カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

スマートフォンアプリ「ラクマ」に認証情報漏えいの脆弱性

最終更新日: 2019/11/13

情報源

Japan Vulnerability Notes JVN#41566067
スマートフォンアプリ「ラクマ」における認証情報漏えいの脆弱性
https://jvn.jp/jp/JVN41566067/

概要

スマートフォンアプリ「ラクマ」には、認証に関する情報が漏えいする脆弱性があります。結果として、第三者が攻撃を目的として作成したアプリをインストールすることによって、当該製品の認証に関する情報を窃取する可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Android アプリ「ラクマ」バージョン 7.15.0 およびそれ以前
– iOS アプリ「ラクマ」バージョン 7.16.4 およびそれ以前

この問題は、該当する製品を楽天株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、楽天株式会社が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVN#41566067
楽天株式会社からの情報
https://jvn.jp/jp/JVN41566067/995735/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-13」
https://www.jpcert.or.jp/wr/2019/wr194401.html

 

オムロン製 Network Configurator for DeviceNet に DLL 読み込みに関する脆弱性

最終更新日: 2019/11/13

情報源

ICS Advisory (ICSA-19-134-01)
Omron Network Configurator for DeviceNet (Update A)
https://www.us-cert.gov/ics/advisories/ICSA-19-134-01

概要

Network Configurator for DeviceNet には、DLL 読み込みに関する脆弱性があります。結果として、第三者がプログラムを実行している権限で、任意のコードを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Network Configurator for DeviceNet Safety 3.41 およびそれ以前

この問題は、Network Configurator for DeviceNet をオムロン株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、オムロン株式会社が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#94145643
オムロン製 Network Configurator for DeviceNet における DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU94145643/

オムロン株式会社

セーフティネットワークコンフィグレータ 形WS02-CFSC1-J/形WS02-CFSC1-E アップデートモジュール ダウンロード
https://www.fa.omron.co.jp/product/tool/32/safetycf/cfsc1_download.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-13」
https://www.jpcert.or.jp/wr/2019/wr194401.html

 

Squid に複数の脆弱性

最終更新日: 2019/11/13

情報源

squid-cache.org
Heap Overflow issue in URN processing.
http://www.squid-cache.org/Advisories/SQUID-2019_7.txt

squid-cache.org

Multiple issues in URI processing.
http://www.squid-cache.org/Advisories/SQUID-2019_8.txt

squid-cache.org

Cross-Site Request Forgery issue in HTTP Request processing.
http://www.squid-cache.org/Advisories/SQUID-2019_9.txt

squid-cache.org

HTTP Request Splitting issue in HTTP message processing.
http://www.squid-cache.org/Advisories/SQUID-2019_10.txt

squid-cache.org

Information Disclosure issue in HTTP Digest Authentication.
http://www.squid-cache.org/Advisories/SQUID-2019_11.txt

概要

Squid には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となるバージョンは次のとおりです。

– Squid version 4.8 までの 4 系のバージョン

なお、既に更新が終了している Squid 3 系や 2 系についても、本脆弱性の影響を受けるとのことです。
この問題は、使用している Squid のバージョンに応じて、OS のベンダや配布元が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、ベンダや配布元が提供する情報を参照してください。

関連文書 (英語)

squid-cache.org
Squid Versions
http://www.squid-cache.org/Versions/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-13」
https://www.jpcert.or.jp/wr/2019/wr194401.html

 

Google Chrome に複数のセキュリティ上の問題

最終更新日: 2019/11/13

情報源

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/11/stable-channel-update-for-desktop.html

概要

Google Chrome には、複数のセキュリティ上の問題があります。
対象となるバージョンは次のとおりです。

– Google Chrome 78.0.3904.97 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-13」
https://www.jpcert.or.jp/wr/2019/wr194401.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2019/11/13

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/07/cisco-releases-security-updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりです。

– Cisco Prime Infrastructure (PI) Software
– Cisco Evolved Programmable Network Manager (EPNM)
– Cisco Small Business RV Series の次の製品

・Cisco RV042 Dual WAN VPN Router
・Cisco RV042G Dual Gigabit WAN VPN Router
・Cisco RV320 Dual Gigabit WAN VPN Router
・Cisco RV325 Dual Gigabit WAN VPN Router

– Cisco RoomOS Software
– Cisco TelePresence Collaboration Endpoint (CE) Software
– Cisco TelePresence Codec (TC) Software
– Cisco Webex Network Recording Player for Microsoft Windows
– Cisco Webex Player for Microsoft Windows
– Cisco Wireless LAN Controllers
– Cisco Web Security Appliance (WSA)

※上記以外にも、影響度 Medium や Informational の脆弱性情報、アドバイザリが公開されています。詳細は、Cisco が提供する情報を参照してください。
なお、既にソフトウェアメンテナンスが終了している Cisco RV016 Multi-WAN VPN Router、Cisco RV082 Dual WAN VPN Router も影響を受けるとのことです。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco Prime Infrastructure and Evolved Programmable Network Manager Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-pi-epn-codex

Cisco Security Advisory

Cisco Small Business Routers RV016, RV042, RV042G, RV082, RV320, and RV325 Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-sbr-cominj

Cisco Security Advisory

Cisco TelePresence Collaboration Endpoint and RoomOS Software Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-telepres-roomos-dos

Cisco Security Advisory

Cisco TelePresence Collaboration Endpoint, TelePresence Codec, and RoomOS Software Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-telepres-roomos-privesc

