-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-4201 JPCERT/CC 2020-10-28 <<< JPCERT/CC WEEKLY REPORT 2020-10-28 >>> ―――――――――――――――――――――――――――――――――――――― ■10/18(日)〜10/24(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2020年 10月 Oracle Critical Patch Update について 【2】複数の Adobe 製品に脆弱性 【3】Google Chrome に複数の脆弱性 【4】複数の VMware 製品に脆弱性 【5】複数の Mozilla 製品に脆弱性 【6】複数の Cisco 製品に脆弱性 【7】WordPress 用プラグイン Simple Download Monitor に複数の脆弱性 【8】Chocolatey Boxstarter に ACL 設定不備による脆弱性 【9】OneThird CMS にローカルファイルインクルージョンの脆弱性 【今週のひとくちメモ】IPA が「情報セキュリティ安心相談窓口の相談状況[ 2020年第3四半期 (7月〜9月) ]」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr204201.html https://www.jpcert.or.jp/wr/2020/wr204201.xml ============================================================================ 【1】2020年 10月 Oracle Critical Patch Update について 情報源 CISA Current Activity Oracle Releases October 2020 Security Bulletin https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/oracle-releases-october-2020-security-bulletin-0 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細は、Oracle が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2020/at200040.html 関連文書 (英語) Oracle Oracle Critical Patch Update Advisory - October 2020 https://www.oracle.com/security-alerts/cpuoct2020.html 【2】複数の Adobe 製品に脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/adobe-releases-security-updates-multiple-products 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Illustrator - Adobe Dreamweaver - Marketo - Adobe Animate - Adobe After Effects - Adobe Photoshop - Adobe Premiere Pro - Adobe Media Encoder - Adobe InDesign - Adobe Creative Cloud Desktop Application この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC CyberNewsFlash 複数の Adobe 製品のアップデートについて https://www.jpcert.or.jp/newsflash/2020102101.html Adobe Adobe Illustrator に関するセキュリティアップデート公開 | APSB20-53 https://helpx.adobe.com/jp/security/products/illustrator/apsb20-53.html Adobe Adobe Dreamweaver に関するセキュリティアップデート公開 | APSB20-55 https://helpx.adobe.com/jp/security/products/dreamweaver/apsb20-55.html Adobe Marketo に関するセキュリティアップデート公開 | APSB20-60 https://helpx.adobe.com/jp/security/products/marketo/apsb20-60.html Adobe Adobe Animate に関するセキュリティアップデート公開 | APSB20-61 https://helpx.adobe.com/jp/security/products/animate/apsb20-61.html Adobe Adobe After Effects に関するセキュリティアップデート公開 | APSB20-62 https://helpx.adobe.com/jp/security/products/after_effects/apsb20-62.html Adobe Adobe Photoshop に関するセキュリティアップデート公開 | APSB20-63 https://helpx.adobe.com/jp/security/products/photoshop/apsb20-63.html Adobe Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB20-64 https://helpx.adobe.com/jp/security/products/premiere_pro/apsb20-64.html Adobe Adobe Media Encoder に関するセキュリティアップデート公開 | APSB20-65 https://helpx.adobe.com/jp/security/products/media-encoder/apsb20-65.html Adobe Adobe InDesign に関するセキュリティアップデート公開 | APSB20-66 https://helpx.adobe.com/jp/security/products/indesign/apsb20-66.html Adobe Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB20-68 https://helpx.adobe.com/jp/security/products/creative-cloud/apsb20-68.html 【3】Google Chrome に複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 86.0.4240.111 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html 【4】複数の VMware 製品に脆弱性 情報源 CISA Current Activity VMware Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/vmware-releases-security-updates-multiple-products 概要 複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、 製品内の情報を窃取したり、任意のコードを実行したりするなどの可能性があ ります。 対象となる製品は次のとおりです。 - VMware ESXi - VMware Workstation Pro / Player (Workstation) - VMware Fusion Pro / Fusion (Fusion) - NSX-T - VMware Cloud Foundation - VMware Horizon Server - VMware Horizon Client for Windows この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2020-0023 https://www.vmware.com/security/advisories/VMSA-2020-0023.html VMware Security Advisories VMSA-0020-0024 https://www.vmware.com/security/advisories/VMSA-2020-0024.html 【5】複数の Mozilla 製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/mozilla-releases-security-updates-firefox-firefox-esr-and 概要 複数の Mozilla 製品には、脆弱性があります。