-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-3201 JPCERT/CC 2020-08-19 <<< JPCERT/CC WEEKLY REPORT 2020-08-19 >>> ―――――――――――――――――――――――――――――――――――――― ■08/09(日)〜08/15(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】Apache HTTP Server に複数の脆弱性 【3】複数の Apple 製品に脆弱性 【4】Google Chrome に複数の脆弱性 【5】複数の Adobe 製品に脆弱性 【6】Citrix Endpoint Management (XenMobile) に複数の脆弱性 【7】CyberMail に複数の脆弱性 【8】Intel 製品に複数の脆弱性 【9】複数の SAP 製品に脆弱性 【10】Apache Struts 2 に複数の脆弱性 【今週のひとくちメモ】ZeroShellの脆弱性を標的としたアクセスの観測について ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr203201.html https://www.jpcert.or.jp/wr/2020/wr203201.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 CISA Current Activity Microsoft Releases August 2020 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/microsoft-releases-august-2020-security-updates 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Microsoft Edge (EdgeHTML ベース) - Microsoft Edge (Chromium ベース) - Microsoft ChakraCore - Internet Explorer - Microsoft スクリプト エンジン - SQL Server - Microsoft Jet データベース エンジン - .NET Framework - ASP.NET Core - Microsoft Office、Microsoft Office Services および Web Apps - Microsoft Windows Codecs Library - Microsoft Dynamics この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2020 年 8 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Aug JPCERT/CC 注意喚起 2020年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200033.html 【2】Apache HTTP Server に複数の脆弱性 情報源 Apache Software Foundation Fixed in Apache httpd 2.4.44 https://httpd.apache.org/security/vulnerabilities_24.html#2.4.44 概要 Apache HTTP Server には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Apache HTTP Server 2.4.44 より前のバージョン この問題は、Apache HTTP Server を Apache Software Foundation が提供す る修正済みのバージョンに更新することで解決します。詳細は、Apache Software Foundation が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92184689 Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU92184689/ 【3】複数の Apple 製品に脆弱性 情報源 CISA Current Activity Apple Releases Security Updates for iCloud for Windows https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/apple-releases-security-updates-icloud-windows 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となるバージョンは次のとおりです。 - iCloud for Windows 11.3 より前のバージョン - iCloud for Windows 7.20 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95491800 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU95491800/ Apple Windows 用 iCloud 11.3 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211294 Apple Windows 用 iCloud 7.20 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211295 【4】Google Chrome に複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 84.0.4147.125 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop.html 【5】複数の Adobe 製品に脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/adobe-releases-security-updates 概要 複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、機密情報を窃取したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Lightroom Classic 9.2.0.10 およびそれ以前 - Acrobat DC Continuous 2020.009.20074 およびそれ以前 - Acrobat Reader DC Continuous 2020.009.20074 およびそれ以前 - Acrobat 2020 Classic 2020 2020.001.30002 - Acrobat Reader 2020 Classic 2020 2020.001.30002 - Acrobat 2017 Classic 2017 2017.011.30171 およびそれ以前 - Acrobat Reader 2017 Classic 2017 2017.011.30171 およびそれ以前 - Acrobat 2015 Classic 2015 2015.006.30523 およびそれ以前 - Acrobat Reader 2015 Classic 2015 2015.006.30523 およびそれ以前 この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Adobe Lightroom に関するアップデート (APSB20-51) について https://www.jpcert.or.jp/newsflash/2020081201.html JPCERT/CC 注意喚起 Adobe Acrobat および Reader の脆弱性 (APSB20-48) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200032.html Adobe Adobe Lightroom に関するセキュリティアップデート公開 | APSB20-51 https://helpx.adobe.com/jp/security/products/lightroom/apsb20-51.html Adobe Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-48 https://helpx.adobe.com/jp/security/products/acrobat/apsb20-48.html 【6】Citrix Endpoint Management (XenMobile) に複数の脆弱性 情報源 JPCERT/CC CyberNewsFlash Citrix Endpoint Management のセキュリティアップデートについて https://www.jpcert.or.jp/newsflash/2020081202.html 概要 Citrix Endpoint Management (XenMobile) には、複数の脆弱性があります。 対象となる製品は次のとおりです。 - XenMobile Server この問題は、Citrix が提供する修正済みのバージョンに更新することで解決 します。詳細は、Citrix が提供する情報を参照してください。 