カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

ServerProtect for Linux に OS コマンドインジェクションの脆弱性

最終更新日: 2020/10/07

情報源

Japan Vulnerability Notes JVNVU#91216654
ServerProtect for Linux に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU91216654/

概要

トレンドマイクロ株式会社が提供する ServerProtect for Linux には OS コマンドインジェクションの脆弱性があります。結果として、管理者権限を持つ遠隔の攻撃者が、任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです
– ServerProtect for Linux バージョン 3.0
この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正パッチを適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書(日本語)

トレンドマイクロ株式会社

アラート/アドバイザリ:ServerProtect for Linux のコマンドインジェクションの脆弱性(CVE-2020-24561)について
https://success.trendmicro.com/jp/solution/000268898

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-07」
https://www.jpcert.or.jp/wr/2020/wr203901.html

 

横河電機製 WideField3 にバッファオーバーフローの脆弱性

最終更新日: 2020/10/07

情報源

Japan Vulnerability Notes JVNVU#96842058
横河電機製 WideField3 にバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU96842058/

概要

横河電機株式会社が提供する WideField3 には、バッファオーバーフローの脆弱性があります。結果として、当該製品にアクセス可能な第三者が、プロジェクトファイルを書き換えることで、アプリケーションが不正終了する可能性があります。
対象となるバージョンは次のとおりです
– WideField3 R1.01 から R4.03 まで。
この問題は、該当する製品を横河電機株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、横河電機株式会社が提供する情報を参照してください。

関連文書(日本語)

横河電機株式会社

YSAR-20-0002: WideField3の脆弱性
https://web-material3.yokogawa.com/19/30026/files/YSAR-20-0002-J.pdf

CISA Current Activity

Yokogawa WideField3
https://us-cert.cisa.gov/ics/advisories/icsa-20-273-02

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-07」
https://www.jpcert.or.jp/wr/2020/wr203901.html

 

InfoCage SiteShell にサービス実行ファイルが書き換え可能な脆弱性

最終更新日: 2020/10/07

情報源

Japan Vulnerability Notes JVN#07426151
InfoCage SiteShell においてサービス実行ファイルが書き換え可能な脆弱性
https://jvn.jp/jp/JVN07426151/

概要

日本電気株式会社が提供する InfoCage SiteShell には、サービス実行ファイルが書き換え可能な脆弱性があります。結果として、ローカルユーザが権限を昇格して、サービスを実行する可能性があります。
対象となるバージョンは、多岐にわたります。詳細は日本電気株式会社が提供
するアドバイザリ情報を参照してください。
この問題は、該当する製品を日本電気株式会社が提供する修正パッチを適用することで解決します。また、サポートが終了しているバージョンは、バージョンアップが推奨されています。詳細は、日本電気株式会社が提供する情報を参照してください。

関連文書(日本語)

日本電気株式会社

インストールしたファイルに Everyone による変更権限が付与される際のInfoCage SiteShellの対応について
https://jpn.nec.com/infocage/siteshell/everyone_20200918.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-07」
https://www.jpcert.or.jp/wr/2020/wr203901.html

 

GitLab に複数の脆弱性

最終更新日: 2020/10/07

情報源

GitLab
GitLab Security Release: 13.4.2, 13.3.7 and 13.2.10
https://about.gitlab.com/releases/2020/10/01/security-release-13-4-2-release/

概要

GitLab には、複数の脆弱性があります。結果として、第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。

– GitLab Community および Enterprise Edition 13.4.2 より前の 13.4 系バージョン
– GitLab Community および Enterprise Edition 13.3.7 より前の 13.3 系バージョン
– GitLab Community および Enterprise Edition 13.2.10 より前の 13.2 系バージョン

なお、GitLab によると、サポートが終了したバージョンも影響を受けるとのことです。詳細は GitLab が提供する情報を参照してください。
この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新することで解決します。詳細は、GitLab が提供する情報を参照してください。

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-07」
https://www.jpcert.or.jp/wr/2020/wr203901.html

 

PHP に複数の脆弱性

最終更新日: 2020/10/07

情報源

The PHP Group
PHP 7.4.11 Released!
https://www.php.net/archive/2020.php#2020-10-01-2

The PHP Group

PHP 7.3.23 Released!
https://www.php.net/archive/2020.php#2020-10-01-3

The PHP Group

PHP 7.2.34 Released!
https://www.php.net/archive/2020.php#2020-10-01-1

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が Cookie を偽造するなどの可能性があります。
対象となるバージョンは次のとおりです。

