カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Ruby に複数の脆弱性

最終更新日: 2019/04/10

情報源

Ruby
Ruby 2.4.6 リリース
https://www.ruby-lang.org/ja/news/2019/04/01/ruby-2-4-6-released/

概要

Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。

– Ruby 2.4.5 およびそれ以前

この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。なお、Ruby 2.4 系は、1年間のセキュリティメンテナンスフェーズに移行し、期間終了後、公式サポートが終了します。そのため、Ruby 2.6 系などの新しいバージョンへの移行が推奨されています。

関連文書(日本語)

JPCERT/CC WEEKLY REPORT 2019-03-20号

【6】Ruby に複数の脆弱性
https://www.jpcert.or.jp/wr/2019/wr191101.html#6

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-10」
https://www.jpcert.or.jp/wr/2019/wr191401.html

 

GNU Wget にバッファオーバーフローの脆弱性

最終更新日: 2019/04/10

情報源

Japan Vulnerability Notes JVN#25261088
GNU Wget におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN25261088/

概要

GNU Wget には、バッファオーバーフローの脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは次のとおりです。

– GNU Wget 1.20.1 およびそれ以前

この問題は、GNU Wget を GNU Project が提供する修正済みのバージョンに更新することで解決します。詳細は、GNU Project が提供する情報を参照してください。

関連文書(英語)

GNU Project

Downloading GNU Wget
https://www.gnu.org/software/wget/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-10」
https://www.jpcert.or.jp/wr/2019/wr191401.html

 

Apache HTTP Server に複数の脆弱性

最終更新日: 2019/04/10

情報源

US-CERT Current Activity
Apache Releases Security Update for Apache HTTP Server
https://www.us-cert.gov/ncas/current-activity/2019/04/04/Apache-Releases-Security-Update-Apache-HTTP-Server

概要

Apache HTTP Server には、複数の脆弱性があります。結果として、第三者がroot 権限で任意のコマンドを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Apache HTTP Server 2.4.39 より前のバージョン

この問題は、Apache HTTP Server を Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、Apache Software Foundation が提供する情報を参照してください。

関連文書(英語)

Apache Software Foundation

Fixed in Apache httpd 2.4.39
https://httpd.apache.org/security/vulnerabilities_24.html

Apache Software Foundation

Apache HTTP Server 2.4.39 Released
https://www.apache.org/dist/httpd/Announcement2.4.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-10」
https://www.jpcert.or.jp/wr/2019/wr191401.html

 

Apache Tomcat にサービス運用妨害 (DoS) 攻撃の脆弱性

最終更新日: 2019/04/03

情報源

The Apache Software Foundation
[SECURITY] CVE-2019-0199 Apache Tomcat HTTP/2 DoS
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201903.mbox/%3Cda5094ed-0901-6422-c383-073e5b3ecf9d@apache.org%3E

概要

Apache Tomcat には、遠隔の第三者によってサービス運用妨害 (DoS) 攻撃が可能な脆弱性があります。
対象となるバージョンは次のとおりです。

– Apache Tomcat 9.0.0.M1 から 9.0.14 まで
– Apache Tomcat 8.5.0 から 8.5.37 まで

この問題は、Apache Tomcat を The Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、The ApacheSoftware Foundation が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC
Apache Tomcat の脆弱性 (CVE-2019-0199) について
https://www.jpcert.or.jp/newsflash/2019032601.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-03」
https://www.jpcert.or.jp/wr/2019/wr191301.html

 

複数の VMware 製品に脆弱性

最終更新日: 2019/04/03

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/29/VMware-Releases-Security-Updates

概要

複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユーザがホスト OS 上で任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– VMware vCloud Director for Service Providers 9.5.0.3 より前の 9.5 系のバージョン
– VMware vSphere ESXi 6.7 系のバージョン (ESXi670-201903001 未適用)
– VMware vSphere ESXi 6.5 系のバージョン (ESXi650-201903001 未適用)
– VMware vSphere ESXi 6.0 系のバージョン (ESXi600-201903001 未適用)
– VMware Workstation Pro / Player 15.0.4 より前の 15 系のバージョン
– VMware Workstation Pro / Player 14.1.7 より前の 14 系のバージョン
– VMware Fusion Pro / Fusion 11.0.3 より前の 11 系のバージョン (OSX)
– VMware Fusion Pro / Fusion 10.1.6 より前の 10 系のバージョン (OSX)

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2019-0004 VMware vCloud Director for Service Providers update resolves a Remote Session Hijack vulnerability
https://www.vmware.com/security/advisories/VMSA-2019-0004.html

VMware Security Advisories

VMSA-2019-0005 VMware ESXi, Workstation and Fusion updates address multiple security i
https://www.vmware.com/security/advisories/VMSA-2019-0005.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-03」
https://www.jpcert.or.jp/wr/2019/wr191301.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2019/04/03

情報源

US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/03/27/Cisco-Releases-Security-Advisories-Multiple-Products

US-CERT Current Activity

Cisco Releases Security Update for Cisco IOS XE
https://www.us-cert.gov/ncas/current-activity/2019/03/28/Cisco-Releases-Security-Update-Cisco-IOS-XE

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、機微な情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となる製品は次のとおりです。

