カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

複数の VMware 製品にアクセス制御不備の脆弱性

最終更新日: 2019/10/24

情報源

US-CERT Current Activity
VMware Releases Security Update for Harbor Container Registry for PCF
https://www.us-cert.gov/ncas/current-activity/2019/10/16/vmware-releases-security-update-harbor-container-registry-pcf

概要

複数の VMware 製品には、アクセス制御不備の脆弱性があります。結果として、遠隔の第三者が、当該ソフトウェアを介してアクセス可能なプロジェクトに隣接する別プロジェクトのコンテナイメージを取得・変更する可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Harbor Registry がデプロイされている VMware Cloud Foundation
– VMware Harbor Container Registry for PCF 1.8.4 より前の 1.8 系バージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2019-0016
https://www.vmware.com/security/advisories/VMSA-2019-0016.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-24」
https://www.jpcert.or.jp/wr/2019/wr194101.html

 

ISC BIND 9 に複数の脆弱性

最終更新日: 2019/10/24

情報源

US-CERT Current Activity
ISC Releases Security Advisories for BIND
https://www.us-cert.gov/ncas/current-activity/2019/10/17/isc-releases-security-advisories-bind

概要

ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。

– BIND 9.14.0 から BIND 9.14.6 まで

なお、開発版の BIND 9.15 系についても影響を受けるとのことです。
この問題は、ISC BIND 9 を ISC が提供する修正済みのバージョンに更新することで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書(日本語)

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性(mirror zones機能におけるDNSSEC検証のバイパス)について(CVE-2019-6475)- mirror zones機能を設定している場合のみ対象、バージョンアップを推奨
https://jprs.jp/tech/security/2019-10-17-bind9-vuln-mirror-zones.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6476)- バージョンアップを推奨
https://jprs.jp/tech/security/2019-10-17-bind9-vuln-qname-minimisation.html

Japan Vulnerability Notes JVNVU#98919979

ISC BIND 9 における複数の脆弱性
https://jvn.jp/vu/JVNVU98919979/

JPCERT/CC

ISC BIND 9 における脆弱性 (CVE-2019-6475、CVE-2019-6476) について
https://www.jpcert.or.jp/newsflash/2019101701.html

関連文書 (英語)

Internet Systems Consortium, Inc. (ISC)
CVE-2019-6475: A flaw in mirror zone validity checking can allow zone data to be spoofed
https://kb.isc.org/docs/cve-2019-6475

Internet Systems Consortium, Inc. (ISC)

CVE-2019-6476: An error in QNAME minimization code can cause BIND to exit with an assertion failure
https://kb.isc.org/docs/cve-2019-6476

Internet Systems Consortium, Inc. (ISC)

BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-24」
https://www.jpcert.or.jp/wr/2019/wr194101.html

 

WordPress に複数の脆弱性

最終更新日: 2019/10/24

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/10/15/wordpress-releases-security-update

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは次のとおりです。

– WordPress 5.2.4 より前のバージョン

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更新することで解決します。詳細は、WordPress が提供する情報を参照してください。

関連文書(英語)

WordPress

WordPress 5.2.4 Security Release
https://wordpress.org/news/2019/10/wordpress-5-2-4-security-release/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-24」
https://www.jpcert.or.jp/wr/2019/wr194101.html

 

2019年 10月 Oracle Critical Patch Update について

最終更新日: 2019/10/24

情報源

US-CERT Current Activity
Oracle Releases October 2019 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2019/10/15/oracle-releases-october-2019-security-bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。

関連文書(日本語)

JPCERT/CC 注意喚起

2019年 10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190040.html

関連文書 (英語)

Oracle
Oracle Critical Patch Update Advisory – October 2019
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-24」
https://www.jpcert.or.jp/wr/2019/wr194101.html

 

複数の Adobe 製品に脆弱性

最終更新日: 2019/10/24

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/10/15/adobe-releases-security-updates-multiple-products

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、情報を窃取したり、実行ユーザの権限で任意のコードを実行したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Adobe Acrobat Reader DC Continuous (2019.012.20040) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30148) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30503) およびそれ以前 (Windows, macOS)
– Adobe Acrobat DC Continuous (2019.012.20040) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30148) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2015 Classic 2015 (2015.006.30503) およびそれ以前 (Windows, macOS)
– Adobe Experience Manager 6.5, 6.4, 6.3
– Adobe Experience Manager Forms 6.5, 6.4, 6.3
– Adobe Download Manager 2.0.0.363 (Windows)

なお、既にコアサポート期間が終了している Adobe Experience Manager 6.2、6.1、6.0 も本脆弱性の影響を受けるとのことです。該当のバージョンを使用している場合は、サポート対象のバージョンをご使用ください。
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書(日本語)

JPCERT/CC

Adobe Acrobat および Reader の脆弱性 (APSB19-49) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190039.html

JPCERT/CC

複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019101602.html

Adobe

Adobe Experience Manager に関するセキュリティアップデート公開 | APSB19-48
https://helpx.adobe.com/jp/security/products/experience-manager/apsb19-48.html

Adobe

Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-49
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-49.html

Adobe

Adobe Experience Manager Forms に関するセキュリティアップデート公開 | APSB19-50
https://helpx.adobe.com/jp/security/products/aem-forms/apsb19-50.html

Adobe

Adobe Download Manager に関するセキュリティアップデート公開 | APSB19-51
https://helpx.adobe.com/jp/security/products/adm/apsb19-51.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-24」
https://www.jpcert.or.jp/wr/2019/wr194101.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2019/10/24

