カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Citrix Workspace App for Windows に不適切なアクセス制御の脆弱性

最終更新日: 2020/07/29

情報源

US-CERT Current Activity
Citrix Releases Security Updates for Workspace App for Windows
https://us-cert.cisa.gov/ncas/current-activity/2020/07/23/citrix-releases-security-updates-workspace-app-windows

概要

Citrix Workspace App for Windows には、不適切なアクセス制御の脆弱性があります。結果として、ユーザ権限でログインした第三者が、管理者権限を取得するなどの可能性があります。
対象となるバージョンは次のとおりです。

– Citrix Workspace app for Windows 1912 LTSR
– Citrix Workspace app for Windows 2002

この問題は、該当する製品を Citrix が提供する修正済みのバージョンに更新することで解決します。詳細は、Citrix が提供する情報を参照してください。

関連文書 (英語)

Citrix
Citrix Workspace app for Windows Security Update
https://support.citrix.com/article/CTX277662

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-07-29」
https://www.jpcert.or.jp/wr/2020/wr202901.html

 

WordPress 用プラグイン Social Sharing Plugin におけるクロスサイトリクエストフォージェリの脆弱性

最終更新日: 2020/07/29

情報源

Japan Vulnerability Notes JVN#05502028
WordPress 用プラグイン Social Sharing Plugin におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN05502028/

概要

WordPress 用プラグイン Social Sharing Plugin には、クロスサイトリクエストフォージェリの脆弱性があります。結果として、本製品にログインした状態の管理者権限を持つユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。
対象となるバージョンは次のとおりです。

– Social Sharing Plugin 1.2.10 より前のバージョン

この問題は、Social Sharing Plugin を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してださい。

関連文書 (英語)

WordPress
Social Rocket – Social Sharing Plugin
https://wordpress.org/plugins/social-rocket/

Social Rocket

Products
https://wpsocialrocket.com/products/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-07-29」
https://www.jpcert.or.jp/wr/2020/wr202901.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2020/07/29

情報源

US-CERT Current Activity
Cisco Releases Security Updates for ASA and FTD Software
https://us-cert.cisa.gov/ncas/current-activity/2020/07/23/cisco-releases-security-updates-asa-and-ftd-software

概要

複数の Cisco 製品には、パストラバーサルの脆弱性があります。結果として、遠隔の第三者が機微な情報を読み取る可能性があります。
対象となる製品は次のとおりです。

– Adaptive Security Appliance (ASA) Software
– Firepower Threat Defense (FTD) Software Web Service

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Read-Only Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-07-29」
https://www.jpcert.or.jp/wr/2020/wr202901.html

 

複数の Adobe 製品に脆弱性

最終更新日: 2020/07/29

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/07/22/adobe-releases-security-updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。

– Adobe Bridge
– Adobe Photoshop
– Adobe Prelude
– Adobe Reader Mobile

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2020072201.html

Adobe

Adobe Bridge に関するセキュリティアップデート公開 | APSB20-44
https://helpx.adobe.com/jp/security/products/bridge/apsb20-44.html

Adobe

Adobe Photoshop に関するセキュリティアップデート公開 | APSB20-45
https://helpx.adobe.com/jp/security/products/photoshop/apsb20-45.html

Adobe

Adobe Prelude に関するセキュリティアップデート公開 | APSB20-46
https://helpx.adobe.com/jp/security/products/prelude/apsb20-46.html

Adobe

Adobe Reader Mobile に関するセキュリティアップデート公開 | APSB20-50
https://helpx.adobe.com/jp/security/products/reader-mobile/apsb20-50.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-07-29」
https://www.jpcert.or.jp/wr/2020/wr202901.html

 

Mozilla Thunderbird に複数の脆弱性

最終更新日: 2020/07/22

情報源

US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/07/17/mozilla-releases-security-update-thunderbird

概要

Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第三者が、情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となるバージョンは次のとおりです。

– Mozilla Thunderbird 78 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (英語)

Mozilla
Security Vulnerabilities fixed in Thunderbird 78
https://www.mozilla.org/en-US/security/advisories/mfsa2020-29/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-07-22」
https://www.jpcert.or.jp/wr/2020/wr202801.html

 

Apache Tomcat に複数の脆弱性

最終更新日: 2020/07/22

情報源

US-CERT Current Activity
Apache Releases Security Advisories for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/apache-releases-security-advisories-apache-tomcat

