カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

複数の Apple 製品に脆弱性

最終更新日: 2019/11/07

情報源

US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/30/apple-releases-security-updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、情報を窃取したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– iOS 13.2 より前のバージョン
– iPadOS 13.2 より前のバージョン
– macOS Catalina 10.15.1 より前のバージョン
– macOS Mojave 10.14.6 (Security Update 2019-001 未適用)
– macOS High Sierra 10.13.6 (Security Update 2019-006 未適用)
– tvOS 13.2 より前のバージョン
– watchOS 6.1 より前のバージョン
– Safari 13.0.3 より前のバージョン
– iTunes 12.10.2 for Windows より前のバージョン
– iCloud for Windows 11.0 より前のバージョン
– iCloud for Windows 7.15 より前のバージョン
– Xcode 11.2 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#96749516
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU96749516/

Apple

iOS 13.2 および iPadOS 13.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210721

Apple

macOS Catalina 10.15.1、セキュリティアップデート 2019-001、セキュリティアップデート 2019-006 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210722

Apple

tvOS 13.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210723

Apple

watchOS 6.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210724

Apple

Safari 13.0.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210725

Apple

iTunes for Windows 12.10.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210726

Apple

Windows 用 iCloud 11.0 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210727

Apple

Windows 用 iCloud 7.15 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210728

Apple

Xcode 11.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210729

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-11-07」
https://www.jpcert.or.jp/wr/2019/wr194301.html

 

複数のトレンドマイクロ製品に XML 外部実体参照 (XXE) の脆弱性

最終更新日: 2019/10/30

情報源

Japan Vulnerability Notes JVNVU#99059651
トレンドマイクロ株式会社製の複数の製品における XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/vu/JVNVU99059651/

概要

複数のトレンドマイクロ製品には、XML 外部実体参照 (XXE) に関する脆弱性があります。結果として、第三者が該当製品に有効化されている各 agent の管理者権限を奪取した場合に、その agent を通じて XXE 攻撃を行う可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Trend Micro Deep Security Manager 12.0 より前のバージョン
– Trend Micro Virtual Patch for Endpoint Manager 2.0 SP2 Patch7 およびそれ以前

なお開発者によると、Trend Micro Deep Security as a Service は本脆弱性の影響を受けないとのことです。
この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)

トレンドマイクロ株式会社
「アラート/アドバイザリ」Trend Micro Deep Securityにおける XML External Entityに関する脆弱性(CVE-2019-9488)
https://success.trendmicro.com/jp/solution/1122942

トレンドマイクロ株式会社

「アラート/アドバイザリ」Trend Micro Virtual Patch for Endpointにおける XML External Entityに関する脆弱性(CVE-2019-9488)
https://success.trendmicro.com/jp/solution/1123774

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-30」
https://www.jpcert.or.jp/wr/2019/wr194201.html

 

複数の D-Link 製ルータにコマンドインジェクションの脆弱性

最終更新日: 2019/10/30

情報源

Vulnerability Note VU#766427
Multiple D-Link routers vulnerable to remote command execution
https://kb.cert.org/vuls/id/766427/

概要

複数の D-Link 製ルータには、コマンドインジェクションの脆弱性があります。結果として、遠隔の第三者が、ルート権限で任意のコマンドを実行する可能性があります。
対象となる製品は次のとおりです。

– DIR-615
– DIR-652
– DIR-655
– DIR-825
– DIR-835
– DIR-855L
– DIR-862L
– DIR-866L
– DAP-1533
– DHP-1565

この問題の対象となっている製品は、すべて製品サポートが終了しています。現行製品の使用を停止し、後継製品への移行を検討してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#95198984
複数の D-Link 製ルータにおけるコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU95198984/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-30」
https://www.jpcert.or.jp/wr/2019/wr194201.html

 

複数の VMware 製品に脆弱性

最終更新日: 2019/10/30

情報源

VMware Security Advisories
VMSA-2019-0018
https://www.vmware.com/security/advisories/VMSA-2019-0018.html

