カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

ISC BIND 9 に対する複数の脆弱性に関する注意喚起

 JPCERT/CCからの「ISC BIND 9 に対する複数の脆弱性に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0035
JPCERT/CC
2020-08-21
<<< JPCERT/CC Alert 2020-08-21 >>>
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200035.html

I.概要

ISC BIND 9 には、複数の脆弱性があります。脆弱性が悪用されると、遠隔の第三者によりサービス運用妨害 (DoS) などが引き起こされる可能性があります。

ISC は、脆弱性 CVE-2020-8620、CVE-2020-8621、CVE-2020-8622、CVE-2020-8623 に対する深刻度を「中 (Medium)」、CVE-2020-8624 に対する深刻度を「低 (Low)」と評価しています。脆弱性の詳細については、ISC の情報を確認してください。
Internet Systems Consortium, Inc. (ISC)

CVE-2020-8620: A specially crafted large TCP payload can trigger an assertion failure in tcpdns.c
https://kb.isc.org/docs/cve-2020-8620

Internet Systems Consortium, Inc. (ISC)

CVE-2020-8621: Attempting QNAME minimization after forwarding can lead to an assertion failure in resolver.c
https://kb.isc.org/docs/cve-2020-8621

Internet Systems Consortium, Inc. (ISC)

CVE-2020-8622: A truncated TSIG response can lead to an assertion failure
https://kb.isc.org/docs/cve-2020-8622

Internet Systems Consortium, Inc. (ISC)

CVE-2020-8623: A flaw in native PKCS#11 code can lead to a remotely triggerable assertion failure in pk11.c
https://kb.isc.org/docs/cve-2020-8623

Internet Systems Consortium, Inc. (ISC)

CVE-2020-8624: update-policy rules of type “subdomain” are enforced incorrectly
https://kb.isc.org/docs/cve-2020-8624

影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III.対策」を参考に修正済みバージョンへの適用について検討してください。

II.対象

対象となる製品とバージョンは次のとおりです。

– CVE-2020-8620

– BIND 9.16系 9.16.0 から 9.16.5 まで

– CVE-2020-8621

– BIND 9.16系 9.16.0 から 9.16.5 まで
– BIND 9.14系 9.14.0 から 9.14.12 まで

– CVE-2020-8622

– BIND 9.16系 9.16.0 から 9.16.5 まで
– BIND 9.14系 9.14.0 から 9.14.12 まで
– BIND 9.11系 9.11.0 から 9.11.21 まで
– BIND 9 Supported Preview Edition 9.9.3-S1 から 9.11.21-S1 まで

– CVE-2020-8623

– BIND 9.16系 9.16.0 から 9.16.5 まで
– BIND 9.14系 9.14.0 から 9.14.12 まで
– BIND 9.11系 9.11.0 から 9.11.21 まで
– BIND 9 Supported Preview Edition 9.10.5-S1 から 9.11.21-S1 まで

– CVE-2020-8624

– BIND 9.16系 9.16.0 から 9.16.5 まで
– BIND 9.14系 9.14.0 から 9.14.12 まで
– BIND 9.11系 9.11.0 から 9.11.21 まで
– BIND 9 Supported Preview Edition 9.9.12-S1 から 9.9.13-S1 まで
– BIND 9 Supported Preview Edition 9.11.3-S1 から 9.11.21-S1 まで

なお既にサポートが終了している BIND 9.10系以前や 9.12系、9.13系、9.15系および開発版の 9.17系についても影響を受ける脆弱性があるとのことです。
ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。

III.対策

ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

– BIND 9.11.22

– BIND 9.16.6
– BIND 9.17.4
– BIND Supported Preview Edition 9.11.22-S1

IV. 参考情報

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8620)- バージョンアップを推奨 –
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-libuv.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8621)- バージョンアップを推奨 –
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-forwarding.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8622)- バージョンアップを推奨 –
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-tsig.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8623)- ビルド時に「–enable-native-pkcs11」を指定した場合にのみ対象、バージョンアップを推奨 –
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-pkcs11.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2020-8624)- バージョンアップを推奨 –
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-updatepolicy.html