Japan Vulnerability Notes JVNVU#96390265

Apache Tomcat における複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU96390265/

概要

The Apache Software Foundation が提供する Apache Tomcat には複数の脆弱性があります。結果として、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは次のとおりです。

– Apache Tomcat 10.0.0-M1 から 10.0.0-M6 まで
– Apache Tomcat 9.0.0.M1 から 9.0.36 まで
– Apache Tomcat 8.5.0 から 8.5.56 まで
– Apache Tomcat 7.0.27 から 7.0.104 まで

この問題は、Apache Tomcat を The Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。

関連文書 (英語)

The Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M7
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M7

The Apache Software Foundation

Fixed in Apache Tomcat 9.0.37
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37

The Apache Software Foundation

Fixed in Apache Tomcat 8.5.57
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.57

The Apache Software Foundation

Fixed in Apache Tomcat 7.0.105
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.105

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-07-22」
https://www.jpcert.or.jp/wr/2020/wr202801.html

 

複数の Apple 製品に脆弱性

最終更新日: 2020/07/22

情報源

US-CERT Current Activity
Apple Releases Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/07/16/apple-releases-security-updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– iOS 13.6 より前のバージョン
– iPadOS 13.6 より前のバージョン
– macOS Catalina 10.15.6 より前のバージョン
– macOS Mojave (Security Update 2020-004 未適用)
– macOS High Sierra (Security Update 2020-004 未適用)
– tvOS 13.4.8 より前のバージョン
– watchOS 6.2.8 より前のバージョン
– Safari 13.1.2 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#94090210
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94090210/

Apple

iOS 13.6 および iPadOS 13.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211288

Apple

macOS Catalina 10.15.6、セキュリティアップデート 2020-004 Mojave、セキュリティアップデート 2020-004 High Sierra のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211289

Apple

tvOS 13.4.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211290

Apple

watchOS 6.2.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211291

Apple

Safari 13.1.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211292

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-07-22」
https://www.jpcert.or.jp/wr/2020/wr202801.html

 

Google Chrome に複数の脆弱性

最終更新日: 2020/07/22

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 84.0.4147.89 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-07-22」
https://www.jpcert.or.jp/wr/2020/wr202801.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2020/07/22

情報源

US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/07/15/cisco-releases-security-updates-multiple-products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
影響度 Critical の脆弱性情報の対象となる製品およびバージョンは次のとおりです。

– Cisco Small Business RV110W Wireless-N VPN Firewall ファームウェア 1.2.2.8 より前のバージョン
– Cisco Small Business RV130 VPN Router ファームウェア 1.0.3.55 より前のバージョン

– Cisco Small Business RV130W Wireless-N Multifunction VPN Router ファームウェア 1.0.3.55 より前のバージョン

– Cisco Small Business RV215W Wireless-N VPN Router ファームウェア 1.3.1.7 より前のバージョン
– Cisco Prime License Manager Software 10.5(2)SU10 より前のバージョン
– Cisco Prime License Manager Software 11.5(1)SU7 より前のバージョン

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、影響度 High および Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が提供する情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Small Business RV110W Wireless-N VPN Firewall Static Default Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv110w-static-cred-BMTWBWTy

Cisco Security Advisory

Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-rce-AQKREqp

Cisco Security Advisory

Cisco RV110W, RV130, RV130W, and RV215W Routers Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-auth-bypass-cGv9EruZ

Cisco Security Advisory

Cisco RV110W and RV215W Series Routers Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-code-exec-wH3BNFb

Cisco Security Advisory

Cisco Prime License Manager Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-prime-priv-esc-HyhwdzBA

Cisco Security Advisory

Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-07-22」
https://www.jpcert.or.jp/wr/2020/wr202801.html

 

2020年 7月 Oracle Critical Patch Update について

最終更新日: 2020/07/22

情報源

US-CERT Current Activity
Oracle Releases July 2020 Security Bulletin
https://us-cert.cisa.gov/ncas/current-activity/2020/07/14/oracle-releases-july-2020-security-bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した OracleCritical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
2020年7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200030.html

関連文書 (英語)

Oracle

Oracle Critical Patch Update Advisory – July 2020
https://www.oracle.com/security-alerts/cpujul2020.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-07-22」
https://www.jpcert.or.jp/wr/2020/wr202801.html