カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

パナソニック製 Video Insight VMS に SQL インジェクションの脆弱性

最終更新日: 2019/09/18

情報源

Japan Vulnerability Notes JVN#93833849
パナソニック Video Insight VMS における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN93833849/

概要

パナソニック株式会社が提供する Video Insight VMS には、SQL インジェクションの脆弱性があります。結果として、当該製品にログイン可能な第三者がデータベースに対し任意の SQL 文を実行する可能性があります。
対象となるバージョンは次のとおりです。

– Video Insight 7.3.2.5 VMS

この問題は、パナソニック株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、パナソニック株式会社が提供する情報を参照してください。

関連文書(英語)

パナソニック株式会社

Release Notes -Video Insight IP Server 7.5 Minor Release
http://downloadvi.com/downloads/IPServer/v7.5/75089/v75089RN.pdf

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-09-17」
https://www.jpcert.or.jp/wr/2019/wr193502.html

ISC Kea DHCP サーバに複数の脆弱性

最終更新日: 2019/09/18

情報源

Japan Vulnerability Notes JVNVU#93863470
ISC Kea DHCP サーバにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93863470/

概要

ISC Kea DHCP サーバには、複数の脆弱性があります。結果として、当該製品にアクセス可能な第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは次のとおりです。

– ISC Kea 1.4.0 から 1.5.0 までのバージョン

この問題は、ISC Kea を ISC が提供する修正済みのバージョンに更新することで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書(英語)

ISC Knowledge Base

CVE-2019-6472: A packet containing a malformed DUID can cause the kea-dhcp6 server to terminate
https://kb.isc.org/docs/cve-2019-6472

ISC Knowledge Base

CVE-2019-6473: An invalid hostname option can cause the kea-dhcp4 server to terminate
https://kb.isc.org/docs/cve-2019-6473

ISC Knowledge Base

CVE-2019-6474: An oversight when validating incoming client requests can lead to a situation where the Kea server will exit when trying to restart
https://kb.isc.org/docs/cve-2019-6474

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-09-17」
https://www.jpcert.or.jp/wr/2019/wr193502.html

GitLab に複数の脆弱性

最終更新日: 2019/09/18

情報源

GitLab
GitLab Security Release: 12.2.3, 12.1.8, and 12.0.8
https://about.gitlab.com/2019/08/29/security-release-gitlab-12-dot-2-dot-3-released/

概要

GitLab には、複数の脆弱性があります。結果として、第三者が、情報を窃取したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となるバージョンは次のとおりです。

– GitLab 12.2.3 より前のバージョン
– GitLab 12.1.8 より前のバージョン
– GitLab 12.0.8 より前のバージョン

※情報源によると、上記に記載されていない GitLab 11系以前のバージョンにおいても、影響を受ける脆弱性があるとのことです。
この問題は、GitLab を GitLab が提供する修正済みのバージョンに更新することで解決します。詳細は、GitLab が提供する情報を参照してください。

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-09-17」
https://www.jpcert.or.jp/wr/2019/wr193502.html

Exim にバッファオーバーフローの脆弱性

最終更新日: 2019/09/18

情報源

Vulnerability Note VU#672565
Exim fails to properly handle peer DN and SNI in TLS handshakes
https://kb.cert.org/vuls/id/672565/

概要

Exim には、バッファオーバーフローの脆弱性があります。結果として、当該製品にアクセス可能な第三者が認証を回避し、root 権限で任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。

– Exim 4.92.1 およびそれ以前のバージョン

この問題は、Exim を開発者や配布元が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者や配布元が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98867516
Exim に TLS ハンドシェイク中の DN および SNI の処理が適切に行われない問題
https://jvn.jp/vu/JVNVU98867516/

関連文書(英語)

US-CERT Current Activity

Exim Releases Security Patches
https://www.us-cert.gov/ncas/current-activity/2019/09/06/exim-releases-security-patches