関連文書 (英語) Citrix Systems, Inc. Citrix Endpoint Management (CEM) Security Update https://support.citrix.com/article/CTX277457 【7】CyberMail に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#46258789 CyberMail における複数の脆弱性 https://jvn.jp/jp/JVN46258789/ 概要 サイバーソリューションズ株式会社が提供する CyberMail には、複数の脆弱 性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のス クリプトを実行したり、任意のウェブサイトにリダイレクトしたりする可能性 があります。 対象となるバージョンは次のとおりです。 - CyberMail Ver.7 系 - CyberMail Ver.6 系 この問題は、サイバーソリューションズ株式会社が提供するパッチを適用する ことで解決します。詳細は、サイバーソリューションズ株式会社が提供する情 報を参照してください。 【8】Intel 製品に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#99606488 Intel 製品に複数の脆弱性 https://jvn.jp/vu/JVNVU99606488/ JPCERT/CC CyberNewsFlash Intel 製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2020081301.html 概要 Intel から複数の製品に含まれる脆弱性に対応した Intel Product Security Center Advisories が公開されました。 詳細は、Intel が提供する情報を参照してください。 関連文書 (英語) Intel Intel Product Security Center Advisories https://www.intel.com/content/www/us/en/security-center/default.html 【9】複数の SAP 製品に脆弱性 情報源 CISA Current Activity SAP Releases August 2020 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/sap-releases-august-2020-security-updates 概要 複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該 製品を制御するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - SAP NetWeaver AS JAVA (LM Configuration Wizard) バージョン 7.30, 7.31, 7.40, 7.50 - SAP NetWeaver (Knowledge Management) バージョン 7.30, 7.31, 7.40, 7.50 - SAP Business Objects Business Intelligence Platform バージョン 4.2, 4.3 - SAP Banking Services (Generic Market Data) バージョン 400, 450, 500 - SAP NetWeaver (ABAP Server) and ABAP Platform バージョン 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 - SAP NetWeaver AS JAVA ENGINEAPI バージョン 7.10 - SAP NetWeaver AS JAVA WSRM バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 - SAP NetWeaver AS JAVA J2EE-FRMW バージョン 7.10, 7.11 - SAP Adaptive Server Enterprise バージョン 16.0 - SAP Data Intelligence バージョン 3 - SAPUI5 (UISAPUI5_JAVA) バージョン 7.50 - SAPUI5 (SAP_UI) バージョン 750, 751, 752, 753, 754, 755 - SAPUI5 (UI_700) バージョン 200 - SAP Commerce バージョン 6.7, 1808, 1811, 1905, 2005 - SAP ERP (HCM Travel Management) バージョン 600, 602, 603, 604, 605, 606, 607, 608 - SAP Business Objects Business Intelligence Platform (Central Management Console) バージョン 4.2, 4.3 - SAP S/4 HANA (Fiori UI for General Ledger Accounting) バージョン 103, 104 この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す ることで解決します。詳細は、SAP が提供する情報を参照してください。 関連文書 (英語) SAP SAP Security Patch Day - August 2020 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345 【10】Apache Struts 2 に複数の脆弱性 情報源 CISA Current Activity Apache Releases Security Advisory for Struts 2 https://us-cert.cisa.gov/ncas/current-activity/2020/08/14/apache-releases-security-advisory-struts-2 概要 Apache Struts 2 には、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする 可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Apache Struts 2 バージョン 2.0.0 から 2.5.20 まで なお、既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2 系のバージョンも本影響を受けるとのことです。 この問題は、Apache Struts 2 を Apache Software Foundation が提供する修 正済みのバージョンに更新することで解決します。詳細は、Apache Software Foundation が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200034.html 関連文書 (英語) Apache Software Foundation S2-059 https://cwiki.apache.org/confluence/display/WW/S2-059 Apache Software Foundation S2-060 https://cwiki.apache.org/confluence/display/WW/S2-060 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ZeroShellの脆弱性を標的としたアクセスの観測について 2020年8月11日、警察庁は「ZeroShellの脆弱性を標的としたアクセスの観測に ついて」と題したレポートを公開しました。2020年7月16日以降、ZeroShell に存在する既知の脆弱性を標的としたアクセスが観測されています。この脆弱 性は、遠隔から任意のコマンド実行が可能となるものです。警察庁は、脆弱性 のあるバージョンを使用している場合は、開発元から公開されているバージョン へのアップデートなどの対応を実施するよう呼び掛けています。 参考文献 (日本語) 警察庁 ZeroShellの脆弱性を標的としたアクセスの観測について https://www.npa.go.jp/cyberpolice/detect/pdf/20200811.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJfPG0lAAoJEKntH+qu5CT/ubUP/3z8gEDSaJRLOtENggUo8yQs fr3xJcKnkVmvQcPapTz6034SobE/KYB9E6ALprei1dWThlgfWrxSrzVtYZBU5XMP 7i7SdsIo0xUr6GswXFwb8qAXXOF6e2QzVhAnrGkVafmnIEp6iK9TRogygsSxOg5N wvN2yGRMoejb8iLvWGpyqsLtbTAyr9iO53vap3WlFyVdKZhYP2PEkkYANZMEmWMW 1pXYcUbBj/tMbTGs/Uk8fZZHkWclz3J502vTbAYuUiWxsxpZ51gQ6GvHpeJIVsZz V7QviPFSkongXEonAhdKInGpsJMA63IDCgnv+29u1Asn4c3ZTAk985Ty/euj6ajy MTyU4IZ21kIGdXssl60QDXCnS6tAZjs2X1xg0WyfMYheotQOXiHmHASWgo8k6Sy8 iCFZjaO6aqjWNbJ31RzEs8LsoLelHCHXBzz2eNHOuxfR+OuRlVb5EirGpkQWkib7 DugQ1fjvA2BerSfOJRXWKMrtjFsNnGv107KoTnwsUfxMre1V1I0+zHh3DKnp1Bqf 5IzSPYMJPJifocjtklOPP6ywOGwkl/a7+sSSnx5Olb9de0+0w471zLqMAsD3jkzw 9+x7qZPFviHB0xSIU9rGk2ceurdCWQz5cUQRKnVTS4C0c98W9zGl9MBY6tbghY4s /H5Y9XWO2JMEEXu1W8rx =TCUi -----END PGP SIGNATURE-----