カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

複数の Adobe 製品に脆弱性

最終更新日: 2020/10/28

情報源

CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/21/adobe-releases-security-updates-multiple-products

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。

– Adobe Illustrator
– Adobe Dreamweaver
– Marketo
– Adobe Animate
– Adobe After Effects
– Adobe Photoshop
– Adobe Premiere Pro
– Adobe Media Encoder
– Adobe InDesign
– Adobe Creative Cloud Desktop Application

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020102101.html

Adobe

Adobe Illustrator に関するセキュリティアップデート公開 | APSB20-53
https://helpx.adobe.com/jp/security/products/illustrator/apsb20-53.html

Adobe

Adobe Dreamweaver に関するセキュリティアップデート公開 | APSB20-55
https://helpx.adobe.com/jp/security/products/dreamweaver/apsb20-55.html

Adobe

Marketo に関するセキュリティアップデート公開 | APSB20-60
https://helpx.adobe.com/jp/security/products/marketo/apsb20-60.html

Adobe

Adobe Animate に関するセキュリティアップデート公開 | APSB20-61
https://helpx.adobe.com/jp/security/products/animate/apsb20-61.html

Adobe

Adobe After Effects に関するセキュリティアップデート公開 | APSB20-62
https://helpx.adobe.com/jp/security/products/after_effects/apsb20-62.html

Adobe

Adobe Photoshop に関するセキュリティアップデート公開 | APSB20-63
https://helpx.adobe.com/jp/security/products/photoshop/apsb20-63.html

Adobe

Adobe Premiere Pro に関するセキュリティアップデート公開 | APSB20-64
https://helpx.adobe.com/jp/security/products/premiere_pro/apsb20-64.html

Adobe

Adobe Media Encoder に関するセキュリティアップデート公開 | APSB20-65
https://helpx.adobe.com/jp/security/products/media-encoder/apsb20-65.html

Adobe

Adobe InDesign に関するセキュリティアップデート公開 | APSB20-66
https://helpx.adobe.com/jp/security/products/indesign/apsb20-66.html

Adobe

Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB20-68
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb20-68.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-28」
https://www.jpcert.or.jp/wr/2020/wr204201.html

 

2020年 10月 Oracle Critical Patch Update について

最終更新日: 2020/10/28

情報源

CISA Current Activity
Oracle Releases October 2020 Security Bulletin
https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/oracle-releases-october-2020-security-bulletin-0

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200040.html

関連文書(英語)

Oracle

Oracle Critical Patch Update Advisory – October 2020
https://www.oracle.com/security-alerts/cpuoct2020.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-28」
https://www.jpcert.or.jp/wr/2020/wr204201.html

 

2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起

 JPCERT/CCからの「2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0040
JPCERT/CC
2020-10-21
<<< JPCERT/CC Alert 2020-10-21 >>>
2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200040.html

I.概要

2020年10月20日(現地時間)、Oracle は、複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。

Oracle Critical Patch Update Advisory – October 2020

https://www.oracle.com/security-alerts/cpuoct2020.html

脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行されたり、機微な情報を不正に削除や改ざんされたりする可能性があります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。

II.対象

対象として、次の製品およびバージョンが含まれています。

– Java SE JDK/JRE 15

– Java SE JDK/JRE 11.0.8
– Java SE JDK/JRE 8u261
– Java SE JDK/JRE 7u271
– Java SE Embedded 8u261
– Oracle Database Server 19c
– Oracle Database Server 18c
– Oracle Database Server 12.2.0.1
– Oracle Database Server 12.1.0.2
– Oracle Database Server 11.2.0.4
– Oracle WebLogic Server 14.1.1.0.0
– Oracle WebLogic Server 12.2.1.4.0
– Oracle WebLogic Server 12.2.1.3.0
– Oracle WebLogic Server 12.1.3.0.0
– Oracle WebLogic Server 10.3.6.0.0

ただし、その他の対象となる製品およびバージョンは多岐に渡るため、正確な情報は Oracle の情報を参照してください。
また、PC に Java JRE がプリインストールされている場合や、サーバーで使用するソフトウェア製品に、WebLogic Server を使用している場合もあります。利用中の PC やサーバーに対象となる製品が含まれていないかについても、確認してください。
日本オラクル株式会社

Oracle Java SE サポート・ロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html

III.対策

Oracle からそれぞれの製品に対して、修正済みソフトウェアが公開されています。Java SE、Oracle Database および WebLogic では、次のバージョンが公開されています。

– Java SE JDK/JRE 15.0.1

– Java SE JDK/JRE 11.0.9
– Java SE JDK/JRE 8u271
– Java SE JDK/JRE 7u281
– Java SE Embedded 8u271
– Oracle Database Server ※
– Oracle WebLogic Server ※

