カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Mozilla Firefox に複数の脆弱性

最終更新日: 2019/03/27

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/03/22/Mozilla-Releases-Security-Updates-Firefox

US-CERT Current Activity

Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/03/19/Mozilla-Releases-Security-Updates-Firefox

概要

Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Mozilla Firefox 66.0.1 より前のバージョン
– Mozilla Firefox ESR 60.6.1 より前のバージョン

この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (英語)

Mozilla
Security vulnerabilities fixed in Firefox 66
https://www.mozilla.org/en-US/security/advisories/mfsa2019-07/

Mozilla

Security vulnerabilities fixed in Firefox 66.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-09/

Mozilla

Security vulnerabilities fixed in Firefox ESR 60.6
https://www.mozilla.org/en-US/security/advisories/mfsa2019-08/

Mozilla

Security vulnerabilities fixed in Firefox 60.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-10/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-27」
https://www.jpcert.or.jp/wr/2019/wr191201.html

 

複数の Intel 製品に脆弱性

最終更新日: 2019/03/20

情報源

Japan Vulnerability Notes JVNVU#98344681
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98344681/

概要

Intel 製品には、複数の脆弱性があります。結果として、遠隔の第三者が権限を昇格するなどの可能性があります。
対象となる製品は次のとおりです。
– Intel CSME, Server Platform Services, Trusted Execution Engine

– Intel Active Management Technology
– Intel Graphics Driver for Windows
– Intel Firmware
– Intel Matrix Storage Manager
– Intel SGX SDK
– Intel USB 3.0 Creator Utility
– Intel Accelerated Storage Manager in RSTe

この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新することで解決します。詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)

Intel
INTEL-SA-00185 – Intel CSME, Server Platform Services, Trusted Execution Engine and Intel Active Management Technology 2018.4 QSR Advisory

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00185.html

Intel

INTEL-SA-00189 – Intel Graphics Driver for Windows* 2018.4 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00189.html

Intel

INTEL-SA-00191 – Intel Firmware 2018.4 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00191.html

Intel

INTEL-SA-00216 – Intel Matrix Storage Manager Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00216.html

Intel

INTEL-SA-00217 – Intel Software Guard Extensions SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00217.html

Intel

INTEL-SA-00229 – Intel USB 3.0 Creator Utility Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00229.html

Intel

INTEL-SA-00231 – Intel Accelerated Storage Manager in RSTe Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00231.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-20」
https://www.jpcert.or.jp/wr/2019/wr191101.html

 

Ruby に複数の脆弱性

最終更新日: 2019/03/20

情報源

Ruby
Ruby 2.6.2 リリース
https://www.ruby-lang.org/ja/news/2019/03/13/ruby-2-6-2-released/

Ruby

Ruby 2.5.4 リリース
https://www.ruby-lang.org/ja/news/2019/03/13/ruby-2-5-4-released/

概要

Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。

– Ruby 2.6.1 およびそれ以前
– Ruby 2.5.3 およびそれ以前
– Ruby 2.4.5 およびそれ以前

この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。なお、2019年3月19日現在、Ruby 2.4 系における修正済みのバージョンは提供されていません。詳細は、Ruby が提供する情報を参照してください。

関連文書 (英語)

Ruby
Multiple vulnerabilities in RubyGems
https://www.ruby-lang.org/en/news/2019/03/05/multiple-vulnerabilities-in-rubygems/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-20」
https://www.jpcert.or.jp/wr/2019/wr191101.html

 

WordPress にクロスサイトスクリプティングの脆弱性

最終更新日: 2019/03/20

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/03/14/WordPress-Releases-Security-Update

概要

WordPress には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは次のとおりです。
– WordPress 5.1 およびそれ以前
この問題は、該当する製品を WordPress が提供する修正済みのバージョンに更新することで解決します。詳細は、WordPress が提供する情報を参照してください。

関連文書 (英語)

WordPress
WordPress 5.1.1 Security and Maintenance Release
https://wordpress.org/news/2019/03/wordpress-5-1-1-security-and-maintenance-release/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-20」
https://www.jpcert.or.jp/wr/2019/wr191101.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2019/03/20

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/13/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
– Cisco Common Services Platform Collector 2.8.1.2 より前の 2.8.x 系バージョン

– Cisco Common Services Platform Collector 2.7.2 から 2.7.4.5 まで

– ファームウエア 7.6.2SR2 およびそれ以前のバージョンで動作する Cisco Small Business SPA514G IP Phone
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。なお、Cisco Small Business SPA514G IP Phone については、既にサポートが終了しており、この問題に対する解決策は提供されないとのことです。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Common Services Platform Collector Static Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190313-cspcscv

