情報源

US-CERT Current Activity
Cisco Releases Security Updates for IOS XE SD-WAN Solution Software
https://www.us-cert.gov/ncas/current-activity/2020/04/30/cisco-releases-security-updates-ios-xe-sd-wan-solution-software

US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/05/07/cisco-releases-security-updates-multiple-products

概要

複数の Cisco 製品には、脆弱性があります。結果として、第三者が任意のコ
マンドを実行するなどの可能性があります。

影響度 High の脆弱性情報の対象となる製品は次のとおりです。

– Cisco IOS XE SD-WAN
– Cisco ASA Software
– Cisco FTD Software

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す
る情報を参照してください。

関連文書（英語）

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Malformed OSPF Packets Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-ospf-dos-RhMQY8qx

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-path-JE3azWw43

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software SSL/TLS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ssl-vpn-dos-qY7BHpjN

Cisco Security Advisory
Cisco Adaptive Security Appliance Software Kerberos Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-asa-kerberos-bypass-96Gghe2sS

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Media Gateway Control Protocol Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-mgcp-SUqB8VKH

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software IPv6 DNS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ipv6-67pA658k

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-info-disclose-9eJtycMB

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software OSPF Packets Processing Memory Leak Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-ospf-memleak-DHpsgfnv

Cisco Security Advisory
Cisco Firepower 1000 Series SSL/TLS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-tls-dos-4v5nmWtZ

Cisco Security Advisory
Cisco Firepower Threat Defense Software VPN System Logging Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-Rdpe34sd8

Cisco Security Advisory
Cisco Firepower Threat Defense Software Packet Flood Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-N2vQZASR

Cisco Security Advisory
Cisco Firepower Threat Defense Software Generic Routing Encapsulation Tunnel IPv6 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-2-sS2h7aWe

Cisco Security Advisory
Cisco IOS XE SD-WAN Software Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-xesdwcinj-AcQ5MxCn

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-05-13」
https://www.jpcert.or.jp/wr/2020/wr201801.html

情報源

US-CERT Current Activity
VMware Releases Security Updates for ESXi
https://www.us-cert.gov/ncas/current-activity/2020/04/29/vmware-releases-security-updates-esxi

概要

VMware ESXi には、クロスサイトスクリプティングの脆弱性があります。結果
として、ゲスト OS のユーザがホストクライアントのユーザのブラウザ上で細
工したスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

– VMware ESXi 6.7
– VMware ESXi 6.5

この問題は、VMware ESXi に VMware が提供するパッチを適用することで解決
します。詳細は、VMware が提供する情報を参照してください。

関連文書（英語）

VMware Security Advisories
VMSA-2020-0008
https://www.vmware.com/security/advisories/VMSA-2020-0008.html

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-05-13」
https://www.jpcert.or.jp/wr/2020/wr201801.html

情報源

US-CERT Current Activity
Juniper Releases Security Updates for Junos OS
https://www.us-cert.gov/ncas/current-activity/2020/04/28/juniper-releases-security-updates-junos-os

概要

Junos OS には、脆弱性があります。結果として、遠隔の第三者が、設定情報
を窃取したり、任意のコマンドを実行したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

– Junos OS 20.1
– Junos OS 19.4
– Junos OS 19.3
– Junos OS 19.2
– Junos OS 19.1
– Junos OS 18.4
– Junos OS 18.3
– Junos OS 18.2
– Junos OS 18.1
– Junos OS 17.4
– Junos OS 17.3
– Junos OS 17.2
– Junos OS 15.1X49
– Junos OS 15.1
– Junos OS 14.1X53
– Junos OS 12.3X48
– Junos OS 12.3

※この問題は、HTTP/HTTPS サービスが有効になっている Junos OS のみ影響
を受けます。

この問題は、Junos OS を Juniper が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Juniper が提供する情報を参照してください。

関連文書（英語）

Juniper Networks
2020-04 Out of Cycle Security Advisory: Junos OS: Security vulnerability in J-Web and web based (HTTP/HTTPS) services (CVE-2020-1631)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11021

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-05-13」
https://www.jpcert.or.jp/wr/2020/wr201801.html

情報源

US-CERT Current Activity
SaltStack Patches Critical Vulnerabilities in Salt
https://www.us-cert.gov/ncas/current-activity/2020/05/01/saltstack-patches-critical-vulnerabilities-salt

概要

SaltStack Salt には、複数の脆弱性があります。 結果として、遠隔の第三者
が任意のコマンドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

– Salt 2019.2.4 より前のバージョン
– Salt 3000.2 より前の 3000 系バージョン

なお、既にサポートが終了している SaltStack Salt 2015.8 系、2016.3 系、
2016.11 系、2017.7 系、2018.3 系のバージョンも影響を受けるとのことです。

