-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-4601 JPCERT/CC 2020-11-26 <<< JPCERT/CC WEEKLY REPORT 2020-11-26 >>> ―――――――――――――――――――――――――――――――――――――― ■11/15(日)〜11/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Cisco 製品に脆弱性 【2】Google Chrome に複数の脆弱性 【3】複数の Mozilla 製品に脆弱性 【4】複数の VMware 製品に脆弱性 【5】Drupal にリモートコード実行の脆弱性 【6】ウイルスバスター クラウドに任意のファイルが削除可能な脆弱性 【7】Movable Type Premium にクロスサイトスクリプティングの脆弱性 【8】MELSEC iQ-R シリーズにリソース枯渇の脆弱性 【9】Hibernate ORM に SQL インジェクションの脆弱性 【10】KonaWiki3 に複数の脆弱性 【11】セイコーエプソン製の複数製品のインストーラに DLL 読み込みの脆弱性 【今週のひとくちメモ】JASA が「サイバーセキュリティ対策マネジメントガイドラインVer2.0」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr204601.html https://www.jpcert.or.jp/wr/2020/wr204601.xml ============================================================================ 【1】複数の Cisco 製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Security Manager https://us-cert.cisa.gov/ncas/current-activity/2020/11/17/cisco-releases-security-updates-security-manager CISA Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2020/11/19/cisco-releases-security-updates-multiple-products 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 影響度 Critical および High の脆弱性情報に記載されている製品は次のとお りです。 - Cisco Security Manager - Cisco Integrated Management Controller (IMC) が稼働する次の製品 - 5000 Series Enterprise Network Compute System (ENCS) Platforms - UCS C-Series Rack Servers in standalone mode - UCS E-Series Servers - UCS S-Series Servers in standalone mode - Cisco DNA Spaces Connector software - Cisco IoT Field Network Director (FND) - Cisco AsyncOS for the Secure Web Appliance ※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、 影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が 提供する情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 Cisco Security Manager の複数の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200043.html 関連文書 (英語) Cisco Cisco Security Manager Path Traversal Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR Cisco Cisco Security Manager Static Credential Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW Cisco Cisco Security Manager Java Deserialization Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-java-rce-mWJEedcD Cisco Cisco Integrated Management Controller Multiple Remote Code Execution Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucs-api-rce-UXwpeDHd Cisco Cisco DNA Spaces Connector Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dna-cmd-injection-rrAYzOwc Cisco Cisco IoT Field Network Director Unauthenticated REST API Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-FND-BCK-GHkPNZ5F Cisco Cisco Secure Web Appliance Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-prv-esc-nPzWZrQj Cisco Cisco IoT Field Network Director SOAP API Authorization Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-FND-AUTH-vEypBmmR Cisco Cisco IoT Field Network Director Missing API Authentication Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-FND-APIA-xZntFS2V 【2】Google Chrome に複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2020/11/19/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 87.0.4280.66 より前のバージョン (Windows版、Linux版) - Google Chrome 87.0.4280.67 より前のバージョン (Mac版) この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_17.html 【3】複数の Mozilla 製品に脆弱性 情報源 CISA Current Activity Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird https://us-cert.cisa.gov/ncas/current-activity/2020/11/19/mozilla-releases-security-updates-firefox-firefox-esr-and 概要 複数の Mozilla 製品には、脆弱性があります。