Cisco Security Advisory

Cisco Small Business SPA514G IP Phones SIP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190313-sip

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-20」
https://www.jpcert.or.jp/wr/2019/wr191101.html

 

複数の VMware 製品に脆弱性

最終更新日: 2019/03/20

情報源

US-CERT Current Activity
VMware Releases Security Updates for Workstation and Horizon
https://www.us-cert.gov/ncas/current-activity/2019/03/15/VMware-Releases-Security-Updates-Workstation-and-Horizon

概要

複数の VMware 製品には、脆弱性があります。結果として、第三者が情報を窃取するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– VMware Workstation 15 系のバージョン (Windows)
– VMware Workstation 14 系のバージョン (Windows)
– VMware Horizon 7 (CR) 系のバージョン (Windows)
– VMware Horizon 7 (ESB) 系のバージョン (Windows)
– VMware Horizon 6 系のバージョン (Windows)

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2019-0002 VMware Workstation update addresses elevation of privilege issues
https://www.vmware.com/security/advisories/VMSA-2019-0002.html

VMware Security Advisories

VMSA-2019-0003 VMware Horizon update addresses Connection Server information disclosure vulnerability
https://www.vmware.com/security/advisories/VMSA-2019-0003.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-20」
https://www.jpcert.or.jp/wr/2019/wr191101.html

 

複数の Adobe 製品に脆弱性

最終更新日: 2019/03/20

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/12/Adobe-Releases-Security-Updates

Adobe

Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1724

概要

複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコードを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Adobe Photoshop CC 20.0.2 およびそれ以前 (Windows, macOS)
– Adobe Photoshop CC 19.1.7 およびそれ以前 (Windows, macOS)
– Adobe Digital Editions 4.5.10.185749 およびそれ以前 (Windows)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe
Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB19-15
https://helpx.adobe.com/jp/security/products/photoshop/apsb19-15.html

Adobe

Adobe Digital Editions に関するセキュリティアップデート公開 | APSB19-16
https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb19-16.html

JPCERT/CC CyberNewsFlash

複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019031301.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-20」
https://www.jpcert.or.jp/wr/2019/wr191101.html

 

複数の Microsoft 製品に脆弱性

最終更新日: 2019/03/20

情報源

US-CERT Current Activity
Microsoft Releases March 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/12/Microsoft-Releases-March-2019-Security-Updates

US-CERT Current Activity

Microsoft Releases Security Update for Azure Linux Guest Agent
https://www.us-cert.gov/ncas/current-activity/2019/03/14/Microsoft-Releases-Security-Update-Azure-Linux-Guest-Agent

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。

– Internet Explorer
– Microsoft Edge
– Microsoft Windows
– Microsoft Office と Microsoft Office SharePoint
– ChakraCore
– Team Foundation Server
– Skype for Business
– Visual Studio
– NuGet
– Azure Linux Guest Agent

この問題は、Microsoft Update などを用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2019 年 3 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/ac45e477-1019-e911-a98b-000d3a33a34d

マイクロソフト株式会社

CVE-2019-0804 | Azure Linux エージェントの情報漏えいの脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0804

JPCERT/CC 注意喚起

2019年 3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190012.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-20」
https://www.jpcert.or.jp/wr/2019/wr191101.html

 

2019年 3月マイクロソフトセキュリティ更新プログラムに関する注意喚起

 JPCERT/CCからの「2019年 3月マイクロソフトセキュリティ更新プログラムに関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0012
JPCERT/CC
2019-03-13
<<< JPCERT/CC Alert 2019-03-13 >>>
2019年 3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190012.html

I.概要

マイクロソフトから 2019年3月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあります。

脆弱性の詳細は、次の URL を参照してください。
2019 年 3 月のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/ac45e477-1019-e911-a98b-000d3a33a34d

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]

※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」のものを挙げています。

CVE-2019-0592

Chakra スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0592
– KB4489899

CVE-2019-0603

Windows 展開サービス TFTP Server のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0603
– KB4489868, KB4489876, KB4489878, KB4489880, KB4489881, KB4489882

KB4489883, KB4489884, KB4489885, KB4489891, KB4489899
CVE-2019-0609

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0609
– KB4489868, KB4489871, KB4489872, KB4489873, KB4489878, KB4489881