VMware Security Advisories

VMSA-2019-0019
https://www.vmware.com/security/advisories/VMSA-2019-0019.html

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、中間者攻撃によって情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となる製品およびバージョンは次のとおりです。

– VMware vCenter Server Appliance 6.7u3a より前の 6.7 系のバージョン
– VMware vCenter Server Appliance 6.5u3d より前の 6.5 系のバージョン
– VMware vSphere ESXi 6.7 系のバージョン (ESXi670-201908101-SG 未適用)
– VMware vSphere ESXi 6.5 系のバージョン (ESXi650-201910401-SG 未適用)
– VMware Workstation Pro / Player 15.5.0 より前の 15 系のバージョン
– VMware Fusion Pro / Fusion 11.5.0 より前の 11 系のバージョン (OSX)

この問題は、該当する製品を VMware が提供するパッチを適用することで解決します。詳細は、VMware が提供する情報を参照してください。

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-30」
https://www.jpcert.or.jp/wr/2019/wr194201.html

 

PHP に任意のコード実行の脆弱性

最終更新日: 2019/10/30

情報源

The PHP Group
PHP 7.3.11 Released
https://www.php.net/archive/2019.php#2019-10-24-2

The PHP Group

PHP 7.2.24 Released
https://www.php.net/archive/2019.php#2019-10-24-1

The PHP Group

PHP 7.1.33 Released
https://www.php.net/archive/2019.php#2019-10-24-3

概要

PHP には、遠隔の第三者が任意のコードを実行することが可能な脆弱性があります。
対象となるバージョンは次のとおりです。

– PHP 7.3.11 より前のバージョン
– PHP 7.2.24 より前のバージョン
– PHP 7.1.33 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者や配布元が提供する情報を参照してください。

関連文書(英語)

The PHP Group

PHP 7 ChangeLog Version 7.3.11
https://www.php.net/ChangeLog-7.php#7.3.11

The PHP Group

PHP 7 ChangeLog Version 7.2.24
https://www.php.net/ChangeLog-7.php#7.2.24

The PHP Group

PHP 7 ChangeLog Version 7.1.33
https://www.php.net/ChangeLog-7.php#7.1.33

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-30」
https://www.jpcert.or.jp/wr/2019/wr194201.html

 

Google Chrome に複数の脆弱性

最終更新日: 2019/10/30

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/10/23/google-releases-security-updates-chrome

概要

Google Chrome には、複数の脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 78.0.3904.70 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

関連文書(英語)

Google

Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_22.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-30」
https://www.jpcert.or.jp/wr/2019/wr194201.html

 

複数の Mozilla 製品に脆弱性

最終更新日: 2019/10/30

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2019/10/23/mozilla-releases-security-updates-firefox-and-firefox-esr

US-CERT Current Activity

Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/10/24/mozilla-releases-security-update-thunderbird

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Firefox 70 より前のバージョン
– Firefox ESR 68.2 より前のバージョン
– Thunderbird 68.2 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書(英語)

Mozilla

Security vulnerabilities fixed in Firefox ESR 68.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-33/

Mozilla

Security vulnerabilities fixed in Firefox 70
https://www.mozilla.org/en-US/security/advisories/mfsa2019-34/

Mozilla

Security vulnerabilities fixed in Thunderbird 68.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-35/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-30」
https://www.jpcert.or.jp/wr/2019/wr194201.html

 

ウイルスバスターコーポレートエディションの脆弱性 (CVE-2019-18187) に関する注意喚起

 JPCERT/CCからの「ウイルスバスターコーポレートエディションの脆弱性 (CVE-2019-18187) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0041
JPCERT/CC
2019-10-28
<<< JPCERT/CC Alert 2019-10-28 >>>
ウイルスバスターコーポレートエディションの脆弱性 (CVE-2019-18187) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190041.html

I.概要

JPCERT/CC では、トレンドマイクロ株式会社のウイルスバスターコーポレートエディションの脆弱性 (CVE-2019-18187) が攻撃に悪用されているとの情報を入手しました。トレンドマイクロ株式会社からも、注意喚起が示されています。

