JPCERT-WR-2020-3201
2020-08-19
2020-08-09
2020-08-15
複数の Microsoft 製品に脆弱性
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- Microsoft ChakraCore
- Internet Explorer
- Microsoft スクリプト エンジン
- SQL Server
- Microsoft Jet データベース エンジン
- .NET Framework
- ASP.NET Core
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Windows Codecs Library
- Microsoft Dynamics
この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。
マイクロソフト株式会社
2020 年 8 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Aug
JPCERT/CC 注意喚起
2020年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200033.html
Apache HTTP Server に複数の脆弱性
Apache HTTP Server には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Apache HTTP Server 2.4.44 より前のバージョン
この問題は、Apache HTTP Server を Apache Software Foundation が提供す
る修正済みのバージョンに更新することで解決します。詳細は、Apache Software
Foundation が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#92184689
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92184689/
複数の Apple 製品に脆弱性
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
対象となるバージョンは次のとおりです。
- iCloud for Windows 11.3 より前のバージョン
- iCloud for Windows 7.20 より前のバージョン
この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#95491800
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95491800/
Apple
Windows 用 iCloud 11.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211294
Apple
Windows 用 iCloud 7.20 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211295
Google Chrome に複数の脆弱性
Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 84.0.4147.125 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop.html
複数の Adobe 製品に脆弱性
複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、機密情報を窃取したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Lightroom Classic 9.2.0.10 およびそれ以前
- Acrobat DC Continuous 2020.009.20074 およびそれ以前
- Acrobat Reader DC Continuous 2020.009.20074 およびそれ以前
- Acrobat 2020 Classic 2020 2020.001.30002
- Acrobat Reader 2020 Classic 2020 2020.001.30002
- Acrobat 2017 Classic 2017 2017.011.30171 およびそれ以前
- Acrobat Reader 2017 Classic 2017 2017.011.30171 およびそれ以前
- Acrobat 2015 Classic 2015 2015.006.30523 およびそれ以前
- Acrobat Reader 2015 Classic 2015 2015.006.30523 およびそれ以前
この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。
JPCERT/CC CyberNewsFlash
Adobe Lightroom に関するアップデート (APSB20-51) について
https://www.jpcert.or.jp/newsflash/2020081201.html
JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB20-48) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200032.html
Adobe
Adobe Lightroom に関するセキュリティアップデート公開 | APSB20-51
https://helpx.adobe.com/jp/security/products/lightroom/apsb20-51.html
Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-48
https://helpx.adobe.com/jp/security/products/acrobat/apsb20-48.html
Citrix Endpoint Management (XenMobile) に複数の脆弱性
Citrix Endpoint Management (XenMobile) には、複数の脆弱性があります。
対象となる製品は次のとおりです。
- XenMobile Server
この問題は、Citrix が提供する修正済みのバージョンに更新することで解決
します。詳細は、Citrix が提供する情報を参照してください。
Citrix Systems, Inc.
Citrix Endpoint Management (CEM) Security Update
https://support.citrix.com/article/CTX277457
CyberMail に複数の脆弱性
サイバーソリューションズ株式会社が提供する CyberMail には、複数の脆弱
性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のス
クリプトを実行したり、任意のウェブサイトにリダイレクトしたりする可能性
があります。
対象となるバージョンは次のとおりです。
- CyberMail Ver.7 系
- CyberMail Ver.6 系
この問題は、サイバーソリューションズ株式会社が提供するパッチを適用する
ことで解決します。詳細は、サイバーソリューションズ株式会社が提供する情
報を参照してください。
Intel 製品に複数の脆弱性
Intel から複数の製品に含まれる脆弱性に対応した Intel Product Security
Center Advisories が公開されました。
詳細は、Intel が提供する情報を参照してください。
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html
複数の SAP 製品に脆弱性
複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該
製品を制御するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- SAP NetWeaver AS JAVA (LM Configuration Wizard) バージョン 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver (Knowledge Management) バージョン 7.30, 7.31, 7.40, 7.50
- SAP Business Objects Business Intelligence Platform バージョン 4.2, 4.3
- SAP Banking Services (Generic Market Data) バージョン 400, 450, 500
- SAP NetWeaver (ABAP Server) and ABAP Platform バージョン 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755
- SAP NetWeaver AS JAVA ENGINEAPI バージョン 7.10
- SAP NetWeaver AS JAVA WSRM バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver AS JAVA J2EE-FRMW バージョン 7.10, 7.11
- SAP Adaptive Server Enterprise バージョン 16.0
- SAP Data Intelligence バージョン 3
- SAPUI5 (UISAPUI5_JAVA) バージョン 7.50
- SAPUI5 (SAP_UI) バージョン 750, 751, 752, 753, 754, 755
- SAPUI5 (UI_700) バージョン 200
- SAP Commerce バージョン 6.7, 1808, 1811, 1905, 2005
- SAP ERP (HCM Travel Management) バージョン 600, 602, 603, 604, 605, 606, 607, 608
- SAP Business Objects Business Intelligence Platform (Central Management Console) バージョン 4.2, 4.3
- SAP S/4 HANA (Fiori UI for General Ledger Accounting) バージョン 103, 104
この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。
SAP
SAP Security Patch Day - August 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345
Apache Struts 2 に複数の脆弱性
Apache Struts 2 には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Apache Struts 2 バージョン 2.0.0 から 2.5.20 まで
なお、既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2
系のバージョンも本影響を受けるとのことです。
この問題は、Apache Struts 2 を Apache Software Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は、Apache Software
Foundation が提供する情報を参照してください。
Apache Software Foundation
S2-059
https://cwiki.apache.org/confluence/display/WW/S2-059
Apache Software Foundation
S2-060
https://cwiki.apache.org/confluence/display/WW/S2-060
JPCERT/CC 注意喚起
Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200034.html
ZeroShellの脆弱性を標的としたアクセスの観測について
2020年8月11日、警察庁は「ZeroShellの脆弱性を標的としたアクセスの観測に
ついて」と題したレポートを公開しました。2020年7月16日以降、ZeroShell
に存在する既知の脆弱性を標的としたアクセスが観測されています。この脆弱
性は、遠隔から任意のコマンド実行が可能となるものです。警察庁は、脆弱性
のあるバージョンを使用している場合は、開発元から公開されているバージョン
へのアップデートなどの対応を実施するよう呼び掛けています。
警察庁
ZeroShellの脆弱性を標的としたアクセスの観測について
https://www.npa.go.jp/cyberpolice/detect/pdf/20200811.pdf