KB4489882, KB4489886, KB4489899
CVE-2019-0639

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0639
– KB4489868, KB4489899

CVE-2019-0666

Windows VBScript エンジンのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0666
– KB4489868, KB4489871, KB4489872, KB4489873, KB4489878, KB4489881

KB4489882, KB4489886, KB4489899
CVE-2019-0667

Windows VBScript エンジンのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0667
– KB4489868, KB4489871, KB4489872, KB4489873, KB4489878, KB4489881

KB4489882, KB4489886, KB4489899
CVE-2019-0680

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0680
– KB4489868, KB4489871, KB4489872, KB4489873, KB4489878, KB4489881

KB4489882, KB4489886, KB4489899
CVE-2019-0697

Windows DHCP クライアントのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0697
– KB4489868, KB4489899

CVE-2019-0698

Windows DHCP クライアントのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0698
– KB4489868, KB4489899

CVE-2019-0726

Windows DHCP クライアントのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0726
– KB4489868, KB4489899

CVE-2019-0756

MS XML のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0756
– KB4489868, KB4489871, KB4489872, KB4489876, KB4489878, KB4489880

KB4489881, KB4489882, KB4489883, KB4489884, KB4489885, KB4489886
KB4489891, KB4489899
CVE-2019-0763

Internet Explorer のメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0763
– KB4489868, KB4489871, KB4489872, KB4489873, KB4489878, KB4489881

KB4489882, KB4489886, KB4489899
CVE-2019-0769

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0769
– KB4489868, KB4489871, KB4489872, KB4489882, KB4489886, KB4489899

CVE-2019-0770

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0770
– KB4489868, KB4489871, KB4489872, KB4489882, KB4489886

CVE-2019-0771

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0771
– KB4489868, KB4489871, KB4489872, KB4489882, KB4489886, KB4489899

CVE-2019-0773

スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0773
– KB4489868, KB4489871, KB4489872, KB4489882, KB4489886, KB4489899

CVE-2019-0784

Windows ActiveX のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0784
– KB4489868, KB4489871, KB4489872, KB4489876, KB4489878, KB4489880,

KB4489881, KB4489882, KB4489883, KB4489884, KB4489885, KB4489886,
KB4489891, KB4489899
※今回のセキュリティ更新プログラムには、深刻度「注意」で Adobe Flash Player の修正も含まれています。
なお、マイクロソフトによると、CVE-2019-0797 (重要) および CVE-2019-0808(重要) の脆弱性の悪用を確認しているとのことです。セキュリティ更新プログラムの早期の適用をご検討ください。

II.対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更
新プログラムを早急に適用してください。

Microsoft Update Catalog

https://www.catalog.update.microsoft.com/

Windows Update: FAQ

https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

III.参考情報

マイクロソフト株式会社
2019 年 3 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/ac45e477-1019-e911-a98b-000d3a33a34d

マイクロソフト株式会社

2019 年 3 月のセキュリティ更新プログラム (月例)
https://blogs.technet.microsoft.com/jpsecurity/2019/3/13/201903-security-updates/

マイクロソフト株式会社

Windows Update: FAQ
https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

Google

Disclosing vulnerabilities to protect users across platforms
https://security.googleblog.com/2019/03/disclosing-vulnerabilities-to-protect.html

 

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

Adobe ColdFusion にファイルアップロードの制限が回避される脆弱性

最終更新日: 2019/03/13

情報源

US-CERT Current Activity
Adobe Releases Security Updates for ColdFusion
https://www.us-cert.gov/ncas/current-activity/2019/03/01/Adobe-Releases-Security-Updates-ColdFusion

概要

Adobe ColdFusion には、特定の設定が施された ColdFusion の実行サーバにおいて、ファイルアップロードの制限を回避してファイルをアップロードすることができる脆弱性があります。結果として、ファイルのアップロード先を外部から URL で指定できる場所に設定している場合、遠隔の第三者が任意のコードを実行する可能性があります。
対象となる製品とバージョンは次のとおりです。

– Adobe ColdFusion 2018 Update 2 およびそれ以前
– Adobe ColdFusion 2016 Update 9 およびそれ以前
– Adobe ColdFusion 11 Update 17 およびそれ以前

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC
Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190011.html

関連文書(英語)

アドビシステムズ株式会社

Security updates available for ColdFusion | APSB19-14
https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html

アドビシステムズ株式会社

Security Updates Available for ColdFusion (APSB19-14)
https://blogs.adobe.com/psirt/?p=1715

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-13」
https://www.jpcert.or.jp/wr/2019/wr191001.html