カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Apache HTTP Server に複数の脆弱性

最終更新日: 2020/08/19

情報源

Apache Software Foundation
Fixed in Apache httpd 2.4.44
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.44

概要

Apache HTTP Server には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。

– Apache HTTP Server 2.4.44 より前のバージョン

この問題は、Apache HTTP Server を Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、Apache Software Foundation が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92184689
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92184689/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-19」
https://www.jpcert.or.jp/wr/2020/wr203201.html

 

複数の Microsoft 製品に脆弱性

最終更新日: 2020/08/19

情報源

CISA Current Activity
Microsoft Releases August 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/microsoft-releases-august-2020-security-updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。

– Microsoft Windows
– Microsoft Edge (EdgeHTML ベース)
– Microsoft Edge (Chromium ベース)
– Microsoft ChakraCore
– Internet Explorer
– Microsoft スクリプト エンジン
– SQL Server
– Microsoft Jet データベース エンジン
– .NET Framework
– ASP.NET Core
– Microsoft Office、Microsoft Office Services および Web Apps
– Microsoft Windows Codecs Library
– Microsoft Dynamics

この問題は、Microsoft Update などを用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2020 年 8 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Aug

JPCERT/CC 注意喚起

2020年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200033.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-19」
https://www.jpcert.or.jp/wr/2020/wr203201.html

 

Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起

 JPCERT/CCからの「Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0034
JPCERT/CC
2020-08-14
<<< JPCERT/CC Alert 2020-08-14 >>>
Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200034.html

I.概要

Apache Software Foundation は、2020年8月13日に Apache Struts 2 の脆弱性 (CVE-2019-0230、CVE-2019-0233) に関する情報 (S2-059、S2-060) を公開しました。本脆弱性が悪用されると、Apache Struts 2 が動作するサーバーにおいて、遠隔の第三者により任意のコードが実行されたり、サービス運用妨害(DoS) が引き起こされたりする可能性があります。

Apache Struts 2 Documentation

Security Bulletins S2-059
https://cwiki.apache.org/confluence/display/WW/S2-059

Apache Struts 2 Documentation

Security Bulletins S2-060
https://cwiki.apache.org/confluence/display/WW/S2-060

脆弱性 CVE-2019-0230 は、第三者が細工したリクエストを送信することで、任意のコードが実行される可能性があります。

脆弱性 CVE-2019-0233 は、ファイルをアップロードする際に第三者がリクエストを不正に操作することで、サービス運用妨害 (DoS) が引き起こされる可能性があります。

Apache Software Foundation は、CVE-2019-0230 の深刻度を「Important」、CVE-2019-0233 の深刻度を「Medium」と評価しています。

脆弱性の影響を受けるバージョンの Apache Struts 2 を使用している場合には、「III. 対策」を参考に早期の対応を行うことを推奨します。

II.対象

次のバージョンの Apache Struts 2 が本脆弱性の影響を受けます。

Apache Struts 2

– 2.5 系列2.5.20 およびそれ以前のバージョン

開発者によると、次の点が指摘されています。
– 2019年11月に公開された 2.5.22 は本影響を受けない
– 既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2 系のバージョンは本影響を受ける。

III.対策

Apache Software Foundation より、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

Apache Struts 2

– 2.5 系列2.5.22 以降のバージョン

詳細は、Apache Software Foundation からの更新情報を参照してください。
Apache Struts 2 Documentation

Version Notes 2.5.22
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.22

 IV. 参考情報

The Apache Software Foundation
Security Advice: Announcing CVE-2019-0230 (Possible RCE) and CVE-2019-0233 (DoS) security issues
https://struts.apache.org/announce#a20200813

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email:
https://www.jpcert.or.jp/

PHP に解放済みメモリ使用 (Use-after-free) の脆弱性

最終更新日: 2020/08/18

情報源

The PHP Group
PHP 7.4.9 Released!
https://www.php.net/archive/2020.php#2020-08-06-4

The PHP Group

PHP 7.3.21 Released!
https://www.php.net/archive/2020.php#2020-08-06-2

The PHP Group

PHP 7.2.33 Released!
https://www.php.net/archive/2020.php#2020-08-06-1

概要

PHP には、解放済みメモリ使用 (Use-after-free) の脆弱性があります。
対象となるバージョンは次のとおりです。

– PHP 7.4.9 より前のバージョン
– PHP 7.3.21 より前のバージョン
– PHP 7.2.33 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者や配布元が提供する情報を参照してください。

関連文書(英語)

The PHP Group

PHP 7 ChangeLog Version 7.4.9
https://www.php.net/ChangeLog-7.php#7.4.9

The PHP Group

PHP 7 ChangeLog Version 7.3.21
https://www.php.net/ChangeLog-7.php#7.3.21

The PHP Group

PHP 7 ChangeLog Version 7.2.33
https://www.php.net/ChangeLog-7.php#7.2.33

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-13」
https://www.jpcert.or.jp/wr/2020/wr203101.html