トレンドマイクロ株式会社

【注意喚起】ウイルスバスター コーポレートエディションの脆弱性(CVE-2019-18187)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3592

脆弱性 (CVE-2019-18187) が悪用された場合、攻撃者が、ウイルスバスターコーポレートエディションを管理しているアカウントの権限で、任意のコードを実行する可能性があります。
トレンドマイクロ株式会社

アラート/アドバイザリ:ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性
https://success.trendmicro.com/jp/solution/000151167

すでに攻撃に悪用されていることから、該当する製品を利用している場合には、早期にアップデート等の対応を行うことを推奨します。詳細は、トレンドマイクロ株式会社からの情報を参照してください。

II.対象

対象となる製品およびバージョンは次のとおりです。

– ウイルスバスターコーポレートエディション XG SP1、XG および 11.0 SP1

III. 対策

トレンドマイクロ株式会社から、本脆弱性を修正するパッチが提供されています。
対象の製品に対し適切なパッチを適用してください。

– ウイルスバスターコーポレートエディション XG Service Pack 1 Critical Patch (ビルド 5427)

– ウイルスバスターコーポレートエディション XG Patch 1 Critical Patch (ビルド 1962)
– ウイルスバスターコーポレートエディション 11.0 Service Pack 1 Critical Patch (ビルド 6638)

IV.参考情報

トレンドマイクロ株式会社
【注意喚起】ウイルスバスター コーポレートエディションの脆弱性(CVE-2019-18187)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3592

トレンドマイクロ株式会社

アラート/アドバイザリ:ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性
https://success.trendmicro.com/jp/solution/000151167

JVNVU#96213168

ウイルスバスターコーポレートエディションにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU96213168

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/

Windows 7 および Windows Server 2008 R2 の延長サポート終了について

最終更新日: 2019/10/24
2019年10月17日 (米国時間)、US-CERT から Windows 7 および WindowsServer 2008 R2 の延長サポート終了についての注意喚起が公開されました。
2020年1月14日をもって、当該製品の延長サポートが終了します。サポート終了後は、マルウエアへの感染や情報漏えいなどの被害を受けやすくなります。
当該製品を利用している場合、サポートが行われているバージョンへの移行をお勧めします

参考文献 (日本語)

JPCERT/CC
Windows 7 および Windows Server 2008 R2 の延長サポート終了について
https://www.jpcert.or.jp/newsflash/2019101801.html

マイクロソフト株式会社

2020 年 1 月 14 日に Windows 7 のサポートが終了します
https://www.microsoft.com/ja-jp/windows/windows-7-end-of-life-support-information

マイクロソフト株式会社

Windows Server 2008 および Windows Server 2008 R2 のサポート終了
https://support.microsoft.com/ja-jp/help/4456235/end-of-support-for-windows-server-2008-and-windows-server-2008-r2

マイクロソフト株式会社

Windows ライフサイクルのファクト シート
https://support.microsoft.com/ja-jp/help/13853/windows-lifecycle-fact-sheet

参考文献 (英語)

US-CERT
Microsoft Ending Support for Windows 7 and Windows Server 2008 R2
https://www.us-cert.gov/ncas/alerts/aa19-290a

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-24」
https://www.jpcert.or.jp/wr/2019/wr194101.html

 

Apple Swift にファイルディスクリプタの不適切な管理に関する問題

最終更新日: 2019/10/24

情報源

Japan Vulnerability Notes JVNVU#91825432
Apple Swift における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU91825432/

概要

Apple Swift には、URLSession でのファイルディスクリプタの管理に問題があります。結果として、第三者が情報を窃取する可能性があります。
対象となるバージョンは次のとおりです。

– Swift 5.1.1 for Ubuntu より前のバージョン

この問題は、Apple Swift を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Apple
Ubuntu 向け Swift 5.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210647

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-24」
https://www.jpcert.or.jp/wr/2019/wr194101.html