alerts/aa20-195a

複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該製品を制御するなどの可能性があります。対象となる製品およびバージョンは次のとおりです。 - SAP NetWeaver AS JAVA (LM Configuration Wizard) バージョン 7.30, 7.31, 7.40, 7.50 - SAP Business Client バージョン 6.5 - SAP NetWeaver (XML Toolkit for JAVA) バージョン ENGINEAPI 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 - SAP Disclosure Management バージョン 10.1 - SAP Business Objects Business Intelligence Platform (BI Launchpad) バージョン 4.2 - SAP Business Objects Business Intelligence Platform (bipodata) バージョン 4.2 - SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE) バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 - SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS) バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 - SAP Business Objects Business Intelligence Platform (BI Launchpad and CMC) バージョン 4.1, 4.2 - SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface) バージョン 4.1, 4.2 - SAP NetWeaver (ABAP Server) and ABAP Platform バージョン 731, 740, 750 なお、米 CISA は、SAP NetWeaver AS Java の脆弱性 (CVE-2020-6287) についてアラートを公開しています。現時点で本脆弱性の悪用は確認されていないものの、影響を受ける SAP NetWeaver AS JAVA での早期の対策実施が推奨されています。この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新することで解決します。詳細は、SAP が提供する情報を参照してください。

JPCERT/CC CyberNewsFlash SAP NetWeaver Application Server Java の脆弱性 (CVE-2020-6287) について https://www.jpcert.or.jp/newsflash/2020071401.html

Apache Tomcat に複数の脆弱性 US-CERT Current Activity Apache Releases Security Advisories for Apache Tomcat https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/apache-releases-security-advisories-apache-tomcat Japan Vulnerability Notes JVNVU#96390265 Apache Tomcat における複数のサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU96390265/

The Apache Software Foundation が提供する Apache Tomcat には複数の脆弱性があります。結果として、サービス運用妨害 (DoS) 攻撃を行う可能性があります。対象となるバージョンは次のとおりです。 - Apache Tomcat 10.0.0-M1 から 10.0.0-M6 まで - Apache Tomcat 9.0.0.M1 から 9.0.36 まで - Apache Tomcat 8.5.0 から 8.5.56 まで - Apache Tomcat 7.0.27 から 7.0.104 までこの問題は、Apache Tomcat を The Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。

The Apache Software Foundation Fixed in Apache Tomcat 10.0.0-M7 https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M7 The Apache Software Foundation Fixed in Apache Tomcat 9.0.37 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37 The Apache Software Foundation Fixed in Apache Tomcat 8.5.57 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.57 The Apache Software Foundation Fixed in Apache Tomcat 7.0.105 https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.105

Mozilla Thunderbird に複数の脆弱性 US-CERT Current Activity Mozilla Releases Security Update for Thunderbird https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/mozilla-releases-security-update-thunderbird

Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第三者が、情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。対象となるバージョンは次のとおりです。 - Mozilla Thunderbird 78 より前のバージョンこの問題は、Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

Mozilla Security Vulnerabilities fixed in Thunderbird 78 https://www.mozilla.org/en-US/security/advisories/mfsa2020-29/

ISOG-J が「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開 2020年7月13日、日本セキュリティオペレーション事業者協議会 (ISOG-J) は「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」を公開しました。本ガイドラインでは、ユーザーがマネージドセキュリティサービス (MSS) を選ぶ際のポイントや事前に検討しておくと選定がしやすいポイントについて、導入企画から平時の運用、インシデント時の運用といったフェーズごとに解説されています。日本セキュリティオペレーション事業者協議会 (ISOG-J) マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0 (2020年7月) https://isog-j.org/output/2020/MSS-Guideline_v200.html