-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-4101 JPCERT/CC 2020-10-21 <<< JPCERT/CC WEEKLY REPORT 2020-10-21 >>> ―――――――――――――――――――――――――――――――――――――― ■10/11(日)〜10/17(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性 【4】Acronis 製バックアップソフトウェアに複数の脆弱性 【5】複数の Juniper 製品に脆弱性 【6】Intel 製 BlueZ に複数の脆弱性 【7】複数の SAP 製品に脆弱性 【8】WordPress 用プラグイン Live Chat - Live support にクロスサイトリクエストフォージェリの脆弱性 【9】Internet Week 2020 開催のお知らせ 【今週のひとくちメモ】総務省が「特別定額給付金の給付を騙ったメールに対する注意喚起」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr204101.html https://www.jpcert.or.jp/wr/2020/wr204101.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 CISA Current Activity Microsoft Releases October 2020 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/10/13/microsoft-releases-october-2020-security-updates CISA Current Activity Microsoft Addresses Windows TCP/IP RCE/DoS Vulnerability https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/microsoft-addresses-windows-tcpip-rcedos-vulnerability CISA Current Activity Microsoft Releases Security Updates to Address Remote Code Execution Vulnerabilities https://us-cert.cisa.gov/ncas/current-activity/2020/10/16/microsoft-releases-security-updates-address-remote-code-execution 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Windows - Microsoft Office、Microsoft Office Services および Web Apps - Microsoft Jet データベース エンジン - Azure Functions - オープン ソース ソフトウェア - Microsoft Exchange Server - Visual Studio - PowerShellGet - Microsoft .NET Framework - Microsoft Dynamics - Adobe Flash Player - Microsoft Windows Codecs Library - Visual Studio Code この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2020 年 10 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Oct マイクロソフト株式会社 CVE-2020-17022 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-17022 マイクロソフト株式会社 CVE-2020-17023 | Visual Studio JSON のリモートでコードが実行される脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-17023 JPCERT/CC 注意喚起 2020年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200038.html 【2】複数の Adobe 製品に脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates for Flash Player https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/adobe-releases-security-updates-flash-player CISA Current Activity Adobe Releases Security Updates for Magento https://us-cert.cisa.gov/ncas/current-activity/2020/10/16/adobe-releases-security-updates-magento 概要 複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、機密情報を窃取したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Flash Player Desktop Runtime (32.0.0.433) およびそれ以前のバージョン (Windows, macOS および Linux) - Adobe Flash Player for Google Chrome (32.0.0.433) およびそれ以前のバージョン (Windows, macOS, Linux および Chrome OS) - Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.387) およびそれ以前のバージョン (Windows 10 および Windows 8.1) - Magento Commerce 2.3.5-p1 およびそれ以前のバージョン - Magento Commerce 2.3.5-p2 およびそれ以前のバージョン - Magento Commerce 2.4.0 およびそれ以前のバージョン - Magento Open Source 2.3.5-p1 およびそれ以前のバージョン - Magento Open Source 2.3.5-p2 およびそれ以前のバージョン - Magento Open Source 2.4.0 およびそれ以前のバージョン この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 Adobe Flash Player の脆弱性 (APSB20-58) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200039.html JPCERT/CC CyberNewsFlash Magento に関するアップデート (APSB20-59) について https://www.jpcert.or.jp/newsflash/2020101601.html 関連文書 (英語) Adobe Security updates available for Adobe Flash Player | APSB20-58 https://helpx.adobe.com/security/products/flash-player/apsb20-58.html Adobe Security Updates Available for Magento | APSB20-59 https://helpx.adobe.com/security/products/magento/apsb20-59.html Magento Magento Commerce 2.4.1 Release Notes https://devdocs.magento.com/guides/v2.4/release-notes/commerce-2-4-1.html Magento Magento Commerce 2.3.6 Release Notes https://devdocs.magento.com/guides/v2.3/release-notes/commerce-2-3-6.html 【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性 情報源 CISA Current Activity Apache Releases Security Updates for Apache Tomcat https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/apache-releases-security-updates-apache-tomcat Japan Vulnerability Notes JVNVU#97307781 Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性 https://jvn.jp/vu/JVNVU97307781/ 概要 Apache Software Foundation が提供する Apache Tomcat には、HTTP/2 リク エスト処理の不備に起因する情報漏えいの脆弱性が存在します。