– PHP 7.4.11 より前のバージョン
– PHP 7.3.23 より前のバージョン
– PHP 7.2.34 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者や配布元が提供する情報を参照してください。

関連文書(英語)

The PHP Group

PHP 7 ChangeLog Version 7.4.11
https://www.php.net/ChangeLog-7.php#7.4.11

The PHP Group

PHP 7 ChangeLog Version 7.3.23
https://www.php.net/ChangeLog-7.php#7.3.23

The PHP Group

PHP 7 ChangeLog Version 7.2.34
https://www.php.net/ChangeLog-7.php#7.2.34

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-07」
https://www.jpcert.or.jp/wr/2020/wr203901.html

 

個人情報保護委員会が「テレワークに伴う個人情報漏えい事案に関する注意事項」を公開

最終更新日: 2020/09/30

2020年9月23日、個人情報保護委員会は、「テレワークに伴う個人情報漏えい事案に関する注意事項」を公開しました。本資料は新型コロナウイルスの影響でテレワークの利用が広がる中で、実際に確認した個人情報漏えい事案の個別事例を紹介しています。

参考文献 (日本語)

個人情報保護委員会
テレワークに伴う個人情報漏えい事案に関する注意事項
https://www.ppc.go.jp/news/careful_information/telework/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-09-30」
https://www.jpcert.or.jp/wr/2020/wr203801.html

 

ウイルスバスター クラウドに複数の脆弱性

最終更新日: 2020/09/30

情報源

Japan Vulnerability Note JVN#60093979
ウイルスバスター クラウド (Windows版) に実装された Active Update 機能における複数の脆弱性
https://jvn.jp/jp/JVN60093979/

概要

ウイルスバスター クラウド (Windows版) に実装された Active Update 機能には、複数の脆弱性があります。結果として、遠隔の第三者が細工したアップデートファイルをダウンロードさせることで、SYSTEM 権限で任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。

– ウイルスバスター クラウド (Windows版) バージョン 15 およびそれ以前

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書(日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2020-15604/CVE-2020-24560)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09673

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-09-30」
https://www.jpcert.or.jp/wr/2020/wr203801.html

 

Google Chrome に複数の脆弱性

最終更新日: 2020/09/30

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/09/22/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 85.0.4183.121 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

関連文書(英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-09-30」
https://www.jpcert.or.jp/wr/2020/wr203801.html

 

複数の Mozilla 製品に脆弱性

最終更新日: 2020/09/30

情報源

CISA Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://us-cert.cisa.gov/ncas/current-activity/2020/09/22/mozilla-releases-security-updates-firefox-and-firefox-esr

概要

複数の Mozilla 製品には、脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Mozilla Firefox 81 より前のバージョン
– Mozilla Firefox ESR 78.3 より前のバージョン
– Mozilla Thunderbird 78.3 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書(英語)

Mozilla
Security Vulnerabilities fixed in Firefox 81
https://www.mozilla.org/en-US/security/advisories/mfsa2020-42/

Mozilla

Security Vulnerabilities fixed in Firefox ESR 78.3
https://www.mozilla.org/en-US/security/advisories/mfsa2020-43/

Mozilla

Security Vulnerabilities fixed in Thunderbird 78.3
https://www.mozilla.org/en-US/security/advisories/mfsa2020-44/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-09-30」
https://www.jpcert.or.jp/wr/2020/wr203801.html

 

複数の Apple 製品に脆弱性

最終更新日: 2020/09/30

情報源

CISA Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/09/25/apple-releases-security-updates

Japan Vulnerability Notes JVNVU#92546061

複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92546061/

概要

複数の Apple 製品には、脆弱性があります。結果として、第三者が任意のコードを実行したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– iCloud for Windows 11.4 より前のバージョン
– iCloud for Windows 7.21 より前のバージョン
– macOS Catalina 10.15.7 より前のバージョン
– macOS High Sierra (Security Update 2020-005 未適用)
– macOS Mojave (Security Update 2020-005 未適用)

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書(英語)

Apple
About the security content of iCloud for Windows 11.4
https://support.apple.com/en-us/HT211846

Apple

About the security content of iCloud for Windows 7.21
https://support.apple.com/en-us/HT211847

Apple

About the security content of macOS Catalina 10.15.7, Security Update 2020-005 High Sierra, Security Update 2020-005 Mojave
https://support.apple.com/en-us/HT211849

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-09-30」
https://www.jpcert.or.jp/wr/2020/wr203801.html