カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

富士ゼロックス製の複数のスマートフォンアプリに SSL サーバ証明書の検証不備の脆弱性

最終更新日: 2020/01/29

情報源

Japan Vulnerability Notes JVN#66435380
富士ゼロックス製の複数のスマートフォンアプリにおける SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN66435380/

概要

富士ゼロックス製の複数のスマートフォンアプリには、SSL サーバ証明書の検証不備の脆弱性があります。結果として、遠隔の第三者が中間者攻撃によって暗号通信の盗聴を行うなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– iOS アプリ「netprint」 3.2.3 およびそれ以前のバージョン
– iOS アプリ「かんたんnetprint」 2.0.2 およびそれ以前のバージョン
– Android アプリ「かんたんnetprint」 2.0.3 およびそれ以前のバージョン

この問題は、該当する製品を富士ゼロックス株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、富士ゼロックス株式会社が提供する情報を参照してください。

関連文書(日本語)

富士ゼロックス株式会社

ネットプリントサービスのスマートフォンアプリの不具合(脆弱性)について
https://www.printing.ne.jp/support/information/AppVulnerability.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-29」
https://www.jpcert.or.jp/wr/2020/wr200401.html

 

PHP に複数の脆弱性

最終更新日: 2020/01/29

情報源

The PHP Group
PHP 7.4.2 Released
https://www.php.net/archive/2020.php#2020-01-23-1

The PHP Group

PHP 7.3.14 Released
https://www.php.net/archive/2020.php#2020-01-23-3

The PHP Group

PHP 7.2.27 Released
https://www.php.net/archive/2020.php#2020-01-23-2

概要

PHP には、複数の脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。

– PHP 7.4.2 より前のバージョン
– PHP 7.3.14 より前のバージョン
– PHP 7.2.27 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者や配布元が提供する情報を参照してください。

関連文書(英語)

The PHP Group

PHP 7 ChangeLog Version 7.4.2
https://www.php.net/ChangeLog-7.php#7.4.2

The PHP Group

PHP 7 ChangeLog Version 7.3.14
https://www.php.net/ChangeLog-7.php#7.3.14

The PHP Group

PHP 7 ChangeLog Version 7.2.27
https://www.php.net/ChangeLog-7.php#7.2.27

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-29」
https://www.jpcert.or.jp/wr/2020/wr200401.html

 

Samba に複数の脆弱性

最終更新日: 2020/01/29

情報源

US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/21/samba-releases-security-updates

概要

Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。

– Samba 4.11.5 より前の 4.11 系バージョン
– Samba 4.10.12 より前の 4.10 系バージョン
– Samba 4.9.18 より前の 4.9 系バージョン

なお、既にサポートが終了している Samba 4.9 系より前のバージョンも影響を受けるとのことです。
この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更新することで解決します。詳細は、The Samba Team が提供する情報を参照してください。

関連文書(英語)

The Samba Team

Samba Security Releases
https://www.samba.org/samba/history/security.html

The Samba Team

Replication of ACLs set to inherit down a subtree on AD Directory not automatic
https://www.samba.org/samba/security/CVE-2019-14902.html

The Samba Team

Crash after failed character conversion at log level 3 or above
https://www.samba.org/samba/security/CVE-2019-14907.html

The Samba Team

Use after free during DNS zone scavenging in Samba AD DC
https://www.samba.org/samba/security/CVE-2019-19344.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-29」
https://www.jpcert.or.jp/wr/2020/wr200401.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2020/01/29

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/23/cisco-releases-security-updates

US-CERT Current Activity

Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/24/cisco-releases-security-updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりです。

– Cisco Firepower Management Center Software
– Cisco TelePresence Collaboration Endpoint Software
– Cisco TelePresence Codec Software
– Cisco RoomOS Software
– Cisco IOS XE SD-WAN Software
– Cisco SD-WAN Solution vManage Software
– Cisco Smart Software Manager On-Prem
– Cisco IOS XR Software
– Cisco Webex Meetings Suite sites
– Cisco Webex Meetings Online sites

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が提供する情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco Firepower Management Center Lightweight Directory Access Protocol Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-fmc-auth

Cisco Security Advisory

Cisco TelePresence Collaboration Endpoint, TelePresence Codec, and RoomOS Software Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-telepresence-path-tr-wdrnYEZZ

Cisco Security Advisory

Cisco IOS XE SD-WAN Software Default Credentials Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sd-wan-cred-EVGSF259

Cisco Security Advisory

Cisco SD-WAN Solution Local Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-sdwan-priv-esc

Cisco Security Advisory

Cisco Smart Software Manager On-Prem Web Interface Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-on-prem-dos

Cisco Security Advisory

Cisco IOS XR Software BGP EVPN Operational Routes Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-ios-xr-routes

Cisco Security Advisory

Cisco IOS XR Software BGP EVPN Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-ios-xr-evpn

Cisco Security Advisory

Cisco IOS XR Software Intermediate System-to-Intermediate System Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-ios-xr-dos

Cisco Security Advisory

Cisco Webex Meetings Suite and Cisco Webex Meetings Online Unauthenticated Meeting Join Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200124-webex-unauthjoin

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-29」
https://www.jpcert.or.jp/wr/2020/wr200401.html

 

Firefox の脆弱性 (CVE-2019-17026) に関する注意喚起

 JPCERT/CCからの「Firefox の脆弱性 (CVE-2019-17026) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0005
JPCERT/CC
2020-01-27
<<< JPCERT/CC Alert 2020-01-27 >>>
Firefox の脆弱性 (CVE-2019-17026) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200005.html