結果として、 遠隔の第三者が細工された HTTP/2 リクエストを送信し、予期しないリソース への応答を誘発することで、情報を窃取する可能性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 10.0.0-M1 から 10.0.0-M7 まで - Apache Tomcat 9.0.0.M1 から 9.0.37 まで - Apache Tomcat 8.5.0 から 8.5.57 まで この問題は、Apache Tomcat を Apache Software Foundation が提供する修正 済みのバージョンに更新することで解決します。詳細は Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) Apache Software Foundation Fixed in Apache Tomcat 10.0.0-M8 https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M8 Apache Software Foundation Fixed in Apache Tomcat 9.0.38 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.38 Apache Software Foundation Fixed in Apache Tomcat 8.5.58 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.58 【4】Acronis 製バックアップソフトウェアに複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#114757 Acronis backup software contains multiple privilege escalation vulnerabilities https://kb.cert.org/vuls/id/114757 概要 Acronis が提供する バックアップソフトウェアには、複数の脆弱性がありま す。結果として、第三者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Acronis True Image 2021 ビルド番号 32010 より前のバージョン - Acronis Cyber Backup 12.5 ビルド番号 16363 より前のバージョン - Acronis Cyber Protect 15 ビルド番号 24600 より前のバージョン この問題は、該当する製品を Acronis が提供する修正済みのバージョンに更 新することで解決します。詳細は Acronis が提供する情報を参照してくださ い。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92288299 Acronis 製の複数のバックアップソフトウェアに DLL 読み込みに関する脆弱性 https://jvn.jp/vu/JVNVU92288299/ JPCERT/CC CyberNewsFlash Acronis製バックアップソフトウェアの複数の脆弱性について https://www.jpcert.or.jp/newsflash/2020101301.html 関連文書 (英語) Acronis Acronis True Image 2021 Update 1 for Windows https://www.acronis.com/ja-jp/support/updates/changes.html?p=42226 Acronis Release notes for Acronis Cyber Backup 12.5 Update 5 https://dl.managed-protection.com/u/backup/rn/12.5/user/en-US/AcronisBackup12.5_relnotes.htm Acronis Release notes for Acronis Cyber Protect 15 https://dl.managed-protection.com/u/cyberprotect/rn/15/user/en-US/AcronisCyberProtect15_relnotes.htm 【5】複数の Juniper 製品に脆弱性 情報源 CISA Current Activity Juniper Networks Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2020/10/15/juniper-networks-releases-security-updates-multiple-products 概要 複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品は次のとおりです。 - Junos OS - Junos OS Evolved - Junos Space and Junos Space Security Director - Juniper Secure Analytics - Mist Cloud User Interface - SBR Carrier - Juniper Identity Management System - Contrail Networking この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更 新することで解決します。詳細は、Juniper が提供する情報を参照してくださ い。 関連文書 (英語) Juniper Networks Security Advisories (2020-10 Security Bulletin) https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES 【6】Intel 製 BlueZ に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#90263580 Intel 製 BlueZ に複数の脆弱性 https://jvn.jp/vu/JVNVU90263580/ 概要 Intel が提供する BlueZ には、複数の脆弱性があります。結果として、隣接 するネットワークの第三者が権限昇格を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - BlueZ をサポートする Linux Kernel 5.9 より前のすべてのバージョン この問題は、BlueZ を Intel が提供する修正済みのバージョンに更新することで解決し ます。詳細は Intel が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash Intel 製品に関する複数の脆弱性について https://www.jpcert.or.jp/newsflash/2020101401.html 関連文書 (英語) Intel INTEL-SA-00435: BlueZ Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html 【7】複数の SAP 製品に脆弱性 情報源 CISA Current Activity SAP Releases October 2020 Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/10/13/sap-releases-october-2020-security-updates 概要 複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該 製品を制御するなどの可能性があります。 