※ 2020年10月21日現在、公開情報から対策が施されたパッチに関する情報は確認できませんでした。詳細は Oracle 等に確認してください。
製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
Java SE Downloads

https://www.oracle.com/technetwork/java/javase/downloads/index.html

無料Javaのダウンロード

https://java.com/ja/download/

また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウェアを適用してください。
お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)
Javaのバージョンの確認

https://www.java.com/ja/download/installed.jsp

IV. 参考情報

Oracle Corporation
Oracle Critical Patch Update Advisory – October 2020
https://www.oracle.com/security-alerts/cpuoct2020.html

Oracle Corporation

Listing of Java Development Kit 15 Release Notes
https://www.oracle.com/java/technologies/javase/15u-relnotes.html

Oracle Corporation

Listing of Java Development Kit 11 Release Notes
https://www.oracle.com/java/technologies/javase/11u-relnotes.html

Oracle Corporation

Java Development Kit 8 Update Release Notes
https://www.oracle.com/java/technologies/javase/8u-relnotes.html

Oracle Corporation

Java SE 7 Advanced and Java SE 7 Support (formerly known as Java for Business 7) Release Notes
https://www.oracle.com/java/technologies/javase/7-support-relnotes.html

Oracle Corporation

Oracle Java SE Embedded 8 Release Notes
https://www.oracle.com/java/technologies/javase/embedded8-relnotes.html

Oracle Corporation

October 2020 Critical Patch Update Released
https://blogs.oracle.com/security/october-2020-critical-patch-update-released

日本オラクル株式会社

Oracle Java SE サポート・ロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
TEL:03-6811-0610 Email:
https://www.jpcert.or.jp/

総務省が「特別定額給付金の給付を騙ったメールに対する注意喚起」を公開

最終更新日: 2020/10/21

2020年10月15日、総務省は、「特別定額給付金の給付を騙ったメールに対する注意喚起」を公開しました。総務省を騙るメールアドレスから、「二回目特別定額給付金の特設サイトを開設しました。」といった旨及び偽の特設サイトに誘導するリンクが含まれたメールが送信されているといった情報が寄せられているとのことです。情報の詐取を目的としたものと考えられますのでご注意ください。

参考文献 (日本語)

総務省
特別定額給付金の給付を騙ったメールに対する注意喚起
https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000438.html

フィッシング対策協議会

特別定額給付金に関する通知を装うフィッシング (2020/10/15)
https://www.antiphishing.jp/news/alert/kyufukin_20201015.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-21」
https://www.jpcert.or.jp/wr/2020/wr204101.html

 

Internet Week 2020 開催のお知らせ

最終更新日: 2020/10/21

情報源

一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
Internet Week 2020
https://www.nic.ad.jp/iw2020/

一般社団法人日本ネットワークインフォメーションセンター (JPNIC)

参加申込
https://www.nic.ad.jp/iw2020/apply/main/

概要

2020年11月17日 (火) から27日 (金) まで、一般社団法人日本ネットワークインフォメーションセンター (JPNIC) は、「Internet Week 2020」をオンラインで開催します。インターネットに関する技術の研究・開発、 構築・運用・サービスに関わる人々が、主にインターネットの基盤技術の基礎知識や最新動向を学び、議論し、理解と交流を深めるためのイベントです。JPCERT/CC は本カンファレンスを後援しています。
事前申込みの締め切りは 11月13日 (金) 17:00 までとなっております。詳細は、JPNIC が提供する情報を確認してください。

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-21」
https://www.jpcert.or.jp/wr/2020/wr204101.html

 

Intel 製 BlueZ に複数の脆弱性

最終更新日: 2020/10/21

情報源

Japan Vulnerability Notes JVNVU#90263580
Intel 製 BlueZ に複数の脆弱性
https://jvn.jp/vu/JVNVU90263580/

概要

Intel が提供する BlueZ には、複数の脆弱性があります。結果として、隣接するネットワークの第三者が権限昇格を行うなどの可能性があります。
対象となるバージョンは次のとおりです。

– BlueZ をサポートする Linux Kernel 5.9 より前のすべてのバージョン

この問題は、BlueZ を Intel が提供する修正済みのバージョンに更新することで解決します。詳細は Intel が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020101401.html

関連文書 (英語)

Intel

INTEL-SA-00435: BlueZ Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-21」
https://www.jpcert.or.jp/wr/2020/wr204101.html

 

複数の Juniper 製品に脆弱性

最終更新日: 2020/10/21

情報源

CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/15/juniper-networks-releases-security-updates-multiple-products

概要

複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となる製品は次のとおりです。

– Junos OS
– Junos OS Evolved
– Junos Space and Junos Space Security Director
– Juniper Secure Analytics
– Mist Cloud User Interface
– SBR Carrier
– Juniper Identity Management System
– Contrail Networking

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更新することで解決します。詳細は、Juniper が提供する情報を参照してください。

関連文書 (英語)

Juniper Networks

Security Advisories (2020-10 Security Bulletin)
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-21」
https://www.jpcert.or.jp/wr/2020/wr204101.html

 