Internet Systems Consortium, Inc. (ISC)

BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email:
https://www.jpcert.or.jp/

ZeroShellの脆弱性を標的としたアクセスの観測について

最終更新日: 2020/08/19

2020年8月11日、警察庁は「ZeroShellの脆弱性を標的としたアクセスの観測について」と題したレポートを公開しました。2020年7月16日以降、ZeroShellに存在する既知の脆弱性を標的としたアクセスが観測されています。この脆弱性は、遠隔から任意のコマンド実行が可能となるものです。警察庁は、脆弱性のあるバージョンを使用している場合は、開発元から公開されているバージョンへのアップデートなどの対応を実施するよう呼び掛けています。

参考文献 (日本語)

警察庁
ZeroShellの脆弱性を標的としたアクセスの観測について
https://www.npa.go.jp/cyberpolice/detect/pdf/20200811.pdf

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-19」
https://www.jpcert.or.jp/wr/2020/wr203201.html

Apache Struts 2 に複数の脆弱性

最終更新日: 2020/08/19

情報源

CISA Current Activity
Apache Releases Security Advisory for Struts 2
https://us-cert.cisa.gov/ncas/current-activity/2020/08/14/apache-releases-security-advisory-struts-2

概要

Apache Struts 2 には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
可能性があります。
対象となる製品およびバージョンは次のとおりです。
– Apache Struts 2 バージョン 2.0.0 から 2.5.20 まで
なお、既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2系のバージョンも本影響を受けるとのことです。
この問題は、Apache Struts 2 を Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、Apache Software Foundation が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200034.html

関連文書 (英語)

Apache Software Foundation
S2-059
https://cwiki.apache.org/confluence/display/WW/S2-059

Apache Software Foundation

S2-060
https://cwiki.apache.org/confluence/display/WW/S2-060

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-19」
https://www.jpcert.or.jp/wr/2020/wr203201.html

 

複数の SAP 製品に脆弱性

最終更新日: 2020/08/19

情報源

CISA Current Activity
SAP Releases August 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/sap-releases-august-2020-security-updates

概要

複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該製品を制御するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
– SAP NetWeaver AS JAVA (LM Configuration Wizard) バージョン 7.30, 7.31, 7.40, 7.50

– SAP NetWeaver (Knowledge Management) バージョン 7.30, 7.31, 7.40, 7.50
– SAP Business Objects Business Intelligence Platform バージョン 4.2, 4.3
– SAP Banking Services (Generic Market Data) バージョン 400, 450, 500
– SAP NetWeaver (ABAP Server) and ABAP Platform バージョン 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755
– SAP NetWeaver AS JAVA ENGINEAPI バージョン 7.10
– SAP NetWeaver AS JAVA WSRM バージョン 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
– SAP NetWeaver AS JAVA J2EE-FRMW バージョン 7.10, 7.11
– SAP Adaptive Server Enterprise バージョン 16.0
– SAP Data Intelligence バージョン 3
– SAPUI5 (UISAPUI5_JAVA) バージョン 7.50
– SAPUI5 (SAP_UI) バージョン 750, 751, 752, 753, 754, 755
– SAPUI5 (UI_700) バージョン 200
– SAP Commerce バージョン 6.7, 1808, 1811, 1905, 2005
– SAP ERP (HCM Travel Management) バージョン 600, 602, 603, 604, 605, 606, 607, 608
– SAP Business Objects Business Intelligence Platform (Central Management Console) バージョン 4.2, 4.3
– SAP S/4 HANA (Fiori UI for General Ledger Accounting) バージョン 103, 104

この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新することで解決します。詳細は、SAP が提供する情報を参照してください。

関連文書 (英語)

SAP
SAP Security Patch Day – August 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-19」
https://www.jpcert.or.jp/wr/2020/wr203201.html

 

Intel 製品に複数の脆弱性

最終更新日: 2020/08/19

情報源

Japan Vulnerability Notes JVNVU#99606488
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU99606488/

JPCERT/CC CyberNewsFlash

Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020081301.html

概要

Intel から複数の製品に含まれる脆弱性に対応した Intel Product Security Center Advisories が公開されました。
詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)

Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-19」
https://www.jpcert.or.jp/wr/2020/wr203201.html

 

CyberMail に複数の脆弱性

最終更新日: 2020/08/19

情報源

Japan Vulnerability Notes JVN#46258789
CyberMail における複数の脆弱性
https://jvn.jp/jp/JVN46258789/

概要

サイバーソリューションズ株式会社が提供する CyberMail には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、任意のウェブサイトにリダイレクトしたりする可能性があります。
対象となるバージョンは次のとおりです。

– CyberMail Ver.7 系
– CyberMail Ver.6 系

この問題は、サイバーソリューションズ株式会社が提供するパッチを適用することで解決します。詳細は、サイバーソリューションズ株式会社が提供する情報を参照してください。

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-19」
https://www.jpcert.or.jp/wr/2020/wr203201.html

 

Citrix Endpoint Management (XenMobile) に複数の脆弱性

最終更新日: 2020/08/19

情報源

JPCERT/CC CyberNewsFlash
Citrix Endpoint Management のセキュリティアップデートについて
https://www.jpcert.or.jp/newsflash/2020081202.html

概要

Citrix Endpoint Management (XenMobile) には、複数の脆弱性があります。
対象となる製品は次のとおりです。

– XenMobile Server

この問題は、Citrix が提供する修正済みのバージョンに更新することで解決します。詳細は、Citrix が提供する情報を参照してください。

関連文書 (英語)

Citrix Systems, Inc.
Citrix Endpoint Management (CEM) Security Update
https://support.citrix.com/article/CTX277457

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-19」
https://www.jpcert.or.jp/wr/2020/wr203201.html

 

複数の Adobe 製品に脆弱性

最終更新日: 2020/08/19

情報源

CISA Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/adobe-releases-security-updates

概要

複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、機密情報を窃取したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Lightroom Classic 9.2.0.10 およびそれ以前
– Acrobat DC Continuous 2020.009.20074 およびそれ以前
– Acrobat Reader DC Continuous 2020.009.20074 およびそれ以前
– Acrobat 2020 Classic 2020 2020.001.30002
– Acrobat Reader 2020 Classic 2020 2020.001.30002
– Acrobat 2017 Classic 2017 2017.011.30171 およびそれ以前
– Acrobat Reader 2017 Classic 2017 2017.011.30171 およびそれ以前
– Acrobat 2015 Classic 2015 2015.006.30523 およびそれ以前
– Acrobat Reader 2015 Classic 2015 2015.006.30523 およびそれ以前

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新することで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Adobe Lightroom に関するアップデート (APSB20-51) について
https://www.jpcert.or.jp/newsflash/2020081201.html

JPCERT/CC 注意喚起

Adobe Acrobat および Reader の脆弱性 (APSB20-48) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200032.html

Adobe

Adobe Lightroom に関するセキュリティアップデート公開 | APSB20-51
https://helpx.adobe.com/jp/security/products/lightroom/apsb20-51.html

Adobe

Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-48
https://helpx.adobe.com/jp/security/products/acrobat/apsb20-48.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-19」
https://www.jpcert.or.jp/wr/2020/wr203201.html

 

Google Chrome に複数の脆弱性

最終更新日: 2020/08/19

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 84.0.4147.125 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop.html

Apple

Windows 用 iCloud 11.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211294

Apple

Windows 用 iCloud 7.20 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211295

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-19」
https://www.jpcert.or.jp/wr/2020/wr203201.html

 

複数の Apple 製品に脆弱性

最終更新日: 2020/08/19

情報源

CISA Current Activity
Apple Releases Security Updates for iCloud for Windows
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/apple-releases-security-updates-icloud-windows

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となるバージョンは次のとおりです。

– iCloud for Windows 11.3 より前のバージョン
– iCloud for Windows 7.20 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#95491800
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95491800/

Apple

Windows 用 iCloud 11.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211294

Apple

Windows 用 iCloud 7.20 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211295

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-19」
https://www.jpcert.or.jp/wr/2020/wr203201.html