カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

2020年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起

 JPCERT/CCからの「2020年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0001
JPCERT/CC
2020-01-15
<<< JPCERT/CC Alert 2020-01-15 >>>
2020年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200001.html

I.概要

マイクロソフトから 2020年1月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあります。

脆弱性の詳細は、次の URL を参照してください。
2020 年 1 月のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Jan

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]

※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」のものを挙げています。

CVE-2020-0603

ASP.NET Core のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0603
※ 本脆弱性は、KB番号が採番されていないため、記載はありません

CVE-2020-0605

.NET Framework のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0605

– KB4532933, KB4532935, KB4532936, KB4532938, KB4534271, KB4534276,
KB4534293, KB4534306, KB4534976, KB4534977, KB4534978, KB4534979,
KB4535101, KB4535102, KB4535103, KB4535104, KB4535105
CVE-2020-0606

.NET Framework のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0606

– KB4532933, KB4532935, KB4532936, KB4532938, KB4534271, KB4534276
KB4534293, KB4534306, KB4534976, KB4534977, KB4534978, KB4534979
KB4535101, KB4535102, KB4535103, KB4535104, KB4535105
CVE-2020-0609

Windows RDP ゲートウェイ サーバーのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0609
– KB4534271, KB4534273, KB4534283, KB4534288, KB4534297, KB4534309

CVE-2020-0610

Windows RDP ゲートウェイ サーバーのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0610
– KB4534271, KB4534273, KB4534283, KB4534288, KB4534297, KB4534309

CVE-2020-0611

リモート デスクトップ クライアントのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0611

– KB4528760, KB4534271, KB4534273, KB4534276, KB4534283, KB4534288
KB4534293, KB4534297, KB4534306, KB4534309, KB4534310, KB4534314
CVE-2020-0640

Internet Explorer のメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0640

– KB4528760, KB4534251, KB4534271, KB4534273, KB4534276, KB4534293
KB4534297, KB4534306, KB4534310
CVE-2020-0646

.NET Framework のリモートでのコード実行の挿入の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0646

– KB4532933, KB4532935, KB4532936, KB4532938, KB4534271, KB4534276
KB4534293, KB4534306, KB4534976, KB4534977, KB4534978, KB4534979
KB4535101, KB4535102, KB4535103, KB4535104, KB4535105
また、2020年1月14日 (米国時間)、Windows 7 および Windows Server 2008 / 2008 R2 のサポートが終了しました。サポート対象へのバージョンアップが推奨されています。
Windows 7 のサポートを本日で終了致します

https://blogs.windows.com/japan/2020/01/14/0114_windows7eos/

Windows Server 2008 および Windows Server 2008 R2 のサポート終了

https://support.microsoft.com/ja-jp/help/4456235/end-of-support-for-windows-server-2008-and-windows-server-2008-r2

II.対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

Microsoft Update Catalog

https://www.catalog.update.microsoft.com/

Windows Update: FAQ

https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

III.参考情報

マイクロソフト株式会社
2020 年 1 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Jan

マイクロソフト株式会社

2020 年 1 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2020/01/14/202001-security-updates/

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-6811-0610 FAX: 03-6271-8908
https://www.jpcert.or.jp/

警察庁が「DockerAPI を標的とした探索行為の増加等について」を公開

最終更新日: 2020/01/10

警察庁は 2019年12月25日、「DockerAPI を標的とした探索行為の増加等について」と題したレポートを公開しました。2019年11月上旬から、Docker APIを標的とした宛先ポート 2375/TCP 2376/TCP 2377/TCP 4243/TCP に対する探索行為の増加が観測されており、警察庁は同製品の利用者に注意を呼び掛けています。

また、リモートデスクトップの脆弱性 (CVE-2019-0708) を標的としたアクセスの増加や、宛先ポート 26/TCP に対する Mirai ボットの特徴を有するアクセスの増加も観測されており、同じく注意が呼びかけられています。リモートデスクトップ製品や IoT 機器を利用している場合は、警察庁や各ベンダなどが提供する情報を確認し、バージョンアップやアクセス制御などの対策の実施を検討してください