Exim

CVE-2019-15846
https://exim.org/static/doc/security/CVE-2019-15846.txt

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-09-17」
https://www.jpcert.or.jp/wr/2019/wr193502.html

Mozilla Firefox に複数の脆弱性

最終更新日: 2019/09/18

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2019/09/04/mozilla-releases-security-updates-firefox-and-firefox-esr

概要

Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となるバージョンは次のとおりです。

– Firefox 69 より前のバージョン
– Firefox ESR 68.1 より前のバージョン
– Firefox ESR 60.9 より前のバージョン

この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書(英語)

Mozilla

Security vulnerabilities fixed in Firefox 69
https://www.mozilla.org/en-US/security/advisories/mfsa2019-25/

Mozilla

Security vulnerabilities fixed in Firefox ESR 68.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-26/

Mozilla

Security vulnerabilities fixed in Firefox ESR 60.9
https://www.mozilla.org/en-US/security/advisories/mfsa2019-27/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-09-17」
https://www.jpcert.or.jp/wr/2019/wr193502.html

Samba に複数の脆弱性

最終更新日: 2019/09/18

情報源

US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/04/samba-releases-security-updates

概要

Samba には、複数の脆弱性があります。結果として、遠隔の第三者が情報を窃取する可能性があります。
対象となるバージョンは次のとおりです。

– Samba 4.10.8 より前の 4.10 系のバージョン
– Samba 4.9.13 より前の 4.9 系のバージョン

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更新することで解決します。詳細は、The Samba Team が提供する情報を参照してください。

関連文書(英語)

The Samba Team

Combination of parameters and permissions can allow user to escape from the share path definition.
https://www.samba.org/samba/security/CVE-2019-10197.html

The Samba Team

Samba Security Releases
https://www.samba.org/samba/history/security.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-09-17」
https://www.jpcert.or.jp/wr/2019/wr193502.html

WordPress に複数の脆弱性

最終更新日: 2019/09/18

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/09/06/wordpress-releases-security-update

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは次のとおりです。

– WordPress 5.2.3 より前のバージョン

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更新することで解決します。詳細は、WordPress が提供する情報を参照してください。

関連文書(英語)

WordPress

WordPress 5.2.3 Security and Maintenance Release
https://wordpress.org/news/2019/09/wordpress-5-2-3-security-and-maintenance-release/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-09-17」
https://www.jpcert.or.jp/wr/2019/wr193502.html

PHP に複数の脆弱性

最終更新日: 2019/09/18

情報源

US-CERT Current Activity
MS-ISAC Releases Advisory on PHP Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2019/09/05/ms-isac-releases-advisory-php-vulnerabilities

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。

– PHP 7.3.9 より前のバージョン
– PHP 7.2.22 より前のバージョン
– PHP 7.1.32 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者や配布元が提供する情報を参照してください。

関連文書(英語)

Center for Internet Security

Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2019-087/

The PHP Group

PHP 7 ChangeLog Version 7.3.9
https://www.php.net/ChangeLog-7.php#7.3.9

The PHP Group

PHP 7 ChangeLog Version 7.2.22

https://www.php.net/ChangeLog-7.php#7.2.22

The PHP Group

PHP 7 ChangeLog Version 7.1.32
https://www.php.net/ChangeLog-7.php#7.1.32

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-09-17」
https://www.jpcert.or.jp/wr/2019/wr193502.html

複数の Cisco 製品に脆弱性

最終更新日: 2019/09/18

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/09/05/cisco-releases-security-updates

概要

Cisco が提供する複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコマンドを実行したり、情報を窃取する可能性があります。
影響度 High の脆弱性情報の対象となる製品は次のとおりです。

– Cisco Webex Teams for Windows
– Cisco Industrial Network Director (IND)

※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco Webex Teams Logging Feature Command Execution Vulnerability

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190904-webex-teams

Cisco Security Advisory

Cisco Industrial Network Director Configuration Data Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190904-ind

