カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Samba に複数の脆弱性

最終更新日: 2020/11/05

情報源

The Samba Team
Missing handle permissions check in SMB1/2/3 ChangeNotify.
https://www.samba.org/samba/security/CVE-2020-14318.html

The Samba Team

Unprivileged user can crash winbind
https://www.samba.org/samba/security/CVE-2020-14323.html

The Samba Team

An authenticated user can crash the DCE/RPC DNS with easily crafted records
https://www.samba.org/samba/security/CVE-2020-14383.html

概要

Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。

– Samba 4.13.1 より前のバージョン
– Samba 4.12.9 より前のバージョン
– Samba 4.11.15 より前のバージョン

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更新することで解決します。詳細は、The Samba Team が提供する情報を参照してください。

関連文書 (英語)

The Samba Team
Samba 4.13.1 Available for Download
https://www.samba.org/samba/history/samba-4.13.1.html

The Samba Team

Samba 4.12.9 Available for Download
https://www.samba.org/samba/history/samba-4.12.9.html

The Samba Team

Samba 4.11.15 Available for Download
https://www.samba.org/samba/history/samba-4.11.15.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-11-05」
https://www.jpcert.or.jp/wr/2020/wr204301.html

 

QNAP QTS に複数の脆弱性

最終更新日: 2020/11/05

情報源

QNAP
Multiple Vulnerabilities in QTS
https://www.qnap.com/en/security-advisory/qsa-20-09

概要

QNAP QTS には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコマンドを実行する可能性があります。
対象となるバージョンは次のとおりです。

– QTS 4.4.3.1421 build 20200907 より前のバージョン

この問題は、QTS を QNAP Systems が提供する修正済みのバージョンに更新することで解決します。詳細は、QNAP Systems が提供する情報を参照してください。

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-11-05」
https://www.jpcert.or.jp/wr/2020/wr204301.html

 

Microsoft Edge に複数の脆弱性

最終更新日: 2020/11/05

情報源

CISA Current Activity
Microsoft Releases Security Update for Edge
https://us-cert.cisa.gov/ncas/current-activity/2020/10/26/microsoft-releases-security-update-edge

概要

Microsoft Edge には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。

– Microsoft Edge (Chromium ベース) 86.0.622.51 より前のバージョン

この問題は、Microsoft Edge を Microsoft が提供する修正済みのバージョンに更新することで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
Microsoft Edge セキュリティ更新プログラムのリリースノート(2020年10月22日)
https://docs.microsoft.com/ja-jp/DeployEdge/microsoft-edge-relnotes-security#october-22-2020

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-11-05」
https://www.jpcert.or.jp/wr/2020/wr204301.html

 

三菱電機製 MELSEC iQ-R、Q および L シリーズにおける複数の脆弱性

最終更新日: 2020/11/05

情報源

Japan Vulnerability Notes JVNVU#92513419
三菱電機製 MELSEC iQ-R シリーズにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92513419/

Japan Vulnerability Notes JVNVU#96558207

三菱電機製 MELSEC iQ-R、Q および L シリーズにおけるリソース枯渇の脆弱性
https://jvn.jp/vu/JVNVU96558207/

概要

三菱電機製 MELSEC iQ-R、Q および L シリーズには、複数の脆弱性があります。結果として、遠隔の第三者が、不正な操作をしたり、サービス運用妨害 (DoS) 攻撃をしたりするなどの可能性があります。
対象となる製品は、多岐に渡ります。詳細は三菱電機株式会社が提供するアドバイザリ情報を参照してください。
三菱電機株式会社はこの問題に対する回避策に関する情報を提供しています。詳細は、三菱電機株式会社が提供する情報を参照してください。

関連文書 (日本語)

三菱電機株式会社
MELSEC iQ-Rシリーズの各種情報/ネットワークユニットの TCP/IP機能における複数の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-012.pdf

三菱電機株式会社

MELSEC iQ-R、QおよびLシリーズCPUユニットの Ethernetポートにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-013.pdf

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-11-05」
https://www.jpcert.or.jp/wr/2020/wr204301.html

 

Adobe Acrobat および Reader の脆弱性 (APSB20-67) に関する注意喚起

 JPCERT/CCからの「Adobe Acrobat および Reader の脆弱性 (APSB20-67) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0041
JPCERT/CC
2020-11-04
<<< JPCERT/CC Alert 2020-11-04 >>>
Adobe Acrobat および Reader の脆弱性 (APSB20-67) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200041.html

I.概要

アドビから PDF ファイル作成・変換ソフトウェア Adobe Acrobat および PDFファイル閲覧ソフトウェア Adobe Acrobat Reader に関する脆弱性 (APSB20-67)が公開されました。脆弱性を悪用したコンテンツをユーザーが開いた場合、実行ユーザーの権限で任意のコードが実行されたり、情報が窃取されたりするなどの可能性があります。脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ

Security Updates Available for Adobe Acrobat and Reader | APSB20-67
https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Acrobat DC Continuous (2020.012.20048) およびそれ以前 (Windows, macOS)

– Adobe Acrobat Reader DC Continuous (2020.012.20048) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2020 Classic 2020 (2020.001.30005) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2020 Classic 2020 (2020.001.30005) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30175) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30175) およびそれ以前 (Windows, macOS)

III.対策

Adobe Acrobat および Reader を次の最新のバージョンに更新してください。

– Adobe Acrobat DC Continuous (2020.013.20064) (Windows, macOS)

– Adobe Acrobat Reader DC Continuous (2020.013.20064) (Windows, macOS)
– Adobe Acrobat 2020 Classic 2020 (2020.001.30010) (Windows, macOS)
– Adobe Acrobat Reader 2020 Classic 2020 (2020.001.30010) (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30180) (Windows, macOS)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30180) (Windows, macOS)

更新は、Adobe Acrobat および Reader の起動後、メニューより “ヘルプ” の次に “アップデートの有無をチェック” をクリックすることで実施できます。

メニューからの更新が不可能な場合は、以下の URL から最新のAdobe Acrobat および Reader をダウンロードしてください。詳細は、アドビの情報をご確認ください。

アドビシステムズ

Adobe Acrobat Reader DC ダウンロード
https://get2.adobe.com/jp/reader/

アドビシステムズ

Acrobat 2020 をダウンロードする
https://helpx.adobe.com/jp/download-install/kb/acrobat-2020-downloads.html

アドビシステムズ

Acrobat 2017 のダウンロード
https://helpx.adobe.com/jp/download-install/kb/acrobat-2017-downloads.html

IV. 参考情報

アドビシステムズ
Security Updates Available for Adobe Acrobat and Reader | APSB20-67
https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

アドビシステムズ

Security Updates Available for Adobe Acrobat and Reader (APSB20-67)
https://blogs.adobe.com/psirt/?p=1939

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email:
https://www.jpcert.or.jp/

IPA が「情報セキュリティ安心相談窓口の相談状況[ 2020年第3四半期 (7月~9月) ]」を公開

最終更新日: 2020/10/28

2020年10月21日、情報処理推進機構 (IPA) は「情報セキュリティ安心相談窓口の相談状況[ 2020年第3四半期 (7月~9月) ]」を公開しました。
Emotet 関連の相談が 7月以降増えており、特に 9月に入ってから急増しているようです。多数の国内企業・組織で被害が発生している可能性があるため、改めて対策状況の確認を行うことを推奨します。

参考文献 (日本語)

情報処理推進機構 (IPA)
情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]
https://www.ipa.go.jp/security/txt/2020/q3outline.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-28」
https://www.jpcert.or.jp/wr/2020/wr204201.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2020/10/28

情報源

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/22/cisco-releases-security-updates-multiple-products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-28」
https://www.jpcert.or.jp/wr/2020/wr204201.html

 

複数の Mozilla 製品に脆弱性

最終更新日: 2020/10/28

情報源

CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/mozilla-releases-security-updates-firefox-firefox-esr-and

概要

複数の Mozilla 製品には、脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Mozilla Firefox 82 より前のバージョン
– Mozilla Firefox ESR 78.4 より前のバージョン
– Mozilla Thunderbird 78.4 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (英語)

Mozilla
Security Vulnerabilities fixed in Firefox 82
https://www.mozilla.org/en-US/security/advisories/mfsa2020-45/

Mozilla

Security Vulnerabilities fixed in Firefox ESR 78.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-46/

Mozilla

Security Vulnerabilities fixed in Thunderbird 78.4
https://www.mozilla.org/en-US/security/advisories/mfsa2020-47/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-28」
https://www.jpcert.or.jp/wr/2020/wr204201.html

 

複数の VMware 製品に脆弱性

最終更新日: 2020/10/28

情報源

CISA Current Activity
VMware Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/vmware-releases-security-updates-multiple-products

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、製品内の情報を窃取したり、任意のコードを実行したりするなどの可能性があります。
対象となる製品は次のとおりです。

– VMware ESXi
– VMware Workstation Pro / Player (Workstation)
– VMware Fusion Pro / Fusion (Fusion)
– NSX-T
– VMware Cloud Foundation
– VMware Horizon Server
– VMware Horizon Client for Windows

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2020-0023
https://www.vmware.com/security/advisories/VMSA-2020-0023.html

VMware Security Advisories

VMSA-0020-0024
https://www.vmware.com/security/advisories/VMSA-2020-0024.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-28」
https://www.jpcert.or.jp/wr/2020/wr204201.html

 

Google Chrome に複数の脆弱性

最終更新日: 2020/10/28

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 86.0.4240.111 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-28」
https://www.jpcert.or.jp/wr/2020/wr204201.html