 

参考文献(英語)

警察庁

DockerAPI を標的とした探索行為の増加等について
https://www.npa.go.jp/cyberpolice/important/2019/201912251.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-08」
https://www.jpcert.or.jp/wr/2020/wr200101.html

 

Cisco Data Center Network Manager に認証回避の脆弱性

最終更新日: 2020/01/10

情報源

Cisco Security Advisory
Cisco Data Center Network Manager Authentication Bypass Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-auth-bypass

概要

Cisco Data Center Network Manager には、認証回避の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
– Cisco Data Center Network Manager ソフトウエア 11.3(1) より前のバージョン (Microsoft Windows, Linux, virtual appliance platforms)
※影響度 Critical 以外にも、影響度 High および Medium の脆弱性情報、アドバイザリが公開されています。詳細は、Cisco が提供する情報を参照してください。
この問題は、Cisco Data Center Network Manager を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco Data Center Network Manager SQL Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-sql-inject

Cisco Security Advisory

Cisco Data Center Network Manager Path Traversal Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-path-trav

Cisco Security Advisory

Cisco Data Center Network Manager Command Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject

Cisco Security Advisory

Cisco Data Center Network Manager XML External Entity Read Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-xml-ext-entity

Cisco Security Advisory

Cisco Data Center Network Manager JBoss EAP Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-unauth-access

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-01-08」
https://www.jpcert.or.jp/wr/2020/wr200101.html

 

Android アプリ「日テレニュース24」に SSL サーバ証明書の検証不備の脆弱性

最終更新日: 2019/12/25

情報源

Japan Vulnerability Notes JVN#01236065
Android アプリ「日テレニュース24」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN01236065/

概要

日本テレビ放送網株式会社が提供する Android アプリ「日テレニュース24」には、SSL サーバ証明書の検証不備の脆弱性があります。結果として、遠隔の第三者が、中間者攻撃によって通信内容を窃取したり、改ざんしたりするなどの可能性があります。
対象となるバージョンは次のとおりです。

– Android アプリ「日テレニュース24」 Ver3.0.0 より前のバージョン

この問題は、Android アプリ「日テレニュース24」 を 日本テレビ放送網株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、日本テレビ放送網株式会社が提供する情報を参照してください。

関連文書 (日本語)

日本テレビ放送網株式会社
日テレニュース24 – Google Play の Android アプリ
https://play.google.com/store/apps/details?id=jp.co.ntv.news24&hl=ja

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-25」
https://www.jpcert.or.jp/wr/2019/wr195001.html

 

複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性

最終更新日: 2019/12/25

情報源

Japan Vulnerability Notes JVNVU#95417700
複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU95417700/

概要

複数の Apple 製品で使用している SecureROM には、解放済みメモリ使用の脆弱性があります。結果として、製品に物理的にアクセス可能な第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。

プロセッサチップ A5 から A11 を搭載する製品
– iPhones 4s から iPhone X まで
– iPad 第 2 世代から 第 7 世代まで
– iPad Mini 第 2 世代および 第 3 世代
– iPad Air および iPad Air 2
– iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代
– Apple Watch Series 1 から Series 3 まで
– Apple TV 第 3 世代 および 4k
– iPod Touch 第 5 世代 から 第 7 世代

なお、脆弱性に該当するプロセッサチップを使用している製品であれば、上記以外の製品も影響を受けます。
この問題は、読み取り専用の SecureROM にあるため、対策方法はありません。脆弱性を含まない製品への移行を検討してください。

関連文書 (英語)

CERT/CC Vulnerability Note VU#941987
Apple devices vulnerable to arbitrary code execution in SecureROM
https://www.kb.cert.org/vuls/id/941987/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-25」
https://www.jpcert.or.jp/wr/2019/wr195001.html

 

サイボウズ Office に複数の脆弱性

最終更新日: 2019/12/25

情報源

Japan Vulnerability Notes JVN#79854355
サイボウズ Office における複数の脆弱性
https://jvn.jp/jp/JVN79854355/