Acronis 製バックアップソフトウェアに複数の脆弱性

最終更新日: 2020/10/21

情報源

CERT/CC Vulnerability Note VU#114757
Acronis backup software contains multiple privilege escalation vulnerabilities
https://kb.cert.org/vuls/id/114757

概要

Acronis が提供する バックアップソフトウェアには、複数の脆弱性があります。
対象となる製品およびバージョンは次のとおりです。

– Acronis True Image 2021 ビルド番号 32010 より前のバージョン
– Acronis Cyber Backup 12.5 ビルド番号 16363 より前のバージョン
– Acronis Cyber Protect 15 ビルド番号 24600 より前のバージョン

この問題は、該当する製品を Acronis が提供する修正済みのバージョンに更新することで解決します。詳細は Acronis が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92288299

Acronis 製の複数のバックアップソフトウェアに DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU92288299/

JPCERT/CC CyberNewsFlash

Acronis製バックアップソフトウェアの複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020101301.html

関連文書 (英語)

Acronis

Acronis True Image 2021 Update 1 for Windows
https://www.acronis.com/ja-jp/support/updates/changes.html?p=42226

Acronis

Release notes for Acronis Cyber Backup 12.5 Update 5
https://dl.managed-protection.com/u/backup/rn/12.5/user/en-US/AcronisBackup12.5_relnotes.htm

Acronis

Release notes for Acronis Cyber Protect 15
https://dl.managed-protection.com/u/cyberprotect/rn/15/user/en-US/AcronisCyberProtect15_relnotes.htm

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-21」
https://www.jpcert.or.jp/wr/2020/wr204101.html

 

Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

最終更新日: 2020/10/21

情報源

CISA Current Activity
Apache Releases Security Updates for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/apache-releases-security-updates-apache-tomcat

Japan Vulnerability Notes JVNVU#97307781

Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU97307781/

概要

Apache Software Foundation が提供する Apache Tomcat には、HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性が存在します。結果として、遠隔の第三者が細工された HTTP/2 リクエストを送信し、予期しないリソースへの応答を誘発することで、情報を窃取する可能性があります。
対象となるバージョンは次のとおりです。

– Apache Tomcat 10.0.0-M1 から 10.0.0-M7 まで
– Apache Tomcat 9.0.0.M1 から 9.0.37 まで
– Apache Tomcat 8.5.0 から 8.5.57 まで

この問題は、Apache Tomcat を Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は Apache Software Foundation が提供する情報を参照してください。

関連文書 (英語)

Apache Software Foundation

Fixed in Apache Tomcat 10.0.0-M8
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M8

Apache Software Foundation

Fixed in Apache Tomcat 9.0.38
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.38

Apache Software Foundation

Fixed in Apache Tomcat 8.5.58
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.58

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-21」
https://www.jpcert.or.jp/wr/2020/wr204101.html

 

複数の Adobe 製品に脆弱性

最終更新日: 2020/10/21

情報源

CISA Current Activity
Adobe Releases Security Updates for Flash Player
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/adobe-releases-security-updates-flash-player

CISA Current Activity

Adobe Releases Security Updates for Magento
https://us-cert.cisa.gov/ncas/current-activity/2020/10/16/adobe-releases-security-updates-magento

概要

複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、機密情報を窃取したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
– Adobe Flash Player Desktop Runtime (32.0.0.433) およびそれ以前のバージョン (Windows, macOS および Linux)
– Adobe Flash Player for Google Chrome (32.0.0.433) およびそれ以前のバージョン (Windows, macOS, Linux および Chrome OS)
– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.387) およびそれ以前のバージョン (Windows 10 および Windows 8.1)

– Magento Commerce 2.3.5-p1 およびそれ以前のバージョン
– Magento Commerce 2.3.5-p2 およびそれ以前のバージョン
– Magento Commerce 2.4.0 およびそれ以前のバージョン
– Magento Open Source 2.3.5-p1 およびそれ以前のバージョン
– Magento Open Source 2.3.5-p2 およびそれ以前のバージョン
– Magento Open Source 2.4.0 およびそれ以前のバージョン

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Adobe Flash Player の脆弱性 (APSB20-58) に関する注意喚起2020 年 10 月のセキュリティ更新プログラム
https://www.jpcert.or.jp/at/2020/at200039.html

JPCERT/CC CyberNewsFlash

Magento に関するアップデート (APSB20-59) について
https://www.jpcert.or.jp/newsflash/2020101601.html

関連文書 (英語)

Adobe

Security updates available for Adobe Flash Player | APSB20-58
https://helpx.adobe.com/security/products/flash-player/apsb20-58.html

Adobe

Security Updates Available for Magento | APSB20-59
https://helpx.adobe.com/security/products/magento/apsb20-59.html

Magento

Magento Commerce 2.4.1 Release Notes
https://devdocs.magento.com/guides/v2.4/release-notes/commerce-2-4-1.html

Magento

Magento Commerce 2.3.6 Release Notes
https://devdocs.magento.com/guides/v2.3/release-notes/commerce-2-3-6.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-21」
https://www.jpcert.or.jp/wr/2020/wr204101.html