対象となる製品は次のとおりです。 - SAP Solution Manager (CA Introscope Enterprise Manager) および SAP Focused Run (CA Introscope Enterprise Manager) - SAP NetWeaver Enterprise Portal (Fiori Framework Page) - SAP NetWeaver Composite Application Framework - SAP NetWeaver AS JAVA (ENGINEAPI および J2EE-FRMW) - SAP NetWeaver Application Server Java - SAP NetWeaver Application Server ABAP (POWL test application) - SAP NetWeaver (DI Design Time Repository) - SAP NetWeaver (Compare Systems) - SAP NetWeaver (ABAP Server) および ABAP Platform - SAP Landscape Management - SAP ERP (HCM Travel Management) - SAP Commerce Cloud - SAP BusinessObjects Business Intelligence Platform (Web Services) - SAP Business Planning および Consolidation - SAP Business Objects Business Intelligence Platform - SAP Business Client - SAP Banking Services - SAP Adaptive Extensions - SAP 3D Visual Enterprise Viewer - CA Introscope Enterprise Manager (Affected products: SAP Solution Manager および SAP Focused Run) この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す ることで解決します。詳細は、SAP が提供する情報を参照してください。 関連文書 (英語) SAP SAP Security Patch Day - October 2020 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196 【8】WordPress 用プラグイン Live Chat - Live support にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#92404841 WordPress 用プラグイン Live Chat - Live support におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN92404841/ 概要 WordPress 用プラグイン Live Chat - Live support には、クロスサイトリクエ ストフォージェリの脆弱性があります。結果として、遠隔の第三者が、細工し たページにユーザをアクセスさせることにより、該当する製品の管理画面にロ グインしているユーザの権限で任意の操作を行う可能性があります。 対象となるバージョンは次のとおりです。 - Live Chat - Live support バージョン 3.1.0 およびそれ以前のバージョン この問題は、Live Chat - Live support を開発者が提供する修正済みのバージ ョンに更新することで解決します。詳細は、開発者が提供する情報を参照して ださい。 関連文書 (英語) WordPress Live Chat - Live support https://wordpress.org/plugins/onwebchat/ Social Rocket Products https://wpsocialrocket.com/products/ 【9】Internet Week 2020 開催のお知らせ 情報源 一般社団法人日本ネットワークインフォメーションセンター (JPNIC) Internet Week 2020 https://www.nic.ad.jp/iw2020/ 一般社団法人日本ネットワークインフォメーションセンター (JPNIC) 参加申込 https://www.nic.ad.jp/iw2020/apply/main/ 概要 2020年11月17日 (火) から27日 (金) まで、一般社団法人日本ネットワークイン フォメーションセンター (JPNIC) は、「Internet Week 2020」をオンライン で開催します。インターネットに関する技術の研究・開発、 構築・運用・サ ービスに関わる人々が、主にインターネットの基盤技術の基礎知識や最新動向 を学び、議論し、理解と交流を深めるためのイベントです。JPCERT/CC は本カ ンファレンスを後援しています。 事前申込みの締め切りは 11月13日 (金) 17:00 までとなっております。詳細 は、JPNIC が提供する情報を確認してください。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○総務省が「特別定額給付金の給付を騙ったメールに対する注意喚起」を公開 2020年10月15日、総務省は、「特別定額給付金の給付を騙ったメールに対する 注意喚起」を公開しました。総務省を騙るメールアドレスから、「二回目特別 定額給付金の特設サイトを開設しました。」といった旨及び偽の特設サイトに 誘導するリンクが含まれたメールが送信されているといった情報が寄せられて いるとのことです。情報の詐取を目的としたものと考えられますのでご注意く ださい。 参考文献 (日本語) 総務省 特別定額給付金の給付を騙ったメールに対する注意喚起 https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000438.html フィッシング対策協議会 特別定額給付金に関する通知を装うフィッシング (2020/10/15) https://www.antiphishing.jp/news/alert/kyufukin_20201015.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJfj3M/AAoJEKntH+qu5CT/k90P/ihpD4JfulC4X9GkUbpd9ssS 6nGHJy8n213495I0R1rdJmoE5TRyBPqkr28oRDbv01DEmv4pNKUHX34v7WR8xTIC veu+rxsahAKp6obMauuX37MNn8Y/r2cEzMnhItBhjWUdn137YUh660my8nu09X29 s3iwQifCbwOiuERjyWKxnFXvlQiElCjJ9Kb+h2xBawpvYYbfegumyUlJSKviF/4Q HUa+ylldJDn9HxEy943ltwdeMAo6qCDpNDHyevmTpmHCRqMjkTNRA64Am7NQe7R0 2JtHk0ncuFigK9Ry5eGvFgbJejSPFr5fRIeum1B5Gotns/6z7wDi0eT8TJsozJa5 jpk8IulNcmkfaA2yBKNaJlwwNDws/xOcT2hhJ7ysaqLF2JnbFCwLdhHvkpXd5k5O KrLKQnrGsMLTO+rwNiXC+imuHTxOtnLvRe4rc0V9A0/SKF/0yjEZB0NyCdkQoScK QDQtsGoRvl1eDYCN2ilL/egqxUyqXZWlbZufPWDsNA9M7aU6nhjSvo+KUrxBM0+u 2EuUrPfsN/yZ23UmbM+cFjMlw3q5w7pE2FbH+G4D13YHjIBr5Q1uRAkX/PFGYMC3 gtaqMFKIQOgEnh54J3MZvu1CB6vc7SzI+gPENjlq8FiJdVjAwbfC3HeYROctCwBZ uL/LsT68IKyOt3XxEYNw =e3y/ -----END PGP SIGNATURE-----