結果として、第三者が、セキュ リティ機能をバイパスしたり、サービス運用妨害 (DoS) 攻撃を行ったりする などの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 83 より前のバージョン - Mozilla Firefox ESR 78.5 より前のバージョン - Mozilla Thunderbird 78.5 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Firefox 83 https://www.mozilla.org/en-US/security/advisories/mfsa2020-50/ Mozilla Security Vulnerabilities fixed in Firefox ESR 78.5 https://www.mozilla.org/en-US/security/advisories/mfsa2020-51/ Mozilla Security Vulnerabilities fixed in Thunderbird 78.5 https://www.mozilla.org/en-US/security/advisories/mfsa2020-52/ 【4】複数の VMware 製品に脆弱性 情報源 CISA Current Activity VMware Releases Security Updates for VMware SD-WAN Orchestrator https://us-cert.cisa.gov/ncas/current-activity/2020/11/19/vmware-releases-security-updates-vmware-sd-wan-orchestrator 概要 複数の VMware 製品には、脆弱性があります。結果として、第三者が、任意の コードを実行したり、権限を昇格したりするなどの可能性があります。 対象となる製品は次のとおりです。 - VMware SD-WAN Orchestrator - VMware ESXi - VMware Workstation Pro / Player - VMware Fusion Pro / Fusion - VMware Cloud Foundation この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 するか、パッチを適用することで解決します。詳細は、VMware が提供する情 報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2020-0025 https://www.vmware.com/security/advisories/VMSA-2020-0025.html VMware Security Advisories VMSA-2020-0026.1 https://www.vmware.com/security/advisories/VMSA-2020-0026.html 【5】Drupal にリモートコード実行の脆弱性 情報源 CISA Current Activity Drupal Releases Security Updates https://us-cert.cisa.gov/ncas/current-activity/2020/11/19/drupal-releases-security-updates 概要 Drupal には、ファイルアップロード時の不適切な処理によるリモートコード 実行の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行す る可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 9.0.8 より前の 9.0 系のバージョン - Drupal 8.9.9 より前の 8.9 系のバージョン - Drupal 8.8.11 より前の 8.8 系のバージョン - Drupal 7.74 より前の 7 系のバージョン なお、Drupal 8.8 系より前の 8 系のバージョンは、サポートが終了しており、 今回のセキュリティに関する情報は提供されていません。 この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Drupal が提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Critical - Remote code execution - SA-CORE-2020-012 https://www.drupal.org/sa-core-2020-012 【6】ウイルスバスター クラウドに任意のファイルが削除可能な脆弱性 情報源 Japan Vulnerability Notes JVNVU#96249940 トレンドマイクロ株式会社製ウイルスバスター クラウドにおける任意のファイルが削除可能な脆弱性 https://jvn.jp/vu/JVNVU96249940/ 概要 ウイルスバスター クラウドには、「データ消去ツール」の処理に脆弱性があ ります。結果として、当該製品にアクセス可能な第三者が任意のファイルやフォ ルダを消去する可能性があります。 対象となるバージョンは次のとおりです。 - ウイルスバスター クラウド バージョン 16.0 この問題は、ウイルスバスター クラウドをトレンドマイクロ株式会社が提供 する修正済みのバージョンに更新することで解決します。詳細は、トレンドマ イクロ株式会社が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2020-25775) https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09911 【7】Movable Type Premium にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#94245475 Movable Type Premium におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN94245475/ 概要 Movable Type Premium には、クロスサイトスクリプティングの脆弱性があり ます。結果として、遠隔の第三者が、当該製品にログインした状態のユーザの ウェブブラウザ上で、任意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Movable Type Premium 1.37 およびそれ以前 - Movable Type Premium Advanced 1.37 およびそれ以前 この問題は、Movable Type Premium をシックス・アパート株式会社が提供す る修正済みのバージョンに更新することで解決します。詳細は、シックス・ア パート株式会社が提供する情報を参照してください。 関連文書 (日本語) シックス・アパート株式会社 [重要] Movable Type Premium 1.38 / Movable Type Premium (Advanced Edition) 1.38 の提供を開始(セキュリティアップデート) https://www.sixapart.jp/movabletype/news/2020/11/18-1101.html 【8】MELSEC iQ-R シリーズにリソース枯渇の脆弱性 情報源 Japan Vulnerability Notes JVNVU#95980140 三菱電機製 MELSEC iQ-R シリーズにおけるリソース枯渇の脆弱性 https://jvn.jp/vu/JVNVU95980140/ 概要 MELSEC iQ-R シリーズには、リソース枯渇の脆弱性があります。結果として、 遠隔の第三者が、細工した SLMP パケットを送信することで、サービス運用妨 害 (DoS) 攻撃を行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - R00/01/02CPU ファームウェアバージョン "19" およびそれ以前 - R04/08/16/32/120 (EN) CPU ファームウェアバージョン "51" およびそれ以前 - R08/16/32/120SFCPU ファームウェアバージョン "22" およびそれ以前 - R08/16/32/120PCPU すべてのバージョン - R08/16/32/120PSFCPU すべてのバージョン - RJ71EN71 ファームウェアバージョン "47" およびそれ以前 - RJ71GF11-T2 ファームウェアバージョン "47" およびそれ以前 - RJ72GF15-T2 ファームウェアバージョン "07" およびそれ以前 - RJ71GP21-SX ファームウェアバージョン "47" およびそれ以前 - RJ71GP21S-SX ファームウェアバージョン "47" およびそれ以前 - RJ71C24 (-R2/R4) すべてのバージョン - RJ71GN11-T2 すべてのバージョン この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン に更新することで解決します。