Cisco Security Advisory

Cisco Security Advisories and Alerts
https://tools.cisco.com/security/center/publicationListing.x

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-09-17」
https://www.jpcert.or.jp/wr/2019/wr193502.html

Adobe Flash Player の脆弱性 (APSB19-46) に関する注意喚起

 JPCERT/CCからの「Adobe Flash Player の脆弱性 (APSB19-46) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0035
JPCERT/CC
2019-09-11
<<< JPCERT/CC Alert 2019-09-11 >>>
Adobe Flash Player の脆弱性 (APSB19-46) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190035.html

I.概要

アドビから Adobe Flash Player に関する脆弱性の情報 (APSB19-46) が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、遠隔の第三者によって、実行中のユーザ権限で任意のコードが実行される恐れがあります。
脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ株式会社

Security Bulletin for Adobe Flash Player | APSB19-46
https://helpx.adobe.com/security/products/flash-player/apsb19-46.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Flash Player Desktop Runtime (32.0.0.238) およびそれ以前
(Windows, macOS および Linux)

– Adobe Flash Player for Google Chrome (32.0.0.238) およびそれ以前

(Windows, macOS, Linux および Chrome OS)

– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.207) およびそれ以前

(Windows 10 および Windows 8.1)
お使いの Adobe Flash Player のバージョンは、次のページで確認できます。
Flash Player ヘルプ
https://helpx.adobe.com/jp/flash-player.html

III.対策

Adobe Flash Player を次の最新のバージョンに更新してください。

– Adobe Flash Player Desktop Runtime (32.0.0.255)
(Windows, macOS および Linux)

– Adobe Flash Player for Google Chrome (32.0.0.255)

(Windows, macOS, Linux および Chrome OS)

– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.255)

(Windows 10 および Windows 8.1)
Adobe Flash Player ダウンロード

https://get.adobe.com/jp/flashplayer/

ブラウザに同梱されているなど、アドビ以外の配布元より提供される場合には、配布元からの情報に注意してください。なお、次の製品については、アドビ以外の配布元より Adobe Flash Player のアップデートが提供されます。

– Microsoft Windows 10
– Microsoft Windows 8.1
– Google Chrome

マイクロソフト社からは、Windows Update などで最新の Adobe Flash Playerが更新プログラムとして提供されます。
ADV190022 | 2019 年 9 月の Adobe Flash のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV190022

なお、ブラウザ以外にも Microsoft Office のように、Adobe Flash Player を使用するソフトウエアがあります。ブラウザにて Adobe Flash Player を使用していない場合などでも、アップデートを行ってください。

IV. 回避策

アップデートを適用するまでの間は、脆弱性の影響を軽減するため、次に記載する回避策を参考に、Flash を無効にしたり、Flash を使用したコンテンツの表示を制限したりすることも検討してください。
なお、回避策を適用することで、一部アプリケーションが動作しなくなるなどの不具合が発生する可能性があります。
回避策の適用については、十分に影響範囲を考慮の上、行ってください。

– 信頼できない Flash コンテンツを表示しない

ブラウザ上で Flash を無効に設定してください。または、Click-to-Play 機能を有効にしてください。Microsoft Office では保護モードを有効とすることで影響を回避することができます。

V. 参考情報

アドビシステムズ株式会社
Security Bulletin for Adobe Flash Player | APSB19-46
https://helpx.adobe.com/security/products/flash-player/apsb19-46.html

アドビシステムズ株式会社

Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1785

マイクロソフト株式会社

Microsoft Edge における Flash Player の有効・無効
https://answers.microsoft.com/ja-JP/windows/wiki/apps_windows_10-msedge/microsoft-edge/248bf728-44f4-4b4a-ae50-8b66ee7a96ca

マイクロソフト株式会社

ADV190022 | 2019 年 9 月の Adobe Flash のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV190022

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/