Cisco Security Advisory

Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-webex-player

Cisco Security Advisory

Cisco Wireless LAN Controller HTTP Parsing Engine Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-wlc-dos

Cisco Security Advisory

Cisco Web Security Appliance Unauthorized Device Reset Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-wsa-unauth-devreset

Cisco Security

Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-13」
https://www.jpcert.or.jp/wr/2019/wr194401.html

 

Microsoft Office for Mac に XLM マクロに対する挙動が不適切な問題

最終更新日: 2019/11/07

情報源

Vulnerability Note VU#125336
Microsoft Office for Mac cannot properly disable XLM macros
https://kb.cert.org/vuls/id/125336/

概要

Microsoft Office for Mac には、XLM マクロに対する挙動が不適切な問題があります。結果として、第三者がユーザの実行権限で任意のコードを実行する可能性があります。
対象となる製品は次のとおりです。

– Microsoft Office for Mac

2019年11月7日現在、この問題に対する対策方法は提供されていません。次の回避策を適用することで、この問題の影響を軽減することが可能です。
– SYLK ファイルをブロックする

– セキュリティ設定で “Disable all macros with notification” を有効にする

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98504876
Microsoft Office for Mac において XLM マクロに対する挙動が不適切な問題
https://jvn.jp/vu/JVNVU98504876/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-07」
https://www.jpcert.or.jp/wr/2019/wr194301.html

 

GitLab に複数の脆弱性

最終更新日: 2019/11/07

情報源

GitLab
GitLab Security Release: 12.4.1, 12.3.6, and 12.2.9
https://about.gitlab.com/blog/2019/10/30/security-release-gitlab-12-dot-4-dot-1-released/

概要

GitLab には、複数の脆弱性があります。結果として、第三者が情報を窃取するなどの可能性があります。
対象となるバージョンは次のとおりです。

– GitLab Community および Enterprise Edition 12.4.1 より前の 12.4 系バージョン
– GitLab Community および Enterprise Edition 12.3.6 より前の 12.3 系バージョン
– GitLab Community および Enterprise Edition 12.2.9 より前の 12.2 系バージョン

なお、上記に記載されていないバージョンも影響を受けるとのことです。詳細は GitLab が提供する情報をご確認ください。
この問題は、該当する製品を GitLab が提供する修正済みのバージョンに更新することで解決します。詳細は、GitLab が提供する情報を参照してください。

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-07」
https://www.jpcert.or.jp/wr/2019/wr194301.html

 

Samba に複数の脆弱性

最終更新日: 2019/11/07

情報源

US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/29/samba-releases-security-updates

概要

Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。

– Samba 4.11.2 より前の 4.11 系バージョン
– Samba 4.10.10 より前の 4.10 系バージョン
– Samba 4.9.15 より前の 4.9 系バージョン

なお、既にサポートが終了している Samba 4.9 系より前のバージョンも影響を受けるとのことです。
この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更新することで解決します。詳細は、The Samba Team が提供する情報を参照してください。

関連文書 (英語)

The Samba Team
Samba Security Releases
https://www.samba.org/samba/history/security.html

The Samba Team

Client code can return filenames containing path separators.
https://www.samba.org/samba/security/CVE-2019-10218.html

The Samba Team

Samba AD DC check password script does not receive the full password.
https://www.samba.org/samba/security/CVE-2019-14833.html

The Samba Team

User with “get changes” permission can crash AD DC LDAP server via dirsync
https://www.samba.org/samba/security/CVE-2019-14847.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-07」
https://www.jpcert.or.jp/wr/2019/wr194301.html

 

複数のトレンドマイクロ製品に脆弱性

最終更新日: 2019/11/07

情報源

Japan Vulnerability Notes JVNVU#96213168
ウイルスバスターコーポレートエディションにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU96213168/

トレンドマイクロ株式会社

アラート/アドバイザリ:Apex Oneにおける任意のファイルアップロードを可能にするコマンドインジェクションの脆弱性
https://success.trendmicro.com/jp/solution/000151168

トレンドマイクロ株式会社

アラート/アドバイザリ:ウイルスバスターコーポレートエディション、Apex One、ウイルスバスタービジネスセキュリティにおける管理コンソールの認証回避に繋がるディレクトリトラバーサルの脆弱性
https://success.trendmicro.com/jp/solution/000151169

トレンドマイクロ株式会社

アラート/アドバイザリ:Anti-Threat Toolkitの脆弱性、CVE-2019-9491について
https://success.trendmicro.com/jp/solution/000150795

概要

複数のトレンドマイクロ製品には、脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– ウイルスバスターコーポレートエディション XG SP1、XG および 11.0 SP1
– Apex One 2019
– ウイルスバスタービジネスセキュリティ 10.0 SP1、10.0、9.5 および 9.0
– Anti-Threat Toolkit (ATTK) 1.62.0.1218 およびそれ以前

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性
https://success.trendmicro.com/jp/solution/000151167

トレンドマイクロ株式会社

【注意喚起】ウイルスバスター コーポレートエディションの脆弱性(CVE-2019-18187)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3592

Japan Vulnerability Notes JVNVU#90577675

Apex One におけるコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU90577675/

JPCERT/CC

ウイルスバスターコーポレートエディションの脆弱性 (CVE-2019-18187) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190041.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-07」
https://www.jpcert.or.jp/wr/2019/wr194301.html

 

Google Chrome に複数の脆弱性

最終更新日: 2019/11/07

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/10/31/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 78.0.3904.87 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-07」
https://www.jpcert.or.jp/wr/2019/wr194301.html