なお、対策バージョンがリリースされていない 場合や、アップデートが適用できない場合には、次の回避策を適用することで 脆弱性の影響を軽減することが可能です。 - 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) などを使用する - 当該製品を LAN 内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限する 詳細は、三菱電機株式会社が提供する情報を参照してください。 関連文書 (日本語) 三菱電機株式会社 MELSEC iQ-RシリーズのEthernetポートにおけるサービス拒否(DoS)の脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-016.pdf 【9】Hibernate ORM に SQL インジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#90729322 Hibernate ORM における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN90729322/ 概要 Hibernate ORM には、SQL インジェクションの脆弱性があります。 hibernate.use_sql_comments を true に設定している場合、遠隔の第三者に よる SQL インジェクション攻撃の影響を受ける可能性があります。 対象となるバージョンは次のとおりです。 - Hibernate ORM、5.4.24 より前のバージョン - Hibernate ORM、5.3.20 より前のバージョン この問題は、Hibernate ORM を Hibernate Project が提供する修正済みのバー ジョンに更新することで解決します。なお、アップデートが適用できない場合 には、次の回避策を適用することで脆弱性の影響を軽減することが可能です。 - hibernamte.use_sql_comments を false に設定する 詳細は、Hibernate Project が提供する情報を参照してください。 関連文書 (英語) Hibernate Project CVE-2020-25638 Potential for SQL injection on use_sql_comments logging enabled https://hibernate.atlassian.net/browse/HHH-14225 【10】KonaWiki3 に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#99880454 KonaWiki3 における複数の脆弱性 https://jvn.jp/vu/JVNVU99880454/ 概要 KonaWiki3 には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのウェブブラウザ上で任意のスクリプトを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - KonaWiki3.1.2 より前のバージョン この問題は、KonaWiki3 をくじらはんどが提供する修正済みのバージョンに更 新することで解決します。詳細は、くじらはんどが提供する情報を参照してだ さい。 関連文書 (日本語) くじらはんど KonaWiki https://kujirahand.com/konawiki/ 【11】セイコーエプソン製の複数製品のインストーラに DLL 読み込みの脆弱性 情報源 Japan Vulnerability Notes JVN#26835001 セイコーエプソン製の複数製品のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN26835001/ 概要 セイコーエプソン製の複数製品のインストーラには、DLL 読み込みの脆弱性が あります。結果として、第三者がインストーラを実行している権限で、任意の コードを実行する可能性があります。 対象となる製品は複数存在します。詳細は、開発者が提供する情報をご確認く ださい。 この問題は、開発者が提供する最新のインストーラでは、解決しています。な お、既に該当製品をインストールしている場合には、この問題の影響はありま せん。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) セイコーエプソン株式会社 エプソン製ソフトウェアのDLL読み込みに関する脆弱性について https://www.epson.jp/support/misc_t/201119_oshirase.htm ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JASA が「サイバーセキュリティ対策マネジメントガイドラインVer2.0」を公開 2020年11月17日、日本セキュリティ監査協会 (JASA) は、「サイバーセキュリ ティ対策マネジメントガイドラインVer2.0」を公開しました。本書は、標準規 格である JIS Q 27001:2014 に基づき、情報セキュリティマネジメントシステ ム (ISMS) を実装している組織に対して、ISMSを活用したサイバーセキュリティ 対策を実施するための要求事項や管理策をまとめたものです。Ver2.0 は、2018年 に発行されたガイドラインの改訂版となります。初版発行から 2年が経過して おり、サイバーセキュリティに関する状況の変化や、対策技術の広がりに応じ て、セキュリティの管理基準を見直したものとなっています。 参考文献 (日本語) 日本セキュリティ監査協会 (JASA) サイバーセキュリティ対策マネジメントガイドラインVer2.0 https://www.jasa.jp/wp-content/uploads/サイバーセキュリティ対策マネジメントガイドライン-Ver2.0.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJfvu5gAAoJEKntH+qu5CT/YgoP/3+XIR6xEQABj8D24V/a4UBM izGcvp3VQY8pdCmm+zgruzaI0MI7f0CIdrcTbj2G9+pqJ1P7ozwP2ykJj1IDQTQH DYdbc2PcuHpHsZpc3nJrVE5da5OxH8KMSIee22LlJH7l78bxlmdyDo7Fo7pyjbko 23giT+D8ibsv6Z6/NhmJnU/utUbYUxp/OeSio9tZNDwtF57nJ5vVppIPFylbo28H 6BYPldeNAYPNt7kNUl1cOdLAksPiuIqsWvppp2MbYuyIw7MbBHgRHCAWCLIQjvS9 5Es3Ca5eZMjF55m6FDYxRMiNAIEdUhsOJ39Emll/6eBiP7sJPdg/ezcFBgDdcOIf lSMwCfcCZ9QhpbmlEk6VT95S3cQDIOzIcV5kcjEBeVa11PAJ+qE+k+wel0l1TFaa rv+uSPw7h0VgTlo4kptW7druW0iBcz2cSusvtdO1hW6nlelHgF0gXkTfPDLaa9h+ F5rCuX2WUnWlOv9BHSUKgZKLfs0CcbEzNxN5rAMUYPTBpSYJQWpmtWbkMQa8k9t8 KZQPNxp9rNnz0/3Qvf3ZXO1FoIgY/XpBy3aPEhz8tXdt+7YjVuyuHppIcu4naabt LZV7EV0UpE9kvqGOqgT5Azsa7zPx7+pBusRduvgeQ9SuiOioJnxuAmYSUjSnDx3f PYQ+LZkmiqDqizvJg2QF =l12V -----END PGP SIGNATURE-----