結果として、第三者が任意の コードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 82 より前のバージョン - Mozilla Firefox ESR 78.4 より前のバージョン - Mozilla Thunderbird 78.4 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 82 https://www.mozilla.org/en-US/security/advisories/mfsa2020-45/ Mozilla Security Vulnerabilities fixed in Firefox ESR 78.4 https://www.mozilla.org/en-US/security/advisories/mfsa2020-46/ Mozilla Security Vulnerabilities fixed in Thunderbird 78.4 https://www.mozilla.org/en-US/security/advisories/mfsa2020-47/ 【6】複数の Cisco 製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2020/10/22/cisco-releases-security-updates-multiple-products 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【7】WordPress 用プラグイン Simple Download Monitor に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#31425618 WordPress 用プラグイン Simple Download Monitor における複数の脆弱性 https://jvn.jp/jp/JVN31425618/ 概要 WordPress 用プラグイン Simple Download Monitor には、複数の脆弱性があ ります。結果として、遠隔の第三者が当該製品の管理画面にログインしている ユーザのブラウザ上で任意のスクリプトを実行したり、細工した URL にアク セスさせることで、任意の SQL コマンドを実行したりする可能性があります。 対象となるバージョンは次のとおりです。 - Simple Download Monitor バージョン 3.8.9 より前のバージョン この問題は、Simple Download Monitor を開発者が提供する修正済みのバージ ョンに更新することで解決します。詳細は、開発者が提供する情報を参照して ださい。 関連文書 (英語) WordPress Simple Download Monitor https://wordpress.org/plugins/simple-download-monitor/ 【8】Chocolatey Boxstarter に ACL 設定不備による脆弱性 情報源 CERT/CC Current Activity Chocolatey Boxstarter vulnerable to privilege escalation due to weak ACLs https://kb.cert.org/vuls/id/208577 概要 Chocolatey が提供する Boxstarter には、ACL 設定不備による脆弱性があり ます。結果として、第三者が管理者権限で任意のコードを実行する可能性があ ります。 対象となるバージョンは次のとおりです。 - Chocolatey Boxstarter 2.13.0 より前のバージョン この問題は、Chocolatey Boxstarter を修正済みのバージョンに更新すること で解決します。詳細は Chocolatey が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90267651 Chocolatey Boxstarter に DLL 読み込みに関する脆弱性 https://jvn.jp/vu/JVNVU90267651/ 【9】OneThird CMS にローカルファイルインクルージョンの脆弱性 情報源 Japan Vulnerability Notes JVNVU#99467898 OneThird CMS におけるローカルファイルインクルージョンの脆弱性 https://jvn.jp/vu/JVNVU99467898/ 概要 SpiQeソフトウェアが提供する OneThird CMS には、ローカルファイルインク ルージョンの脆弱性があります。結果として、遠隔の第三者が、機微な情報を 取得したり、任意のコードを実行したりする可能性があります。 対象となるバージョンは次のとおりです。 - OneThird CMS v1.96d より前のバージョン この問題は、OneThird CMS を修正済みのバージョンに更新することで解決し ます。詳細は SpiQeソフトウェアが提供する情報を参照してください。 関連文書 (日本語) SpiQeソフトウェア 緊急リリース (v1.96d)について https://onethird.net/p1340.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA が「情報セキュリティ安心相談窓口の相談状況[ 2020年第3四半期 (7月〜9月) ]」を公開 2020年10月21日、情報処理推進機構 (IPA) は「情報セキュリティ安心相談窓 口の相談状況[ 2020年第3四半期 (7月〜9月) ]」を公開しました。 Emotet 関連の相談が 7月以降増えており、特に 9月に入ってから急増してい るようです。多数の国内企業・組織で被害が発生している可能性があるため、 改めて対策状況の確認を行うことを推奨します。 参考文献 (日本語) 情報処理推進機構 (IPA) 情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月〜9月)] https://www.ipa.go.jp/security/txt/2020/q3outline.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJfmLNjAAoJEKntH+qu5CT/qCoQAIqqycb2fa8I4fMEiPbCsce5 b/03IvWp8af4JVGN0IrWQEVENxc1oTUdTil23kePqD4Ulco/SSHQsTgRVPyB2csx HKZVk7BTauMl5LGsD7Js70bmFUKZ489mnPgshgOlFgZCjWZRc4xpgPStOt/Z5T9Q Gnnv6B3dnoWm6s97jurp7fZszUB0K5GKvzYvTJKixae2KExnpweS9ReVnz25Kh9y XZZtF26j57gd9vxMo6fnKkILoDT382Q2eUNmOTV6bLAINcczIcwDSPUbSME36AGd AVnC5S3mhlsoQMDMr7eeQPW2WemRK6gBSKlIGMpooxa5vdJs+GSyRhe1V/ttM7A4 PIxIzEe011JC3YzfvvwdJ6UTUHKgYJE84QoUDT8db5qBiuddZRkjjeiEZ1xdTcxL CRWLnAprwfMfnyJWyokNLGqSw071BnH1cqHyMolFoZZquEtccGZ84MkLlDpVYPhY OoW3XOEfaa80adbNDxi0vEFX0yTXa/BXjxNirrf7wU9twI3dYVEaUcN6Z/1rt4Rn N70CfEw48mlzxIGe2VMqzzxDR+GkY5UbyDgSNz0HZuSjh/eI012ekJhMGBo6f88/ AUbPV6/8qaO39rayIh/F/HkRS6ofXDdg0x1jigoawRCxQkoIh9IwWwhXbam6D8on Eem6p2uwL/1rMEYRJRe5 =R3zP -----END PGP SIGNATURE-----