概要

サイボウズ Office には、複数の脆弱性があります。結果として、カスタムアプリ機能を使用可能なユーザがサーバ内の任意のファイルを書き換えるなどの可能性があります。
対象となるバージョンは次のとおりです。

– サイボウズ Office 10.0.0 から 10.8.3 までのバージョン

この問題は、サイボウズ Office をサイボウズ株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を参照してください。

関連文書 (日本語)

サイボウズ株式会社
サイボウズ Office 10 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2019/006976.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-25」
https://www.jpcert.or.jp/wr/2019/wr195001.html

 

Apache Tomcat に複数の脆弱性

最終更新日: 2019/12/25

情報源

Japan Vulnerability Notes JVNVU#98104709
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98104709/

概要

Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が中間者攻撃によって通信内容を窃取するなどの可能性があります。
対象となるバージョンは次のとおりです。

– Apache Tomcat 9.0.0.M1 から 9.0.29 までのバージョン
– Apache Tomcat 8.5.0 から 8.5.49 までのバージョン
– Apache Tomcat 7.0.0 から 7.0.98 までのバージョン

この問題は、Apache Tomcat を The Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。

関連文書 (英語)

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.30
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.30

The Apache Software Foundation

Fixed in Apache Tomcat 8.5.50
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.50

The Apache Software Foundation

Fixed in Apache Tomcat 7.0.99
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.99

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-25」
https://www.jpcert.or.jp/wr/2019/wr195001.html

 

Drupal に複数の脆弱性

最終更新日: 2019/12/25

情報源

US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/19/drupal-releases-security-updates

概要

Drupal には、複数の脆弱性があります。 結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃などを行う可能性があります。
対象となるバージョンは次のとおりです。

– Drupal 8.8.1 より前の 8.8 系のバージョン
– Drupal 8.7.11 より前の 8.7 系のバージョン
– Drupal 7.69 より前の 7 系のバージョン

なお、Drupal 8.7 系より前の 8 系のバージョンは、サポートが終了しており、今回のセキュリティに関する情報は提供されていません。
この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新することで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal core – Moderately critical – Denial of Service – SA-CORE-2019-009
https://www.drupal.org/sa-core-2019-009

Drupal

Drupal core – Moderately critical – Multiple vulnerabilities – SA-CORE-2019-010
https://www.drupal.org/sa-core-2019-010

Drupal

Drupal core – Moderately critical – Access bypass – SA-CORE-2019-011
https://www.drupal.org/sa-core-2019-011

Drupal

Drupal core – Critical – Multiple vulnerabilities – SA-CORE-2019-012
https://www.drupal.org/sa-core-2019-012

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-25」
https://www.jpcert.or.jp/wr/2019/wr195001.html

 

Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性

最終更新日: 2019/12/25

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome for Windows, Mac, and Linux
https://www.us-cert.gov/ncas/current-activity/2019/12/18/google-releases-security-updates-chrome-windows-mac-and-linux

概要

Google Chrome には、解放済みメモリの使用に関する脆弱性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 79.0.3945.88 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/12/stable-channel-update-for-desktop_17.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-25」
https://www.jpcert.or.jp/wr/2019/wr195001.html

 

OpenSSL にバッファオーバーフローの脆弱性

最終更新日: 2019/12/18

情報源

Japan Vulnerability Notes JVNVU#90419651
OpenSSL におけるバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU90419651/

概要

OpenSSL には、バッファオーバーフローの脆弱性があります。結果として、第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは次のとおりです。

– OpenSSL 1.1.1
– OpenSSL 1.0.2

なお、OpenSSL 1.1.0 はサポートが終了しており、本件への影響は不明とのことです。そのため開発者は OpenSSL 1.1.1 へのアップグレードを推奨しています。
この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

OpenSSL Project
OpenSSL Security Advisory [6 December 2019]
https://www.openssl.org/news/secadv/20191206.txt

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-18」
https://www.jpcert.or.jp/wr/2019/wr194901.html