 

複数のトレンドマイクロ製品に脆弱性

最終更新日: 2020/08/18

情報源

Japan Vulnerability Notes JVNVU#99160193
トレンドマイクロ社のルートキット対策ドライバに入力値検証不備の脆弱性
https://jvn.jp/vu/JVNVU99160193/

Japan Vulnerability Notes JVNVU#94105662

トレンドマイクロ株式会社製のウイルスバスター クラウドのドライバに境界外読み込みの脆弱性
https://jvn.jp/vu/JVNVU94105662/

Japan Vulnerability Notes JVNVU#98423028

トレンドマイクロ株式会社製のウイルスバスター クラウドのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU98423028/

概要

複数のトレンドマイクロ製品には、脆弱性があります。結果として、第三者が、システムをクラッシュさせたり、任意のコードを実行したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– トレンドマイクロ社のルートキット対策ドライバを使用している複数の製品
– ウイルスバスター クラウド バージョン16、v16.0.1302 およびそれ以前のバージョン
– ウイルスバスター クラウド バージョン15

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。また、トレンドマイクロ株式会社が提供する最新のインストーラを使用してください。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書(日本語)

トレンドマイクロ株式会社

アラート/アドバイザリ:ルートキット対策ドライバの入力の妥当性検証に関する脆弱性(CVE-2020-8607)について
https://success.trendmicro.com/jp/solution/000260748

トレンドマイクロ株式会社

アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2020-15602)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09644

トレンドマイクロ株式会社

アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2020-15603)
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-09645

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-13」
https://www.jpcert.or.jp/wr/2020/wr203101.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2020/08/18

情報源

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/08/06/cisco-releases-security-updates-multiple-products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
影響度 High の脆弱性情報に記載されている製品およびバージョンは次のとおりです。

– Cisco 250 Series Smart Switches
– Cisco 350 Series Managed Switches
– Cisco 350X Series Stackable Managed Switches
– Cisco 550X Series Stackable Managed Switches
– Cisco Small Business 200 Series Smart Switches
– Cisco Small Business 300 Series Managed Switches
– Cisco Small Business 500 Series Stackable Managed Switches
– Cisco DNA Center software 1.3.1.4 より前の 1.3 系バージョン
– Cisco StarOS が稼働しており、Vector Packet Processing (VPP) 機能が有効になっている次の製品

– Cisco ASR 5000 Series Aggregation Services Routers
– Cisco Virtualized Packet Core-Single Instance (VPC-SI)

– Cisco AnyConnect Secure Mobility Client for Windows 4.9.00086 より前のバージョン
– Cisco Cloud Services Router 1000V Series
– Cisco Integrated Services Virtual Router (ISRv)
– Cisco Identity Services Engine (ISE)
– Cisco Enterprise NFV Infrastructure Software (NFVIS)

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が提供する情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco Small Business Smart and Managed Switches Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbss-ipv6-dos-3bLk6vA

Cisco Security Advisory

Cisco DNA Center Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dna-info-disc-3bz8BCgR

Cisco Security Advisory

Cisco StarOS IPv6 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asr-dos-zJLJFgBf

Cisco Security Advisory

Cisco AnyConnect Secure Mobility Client for Windows DLL Hijacking Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-F26WwJW

Cisco Security Advisory

GRUB2 Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-grub2-code-exec-xLePCAPY

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-13」
https://www.jpcert.or.jp/wr/2020/wr203101.html

 

2020年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起

 JPCERT/CCからの「2020年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0033
JPCERT/CC
2020-08-12
<<< JPCERT/CC Alert 2020-08-12 >>>
2020年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200033.html

I.概要

マイクロソフトから 2020年8月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの可能性があります。

脆弱性の詳細は、次の URL を参照してください。

2020 年 8 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Aug

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]

※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」のものを挙げています。

CVE-2020-1046

.NET Framework のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1046

– KB4569745, KB4569751, KB4570500, KB4570501, KB4570502, KB4570503
KB4570505, KB4570506, KB4570507, KB4570508, KB4570509, KB4571692
KB4571694, KB4571709, KB4571741
CVE-2020-1339

Windows Media のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1339

– KB4565349, KB4565351, KB4566782, KB4571692, KB4571694, KB4571702
KB4571703, KB4571709, KB4571719, KB4571723, KB4571729, KB4571730
KB4571736, KB4571741, KB4571746
CVE-2020-1379

メディア ファンデーションのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1379

– KB4565349, KB4565351, KB4566782, KB4571692, KB4571694, KB4571702
KB4571703, KB4571709, KB4571719, KB4571723, KB4571729, KB4571730
KB4571736, KB4571741, KB4571746
CVE-2020-1380