– Cisco IOS ソフトウェア
– Cisco IOS XE ソフトウェア

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Event Response: March 2019 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication
https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-71135

Cisco Security Advisory

Cisco IOS Software Catalyst 6500 Series 802.1x Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-c6500

Cisco Security Advisory

Cisco IOS and IOS XE Software Smart Call Home Certificate Validation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-call-home-cert

Cisco Security Advisory

Cisco IOS and IOS XE Software Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-info

Cisco Security Advisory

Cisco IOS and IOS XE Software Hot Standby Router Protocol Information Leak Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-ios-infoleak

Cisco Security Advisory

Cisco IOS XE Software Gigabit Ethernet Management Interface Access Control List Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-mgmtacl

Cisco Security Advisory

Cisco IOS XE Software Performance Routing Version 3 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-pfrv3

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-03」
https://www.jpcert.or.jp/wr/2019/wr191301.html

 

複数の Apple 製品に脆弱性

最終更新日: 2019/04/03

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/25/Apple-Releases-Multiple-Security-Updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、第三者が任意のコードを実行したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– iOS 12.2 より前のバージョン
– macOS Mojave 10.14.4 より前のバージョン
– macOS High Sierra (Security Update 2019-002 未適用)
– macOS Sierra (Security Update 2019-002 未適用)
– tvOS 12.2 より前のバージョン
– watchOS 5.2 より前のバージョン
– Safari 12.1 より前のバージョン
– iTunes 12.9.4 for Windows より前のバージョン
– iCloud for Windows 7.11 より前のバージョン
– Xcode 10.2 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書(日本語)

Japan Vulnerability Notes JVNVU#93236010

複数の Apple 製品における脆弱性に対するアップデート

https://jvn.jp/vu/JVNVU93236010/

関連文書 (英語)

Apple
About the security content of iOS 12.2
https://support.apple.com/en-us/HT209599

Apple

About the security content of macOS Mojave 10.14.4, Security Update 2019-002 High Sierra, Security Update 2019-002 Sierra
https://support.apple.com/en-us/HT209600

Apple

About the security content of tvOS 12.2
https://support.apple.com/en-us/HT209601

Apple

About the security content of watchOS 5.2
https://support.apple.com/en-us/HT209602

Apple

About the security content of Safari 12.1
https://support.apple.com/en-us/HT209603

Apple

About the security content of iTunes 12.9.4 for Windows
https://support.apple.com/en-us/HT209604

Apple

About the security content of iCloud for Windows 7.11
https://support.apple.com/en-us/HT209605

Apple

About the security content of Xcode 10.2
https://support.apple.com/en-us/HT209606

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-03」
https://www.jpcert.or.jp/wr/2019/wr191301.html

 

Mozilla Thunderbird に複数の脆弱性

最終更新日: 2019/04/03

情報源

US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/03/25/Mozilla-Releases-Security-Update-Thunderbird

概要

Mozilla Thunderbird には、複数の脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。

– Mozilla Thunderbird 60.6.1 より前のバージョン

この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書(英語)

Mozilla

Security vulnerabilities fixed in Thunderbird 60.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-12/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-03」
https://www.jpcert.or.jp/wr/2019/wr191301.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2019/03/27

情報源

US-CERT Current Activity
Cisco Releases Security Advisories for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/03/20/Cisco-Releases-Security-Advisories-Multiple-Products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Cisco Wireless IP Phone 8821 上で稼働している SIP ソフトウエア 11.0(5) より前のバージョン
– Cisco Wireless IP Phone 8821-EX 上で稼働している SIP ソフトウエア 11.0(5) より前のバージョン
– Cisco IP Conference Phone 8832 上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン

– Cisco Unified IP Conference Phone 8831 上で稼働している SIP ソフトウエア 10.3(1)SR5 より前のバージョン

– その他 Cisco IP Phone 7800 シリーズ上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン
– その他 Cisco IP Phone 8800 シリーズ上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン

なお、Drupal 8.5 系より前の 8 系のバージョンは、サポートが終了しており、セキュリティに関する情報は提供されません。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco IP Phone 8800 Series Path Traversal Vulnerability

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipptv

Cisco Security Advisory

Cisco IP Phone 8800 Series File Upload Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipfudos

Cisco Security Advisory

Cisco IP Phone 8800 Series Authorization Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipab

Cisco Security Advisory

Cisco IP Phone 7800 Series and 8800 Series Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce

Cisco Security Advisory

Cisco IP Phone 8800 Series Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-csrf

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-27」
https://www.jpcert.or.jp/wr/2019/wr191201.html

 

Drupal にクロスサイトスクリプティングの脆弱性

最終更新日: 2019/03/27

情報源

US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/20/Drupal-Releases-Security-Updates

概要

Drupal には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。

– Drupal 8.6.13 より前の 8.6 系のバージョン
– Drupal 8.5.14 より前の 8.5 系のバージョン
– Drupal 7.65 より前の 7 系のバージョン

なお、Drupal 8.5 系より前の 8 系のバージョンは、サポートが終了しており、セキュリティに関する情報は提供されません。
この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新することで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal core – Moderately critical – Cross Site Scripting – SA-CORE-2019-004
https://www.drupal.org/sa-core-2019-004

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-27」
https://www.jpcert.or.jp/wr/2019/wr191201.html