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/17/cisco-releases-security-updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりです。

– Cisco Aironet AP Software
– Cisco WLC Software
– Cisco SPA100 Series ATAs
– Cisco Small Business Smart Switches
– Cisco Small Business Managed Switches

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、影響度 Medium の脆弱性情報、アドバイザリが公開されています。詳細は、Cisco が提供する情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco Aironet Access Points Unauthorized Access Vulnerability

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-unauth-access

Cisco Security Advisory

Cisco Wireless LAN Controller Secure Shell Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-wlc-ssh-dos

Cisco Security Advisory

Cisco SPA100 Series Analog Telephone Adapters Remote Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-spa-rce

Cisco Security Advisory

Cisco Small Business Smart and Managed Switches Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-sbss-csrf

Cisco Security Advisory

Cisco Aironet Access Points Point-to-Point Tunneling Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-pptp-dos

Cisco Security Advisory

Cisco Aironet Access Points and Catalyst 9100 Access Points CAPWAP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-capwap-dos

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-24」
https://www.jpcert.or.jp/wr/2019/wr194101.html

 

WordPress 用プラグイン wpDataTables Lite に複数の脆弱性

最終更新日: 2019/10/17

情報源

Japan Vulnerability Notes JVN#14776551
WordPress 用プラグイン wpDataTables Lite における複数の脆弱性
https://jvn.jp/jp/JVN14776551/

概要

WordPress 用プラグイン wpDataTables Lite には、複数の脆弱性があります。
結果として、遠隔の第三者が、ログインしているユーザのウェブブラウザ上で任意のスクリプトを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。

– wpDataTables Lite Version 2.0.11 およびそれ以前のバージョン

この問題は、wpDataTables Lite を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

TMS-Plugins
wpDataTables Tables & Table Charts
https://wordpress.org/plugins/wpdatatables/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-17」
https://www.jpcert.or.jp/wr/2019/wr194001.html

 

DBA-1510P に OS コマンドインジェクションの脆弱性

最終更新日: 2019/10/17

情報源

Japan Vulnerability Notes JVN#95875796
DBA-1510P における複数の OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN95875796/

概要

Wi-Fi アクセスポイントである DBA-1510P には OS コマンドインジェクションの脆弱性があります。結果として、管理画面にログインしているユーザなどが任意の OS コマンドを実行する可能性があります。
対象となるバージョンは次のとおりです。

– DBA-1510P ファームウェア 1.70b009 およびそれ以前のバージョン

この問題は、DBA-1510P をディーリンクジャパン株式会社が提供する修正済みのファームウェアに更新することで解決します。詳細は、ディーリンクジャパン株式会社が提供する情報を参照してください。

関連文書 (日本語)

D-Link
DBA-1510P
https://www.dlink-jp.com/product/dba-1510p#product_firmware

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-17」
https://www.jpcert.or.jp/wr/2019/wr194001.html

 

iTerm2 に任意のコマンド実行が可能な脆弱性

最終更新日: 2019/10/17

情報源

US-CERT Current Activity
iTerm2 Vulnerability
https://www.us-cert.gov/ncas/current-activity/2019/10/09/iterm2-vulnerability

概要

iTerm2 には、脆弱性があります。結果として、遠隔の第三者が任意のコマンドを実行する可能性があります。
対象となるバージョンは次のとおりです。

– iTerm2 3.3.5 およびそれ以前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98580651
iTerm2 における任意のコマンド実行が可能な脆弱性
https://jvn.jp/vu/JVNVU98580651/

関連文書 (英語)

CERT/CC Vulnerability Note VU#763073
iTerm2 with tmux integration is vulnerable to remote command execution
https://kb.cert.org/vuls/id/763073/

Mozilla

Critical Security Issue identified in iTerm2 as part of Mozilla Open Source Audit
https://blog.mozilla.org/security/2019/10/09/iterm2-critical-issue-moss-audit/

iTerm2

Downloads
https://www.iterm2.com/downloads.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-17」
https://www.jpcert.or.jp/wr/2019/wr194001.html

 

Intel 製品に複数の脆弱性

最終更新日: 2019/10/17

情報源

US-CERT Current Activity
Intel Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/10/09/intel-releases-security-updates

概要

Intel 製品には、複数の脆弱性があります。結果として、第三者が権限を昇格するなどの可能性があります。
対象となる製品は次のとおりです。

– Intel Active System Console
– Intel Smart Connect Technology for Intel NUC.
– Intel NUC 8 Mainstream Game Kit
– Intel NUC 8 Mainstream Game Mini Computer
– Intel NUC Board DE3815TYBE
– Intel NUC Kit DE3815TYKHE
– Intel NUC Kit DN2820FYKH

この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新することで解決します。詳細は、Intel が提供する情報を参照してください。
なお、Intel Smart Connect Technology は製造中止を発表しており、アンインストールまたは使用の中止が推奨されています。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90055983
Intel 製品に複数の脆弱性
http://jvn.jp/vu/JVNVU90055983

JPCERT/CC

Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019100901.html

関連文書 (英語)

Intel
INTEL-SA-00261: Intel Active System Console Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00261.html

Intel

INTEL-SA-00286: Intel Smart Connect Technology for Intel NUC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00286.html

Intel

INTEL-SA-00296: Intel NUC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00296.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-17」
https://www.jpcert.or.jp/wr/2019/wr194001.html