I.概要

2020年1月8日 (米国時間)、Mozilla は Firefox および Firefox ESR における脆弱性 (CVE-2019-17026) に関する情報を公開しました。JPCERT/CC では、国内に対する本脆弱性を悪用したとみられる攻撃を確認しています。対象となる製品を使用している場合は、本脆弱性への対策を速やかに実施することを推奨します。

本脆弱性は JIT コンパイラである IonMonkey における型の混同の脆弱性であり、脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行される恐れがあります。Mozilla によると、本脆弱性を悪用した攻撃をすでに確認しているとのことです。脆弱性の詳細については、Mozilla の情報を確認してください。
Mozilla

Security Vulnerabilities fixed in Firefox 72.0.1 and Firefox ESR 68.4.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/

II.対策

脆弱性の影響を受けるバージョンは次のとおりです。

– Firefox 72.0.1 より前のバージョン

– Firefox ESR 68.4.1 より前のバージョン

III.対策

Mozilla より、本脆弱性を修正したバージョンの Firefox が公開されています。十分なテストを実施の上、修正済みバージョンまたは最新バージョンを適用することをお勧めします。

– Firefox 72.0.1

– Firefox ESR 68.4.1

IV. 参考情報

Mozilla
Security Vulnerabilities fixed in Firefox 72.0.1 and Firefox ESR 68.4.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター 早期警戒グループ
TEL:03-6811-0610 MAIL:
https://www.jpcert.or.jp/

トレンドマイクロ製パスワードマネージャーに情報漏えいの脆弱性

最終更新日: 2020/01/22

情報源

Japan Vulnerability Notes JVN#37183636
トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN37183636/

Japan Vulnerability Notes JVN#49593434

トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN49593434/

概要

トレンドマイクロ製パスワードマネージャーには、情報漏えいの脆弱性があります。結果として、第三者が秘密鍵や機微な情報を取得する可能性があります。

対象となる製品およびバージョンは次のとおりです。
– パスワードマネージャー Windows 版 5.0.0.1076 およびそれ以前のバージョン
– パスワードマネージャー Windows 版 3.8.0.1103 およびそれ以前のバージョン
– パスワードマネージャー Mac 版 5.0.1047 およびそれ以前のバージョン
– パスワードマネージャー Mac 版 3.8.0.1052 およびそれ以前のバージョン
この問題は、トレンドマイクロ製パスワードマネージャーをトレンドマイクロ株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書(日本語)

トレンドマイクロ株式会社

アラート/アドバイザリ:パスワードマネージャーのセキュリティ情報(CVE-2019-19696)
https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1124091.aspx

トレンドマイクロ株式会社

アラート/アドバイザリ:パスワードマネージャーのセキュリティ情報(CVE-2019-15625)
https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1123614.aspx

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-22」
https://www.jpcert.or.jp/wr/2020/wr200301.html

 

VMware Tools に権限昇格の脆弱性

最終更新日: 2020/01/22

情報源

US-CERT Current Activity
VMware Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2020/01/14/vmware-releases-security-update

概要

VMware Tools には、権限昇格の脆弱性があります。結果として、ゲスト OSのユーザが権限を昇格する可能性があります。

対象となる製品およびバージョンは次のとおりです。
– VMware Tools 10 系のバージョン (Windows)
この問題は、VMware Tools を VMware が提供する脆弱性の影響を受けないバージョンに更新することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書(英語)

VMware Security Advisories

VMSA-2020-0002
https://www.vmware.com/security/advisories/VMSA-2020-0002.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-22」
https://www.jpcert.or.jp/wr/2020/wr200301.html

 

Google Chrome に複数の脆弱性

最終更新日: 2020/01/22

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/01/17/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 79.0.3945.130 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

関連文書(英語)

Google

Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/01/stable-channel-update-for-desktop_16.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-22」
https://www.jpcert.or.jp/wr/2020/wr200301.html

 

複数の Intel 製品に脆弱性

最終更新日: 2020/01/22

情報源

US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/14/intel-releases-security-updates

Japan Vulnerability Notes JVNVU#98694410

Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98694410/

概要

複数のIntel 製品には、脆弱性があります。結果として、第三者が、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intelが提供するアドバイザリ情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020011502.html

関連文書 (英語)

Intel

INTEL-SA-00300: Intel SNMP Subagent Stand-Alone Advisory for Windows
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00300.html

Intel

INTEL-SA-00306: Intel Chipset Device Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00306.html

Intel

INTEL-SA-00308: Intel RWC 3 for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00308.html

Intel

INTEL-SA-00314: Intel Processor Graphics Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00314.html

Intel

INTEL-SA-00325: Intel VTune Amplifier for Windows Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00325.html

Intel

INTEL-SA-00332: Intel DAAL Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00332.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-22」
https://www.jpcert.or.jp/wr/2020/wr200301.html

 

2020年 1月 Oracle Critical Patch Update について

最終更新日: 2020/01/22

情報源

US-CERT Current Activity
Oracle Releases January 2020 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2020/01/14/oracle-releases-january-2020-security-bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
2020年1月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200002.html

関連文書 (英語)

Oracle

Oracle Critical Patch Update Advisory – January 2020
https://www.oracle.com/security-alerts/cpujan2020.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-22」
https://www.jpcert.or.jp/wr/2020/wr200301.html