この問題は、Salt を SaltStack が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SaltStack が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC
SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200020.html

関連文書（英語）

SaltStack
Salt 2019.2.4 Release Notes
https://docs.saltstack.com/en/latest/topics/releases/2019.2.4.html

SaltStack
Salt 3000.2 Release Notes
https://docs.saltstack.com/en/latest/topics/releases/3000.2.html

SaltStack
Critical Vulnerabilities Update: CVE-2020-11651 and CVE-2020-11652
https://community.saltstack.com/blog/critical-vulnerabilities-update-cve-2020-11651-and-cve-2020-11652/

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-05-13」
https://www.jpcert.or.jp/wr/2020/wr201801.html

情報源

Japan Vulnerability Notes JVN#93064451
複数のシャープ製 Android 端末における情報漏えいの脆弱性
https://jvn.jp/jp/JVN93064451/

概要

– AQUOS SH-M02 ビルド番号 01.00.05 およびそれ以前
– AQUOS SH-RM02 ビルド番号 01.00.04 およびそれ以前
– AQUOS mini SH-M03 ビルド番号 01.00.04 およびそれ以前
– AQUOS ケータイ SH-N01 ビルド番号 01.00.01 およびそれ以前
– AQUOS L2 (UQ mobile/J:COM) ビルド番号 01.00.05 およびそれ以前
– AQUOS sense lite SH-M05 ビルド番号 03.00.04 およびそれ以前
– AQUOS sense (UQ mobile) ビルド番号 03.00.03 およびそれ以前
– AQUOS compact SH-M06 ビルド番号 02.00.02 およびそれ以前
– AQUOS sense plus SH-M07 ビルド番号 02.00.02 およびそれ以前
– AQUOS sense2 SH-M08 ビルド番号 02.00.05 およびそれ以前
– AQUOS sense2 (UQ mobile) ビルド番号 02.00.06 およびそれ以前

関連文書 (日本語)

シャープ株式会社
弊社が製造した一部のスマートフォン・携帯電話をご利用のお客様へ
https://k-tai.sharp.co.jp/support/info/info036.html

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-04-30」
https://www.jpcert.or.jp/wr/2020/wr201701.html

情報源

Japan Vulnerability Notes JVN#13467854
東芝デバイス＆ストレージ株式会社製品によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
https://jvn.jp/jp/JVN13467854/

概要

– 次の製品に搭載および 2020年3月10日以前にダウンロードされた Windows 用パスワードツールのバージョン 1.20.6620 およびそれ以前

– CANVIO PREMIUM 2TB

– CANVIO PREMIUM 1TB

– CANVIO SLIM 1TB

– CANVIO SLIM 500GB

関連文書 (日本語)

株式会社東芝
TDSCSA00699-01：CANVIO シリーズのWindows 用パスワードツールによって登録されるWindows サービスの実行ファイルパスが引用符で囲まれていない脆弱性について
https://www.canvio.jp/news/20200420.htm

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-04-30」
https://www.jpcert.or.jp/wr/2020/wr201701.html

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/04/22/google-releases-security-updates-chrome

概要

– Google Chrome 81.0.4044.122 より前のバージョン

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_21.html

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-04-30」
https://www.jpcert.or.jp/wr/2020/wr201701.html

情報源

US-CERT Current Activity
Microsoft Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/04/22/microsoft-releases-security-updates-multiple-products

概要

– Microsoft Office 2019 for 32-bit editions
– Microsoft Office 2019 for 64-bit editions
– Office 365 ProPlus for 32-bit Systems
– Office 365 ProPlus for 64-bit Systems
– Paint 3D
– 3D Viewer

関連文書 (日本語)

マイクロソフト株式会社
ADV200004 | Autodesk FBX ライブラリを利用する Microsoft ソフトウェアの更新プログラムのリリース
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200004

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-04-30」
https://www.jpcert.or.jp/wr/2020/wr201701.html

情報源

US-CERT Current Activity
OpenSSL Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2020/04/22/openssl-releases-security-update

概要

– OpenSSL 1.1.1d
– OpenSSL 1.1.1e
– OpenSSL 1.1.1f

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#97087254
OpenSSL における NULL ポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU97087254/

OpenSSL の脆弱性 (CVE-2020-1967) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200018.html

関連文書（英語）

OpenSSL Security Advisory [21 April 2020]
https://www.openssl.org/news/secadv/20200421.txt

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-04-30」
https://www.jpcert.or.jp/wr/2020/wr201701.html