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1380

– KB4565349, KB4565351, KB4566782, KB4571687, KB4571692, KB4571694
KB4571703, KB4571709, KB4571729, KB4571741
CVE-2020-1472

NetLogon の特権の昇格の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1472

– KB4565349, KB4565351, KB4566782, KB4571694, KB4571702, KB4571703
KB4571719, KB4571723, KB4571729, KB4571736
CVE-2020-1477

メディア ファンデーションのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1477

– KB4565349, KB4565351, KB4566782, KB4571692, KB4571694, KB4571702
KB4571703, KB4571709, KB4571719, KB4571723, KB4571729, KB4571730
KB4571736, KB4571741, KB4571746
CVE-2020-1483

Microsoft Outlook のメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1483
– KB4484475, KB4484486, KB4484497

CVE-2020-1492

メディア ファンデーションのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1492

– KB4565349, KB4565351, KB4566782, KB4571692, KB4571694, KB4571703
KB4571709, KB4571723, KB4571741
CVE-2020-1525

メディア ファンデーションのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1525

– KB4565349, KB4565351, KB4566782, KB4571692, KB4571694, KB4571709
KB4571741
CVE-2020-1554

メディア ファンデーションのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1554

– KB4565349, KB4565351, KB4566782, KB4571692, KB4571694, KB4571702
KB4571703, KB4571709, KB4571719, KB4571723, KB4571729, KB4571730
KB4571736, KB4571741, KB4571746
CVE-2020-1555

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1555
– KB4565349, KB4565351, KB4566782, KB4571709, KB4571741

CVE-2020-1560

Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1560
※ 本脆弱性は、KB番号が採番されていないため、記載はありません

CVE-2020-1567

MSHTML エンジンのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1567

– KB4565349, KB4565351, KB4566782, KB4571687, KB4571692, KB4571694
KB4571703, KB4571709, KB4571729, KB4571741
CVE-2020-1568

Microsoft Edge PDF のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1568

– KB4565349, KB4565351, KB4566782, KB4571692, KB4571694, KB4571709
KB4571741
CVE-2020-1570

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1570

– KB4565349, KB4565351, KB4566782, KB4571687, KB4571692, KB4571694
KB4571703, KB4571709, KB4571729, KB4571741
CVE-2020-1574

Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1574
※ 本脆弱性は、KB番号が採番されていないため、記載はありません

CVE-2020-1585

Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1585
※ 本脆弱性は、KB番号が採番されていないため、記載はありません

なお、マイクロソフトによると、CVE-2020-1380 (緊急) および CVE-2020-1464(重要) の脆弱性の悪用を確認しているとのことです。セキュリティ更新プログラムの早期の適用をご検討ください。

II.対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

Microsoft Update カタログ

https://www.catalog.update.microsoft.com/

Windows Update:よくあるご質問

https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

III.参考情報

マイクロソフト株式会社
2020 年 8 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Aug

マイクロソフト株式会社

2020 年 8 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2020/08/11/202008-security-updates/

 

今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
MAIL:
https://www.jpcert.or.jp/

Adobe Acrobat および Reader の脆弱性 (APSB20-48) に関する注意喚起

 JPCERT/CCからの「Adobe Acrobat および Reader の脆弱性 (APSB20-48) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0032
JPCERT/CC
2020-08-12
<<< JPCERT/CC Alert 2020-08-12 >>>
Adobe Acrobat および Reader の脆弱性 (APSB20-48) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200032.html

I.概要

アドビから PDF ファイル作成・変換ソフトウェア Adobe Acrobat および PDFファイル閲覧ソフトウェア Adobe Acrobat Reader に関する脆弱性 (APSB20-48)が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、実行ユーザの権限で任意のコードが実行されたり、セキュリティ機能をバイパスされるなどの可能性があります。脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ

Security Updates Available for Adobe Acrobat and Reader | APSB20-48
https://helpx.adobe.com/security/products/acrobat/apsb20-48.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Acrobat DC Continuous (2020.009.20074) およびそれ以前 (Windows, macOS)

– Adobe Acrobat Reader DC Continuous (2020.009.20074) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2020 Classic 2020 (2020.001.30002) (Windows, macOS)
– Adobe Acrobat Reader 2020 Classic 2020 (2020.001.30002) (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30171) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30171) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2015 Classic 2015 (2015.006.30523) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30523) およびそれ以前 (Windows, macOS)

III.対策

Adobe Acrobat および Reader を次の最新のバージョンに更新してください。

– Adobe Acrobat DC Continuous (2020.012.20041) (Windows, macOS)

