-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-3901 JPCERT/CC 2020-10-07 <<< JPCERT/CC WEEKLY REPORT 2020-10-07 >>> ―――――――――――――――――――――――――――――――――――――― ■09/27(日)〜10/03(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】PHP に複数の脆弱性 【2】GitLab に複数の脆弱性 【3】InfoCage SiteShell にサービス実行ファイルが書き換え可能な脆弱性 【4】横河電機製 WideField3 にバッファオーバーフローの脆弱性 【5】ServerProtect for Linux に OS コマンドインジェクションの脆弱性 【今週のひとくちメモ】経済産業省が『サイバーセキュリティ体制構築・人材確保の手引き』(第1版)を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr203901.html https://www.jpcert.or.jp/wr/2020/wr203901.xml ============================================================================ 【1】PHP に複数の脆弱性 情報源 The PHP Group PHP 7.4.11 Released! https://www.php.net/archive/2020.php#2020-10-01-2 The PHP Group PHP 7.3.23 Released! https://www.php.net/archive/2020.php#2020-10-01-3 The PHP Group PHP 7.2.34 Released! https://www.php.net/archive/2020.php#2020-10-01-1 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者が Cookie を 偽造するなどの可能性があります。 対象となるバージョンは次のとおりです。 - PHP 7.4.11 より前のバージョン - PHP 7.3.23 より前のバージョン - PHP 7.2.34 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。 関連文書 (英語) The PHP Group PHP 7 ChangeLog Version 7.4.11 https://www.php.net/ChangeLog-7.php#7.4.11 The PHP Group PHP 7 ChangeLog Version 7.3.23 https://www.php.net/ChangeLog-7.php#7.3.23 The PHP Group PHP 7 ChangeLog Version 7.2.34 https://www.php.net/ChangeLog-7.php#7.2.34 【2】GitLab に複数の脆弱性 情報源 GitLab GitLab Security Release: 13.4.2, 13.3.7 and 13.2.10 https://about.gitlab.com/releases/2020/10/01/security-release-13-4-2-release/ 概要 GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用 妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - GitLab Community および Enterprise Edition 13.4.2 より前の 13.4 系バージョン - GitLab Community および Enterprise Edition 13.3.7 より前の 13.3 系バージョン - GitLab Community および Enterprise Edition 13.2.10 より前の 13.2 系バージョン なお、GitLab によると、サポートが終了したバージョンも影響を受けるとの ことです。詳細は GitLab が提供する情報を参照してください。 この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新 することで解決します。詳細は、GitLab が提供する情報を参照してください。 【3】InfoCage SiteShell にサービス実行ファイルが書き換え可能な脆弱性 情報源 Japan Vulnerability Notes JVN#07426151 InfoCage SiteShell においてサービス実行ファイルが書き換え可能な脆弱性 https://jvn.jp/jp/JVN07426151/ 概要 日本電気株式会社が提供する InfoCage SiteShell には、サービス実行ファイ ルが書き換え可能な脆弱性があります。結果として、ローカルユーザが権限を 昇格して、サービスを実行する可能性があります。 対象となるバージョンは、多岐にわたります。詳細は日本電気株式会社が提供 するアドバイザリ情報を参照してください。 この問題は、該当する製品を日本電気株式会社が提供する修正パッチを適用す ることで解決します。また、サポートが終了しているバージョンは、バージョン アップが推奨されています。詳細は、日本電気株式会社が提供する情報を参照 してください。 関連文書 (日本語) 日本電気株式会社 インストールしたファイルに Everyone による変更権限が付与される際のInfoCage SiteShellの対応について https://jpn.nec.com/infocage/siteshell/everyone_20200918.html 【4】横河電機製 WideField3 にバッファオーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVNVU#96842058 横河電機製 WideField3 にバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU96842058/ 概要 横河電機株式会社が提供する WideField3 には、バッファオーバーフローの脆 弱性があります。結果として、当該製品にアクセス可能な第三者が、プロジェ クトファイルを書き換えることで、アプリケーションが不正終了する可能性が あります。 対象となるバージョンは次のとおりです。 - WideField3 R1.01 から R4.03 まで この問題は、該当する製品を横河電機株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、横河電機株式会社が提供する情報を参 照してください。 関連文書 (日本語) 横河電機株式会社 YSAR-20-0002: WideField3の脆弱性 https://web-material3.yokogawa.com/19/30026/files/YSAR-20-0002-J.pdf CISA Current Activity Yokogawa WideField3 https://us-cert.cisa.gov/ics/advisories/icsa-20-273-02 【5】ServerProtect for Linux に OS コマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVNVU#91216654 ServerProtect for Linux に OS コマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU91216654/ 概要 トレンドマイクロ株式会社が提供する ServerProtect for Linux には OS コ マンドインジェクションの脆弱性があります。結果として、管理者権限を持つ 遠隔の攻撃者が、任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - ServerProtect for Linux バージョン 3.0 この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正パッチ を適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する 情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:ServerProtect for Linux のコマンドインジェクションの脆弱性(CVE-2020-24561)について https://success.trendmicro.com/jp/solution/000268898 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○経済産業省が『サイバーセキュリティ体制構築・人材確保の手引き』(第1版)を公開 2020年9月30日、経済産業省は「サイバーセキュリティ体制構築・人材確保の 手引き」を公開しました。本手引きは企業がサイバーセキュリティ経営ガイド ラインに基づいてサイバーセキュリティの体制を構築し、人材を確保するため の要点がまとめられています。企業内の経営層から人事担当者、実務者など様々 な立場ごとの観点が整理されています。 参考文献 (日本語) 経済産業省 『サイバーセキュリティ体制構築・人材確保の手引き』を取りまとめました https://www.meti.go.jp/press/2020/09/20200930004/20200930004.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJffQTjAAoJEKntH+qu5CT/zdIQAJjnVr9IG6QO3ypPrRkHggpD rYiwvREkcHxWkABKudX4Z5Q7aWJZq13FhAdg3VDbh/3TKfFxEfxLjeQy8nzYo03D k1hHcxJRRfsAPt2+lEG/+g6o2uYSY5hg3ISAAccUMIsCX54PXccIjKXdtPau05eO ORigFjqiu6+ep0ntsH7HuTcJUUW7G/FVwvbgLilrxr75g0v1s7PtjjG4IFNE/40O 73KrCqZoiisSLd9aiq8WyEJsSS16v9WUFXo8IfkBAOcno9TVANvXwQTGhSLfFEeb L0xs7/ZcpTQLKufavTotz4x4CTUYM0b9I4NS5kof24jmSSYzAy7uYSht/Lu4cSJY Y8Tw/gWlasAP9ra80pZiC71DxB8m+J+6ceEqkofD6YBDgAOoC2fveos+MeNQl0/V +rsn9QlDU/VQ+41S+ReaoaehhBojTNXsQJcxZQkbzyjNCLs0I7L63d2d3W+GgTba bUQ4iTjmcqEiI71HsXTL6nVISCBjFjEGJcE90joFeS/gKpv8C8d+p3Qo8/6c9hMI 6NuPB0LYjIt7VOaCbqG+iiHOQsP6L1rnbqzyJD89Mjh7lND5XYTzV+0h+fc0tHzs 6sHoWE2sjEjlHM0l9R7QsestFAlQXnSzhxt5TpbSox/QqAYqVJNejtK+zOItv4E6 pmW3Ft4noIt8VSYLCSDa =yN/2 -----END PGP SIGNATURE-----