– Adobe Acrobat Reader DC Continuous (2020.012.20041) (Windows, macOS)
– Adobe Acrobat 2020 Classic 2020 (2020.001.30005) (Windows, macOS)
– Adobe Acrobat Reader 2020 Classic 2020 (2020.001.30005) (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30175) (Windows, macOS)
– Adobe Acrobat Reader 2017 Classic (2017.011.30175) (Windows, macOS)
– Adobe Acrobat 2015 Classic 2015 (2015.006.30527) (Windows, macOS)
– Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30527) (Windows, macOS)

更新は、Adobe Acrobat および Reader の起動後、メニューより “ヘルプ (H)”の次に “アップデートの有無をチェック (U)” をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下の URL から 最新の Adobe Acrobat および Reader をダウンロードしてください。詳細は、アドビの情報をご確認ください。
アドビシステムズ

New downloads
https://supportdownloads.adobe.com/new.jsp

IV. 参考情報

アドビシステムズ
Security Update available for Adobe Acrobat and Reader | APSB20-48
https://helpx.adobe.com/security/products/acrobat/apsb20-48.html

アドビシステムズ

Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1908

アドビシステムズ

New downloads
https://supportdownloads.adobe.com/new.jsp

 

今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
https://www.jpcert.or.jp/

複数の PHP工房製品に脆弱性

最終更新日: 2020/08/05

情報源

Japan Vulnerability Notes JVN#73169744
複数の PHP工房製品における複数の脆弱性
https://jvn.jp/jp/JVN73169744/

概要

PHP工房が提供する複数の製品には、複数の脆弱性があります。結果として、特定の条件下において、遠隔の第三者が管理者権限で当該製品にログインするなどの可能性があります。

対象となる製品は次のとおりです。

– 【Calendar01】(3デバイス対応)PHP営業日・スケジュールカレンダーフリー(無料)版
– 【Calendar02】PHP営業日・スケジュールカレンダー(テキスト入力付) フリー・無料版
– 【PKOBO-News01】PHP新着情報・お知らせ・ニュースCMSプログラム フリー(無料)版
– 【PKOBO-vote01】PHP投票・アンケートシステム(連続投票防止付き)CMS フリー(無料)版
– 【Telop01】PHPテロップ・ニュースティッカー・ヘッドラインCMS フリー(無料)版
– 【Gallery01】PC、スマホ、ガラケー3デバイス対応写真ギャラリーCMS フリー(無料)版
– 【CalendarForm01】(受付上限設定付き)予約・応募フォーム連動 営業日カレンダー フリー(無料)版
– 【Link01】PHPリンク集ページCMS フリー(無料)版

この問題は、該当するバージョンを開発者が提供する修正済みのバージョンに更新することや対象ファイルにコードを追加することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書(日本語)

PHP工房
【Calendar01】(3デバイス対応)PHP営業日・スケジュールカレンダーフリー(無料)版
https://www.php-factory.net/calendar/01.php

PHP工房

【Calendar02】PHP営業日・スケジュールカレンダー(テキスト入力付) フリー・無料版
https://www.php-factory.net/calendar/02.php

PHP工房

【PKOBO-News01】PHP新着情報・お知らせ・ニュースCMSプログラム フリー(無料)版
https://www.php-factory.net/news/pkobo-news01.php

PHP工房

【PKOBO-vote01】PHP投票・アンケートシステム(連続投票防止付き)CMS フリー(無料)版
https://www.php-factory.net/vote/01.php

PHP工房

【Telop01】PHPテロップ・ニュースティッカー・ヘッドラインCMS フリー(無料)版
https://www.php-factory.net/telop/01.php

PHP工房

【Gallery01】PC、スマホ、ガラケー3デバイス対応写真ギャラリーCMS フリー(無料)版
https://www.php-factory.net/gallery/01.php

PHP工房

【CalendarForm01】(受付上限設定付き)予約・応募フォーム連動 営業日カレンダー フリー(無料)版
https://www.php-factory.net/calendar_form/01.php

PHP工房

【Link01】PHPリンク集ページCMS フリー(無料)版
https://www.php-factory.net/link/01.php

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-05」
https://www.jpcert.or.jp/wr/2020/wr203001.html

 

Fanuc i Series CNC にサービス運用妨害 (DoS) の脆弱性

最終更新日: 2020/08/05

情報源

Japan Vulnerability Notes JVN#84959128
Fanuc i Series CNC におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN84959128/

概要

ファナック株式会社が提供する Fanuc i Series CNC には、サービス運用妨害(DoS) の脆弱性があります。結果として、遠隔の第三者によってサービス運用妨害 (DoS) 攻撃を受け、他の機器へのアクセスが阻害される可能性があります。
影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、開発者が提供する情報を参照してください。
この問題は、該当するバージョンを開発者が提供する修正済みのバージョンに更新することやパッチ適用することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書(日本語)

ファナック株式会社
ファナック会員サイト
https://store.member.fanuc.co.jp/fanuc/store

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-08-05」
https://www.jpcert.or.jp/wr/2020/wr203001.html