カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Google Chrome に解放済みメモリ使用 (Use-after-free) の脆弱性

最終更新日: 2019/03/13

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/03/07/Google-Releases-Security-Updates-Chrome

概要

Google Chrome には、FileReader における解放済みメモリ使用の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。

– Google Chrome 72.0.3626.121 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。詳細は、Google が提供する情報を参照してください。

関連文書(英語)

Google

Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-13」
https://www.jpcert.or.jp/wr/2019/wr191001.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2019/03/13

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/06/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔またはローカルの第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
影響度 High の脆弱性情報の対象となる製品は次のとおりです。

– Cisco Firepower 4100 Series Next-Generation Firewalls
– Cisco Firepower 9300 Security Appliance
– Cisco MDS 9000 Series Multilayer Switches
– Cisco Nexus 1000V Switch for Microsoft Hyper-V
– Cisco Nexus 1000V Switch for VMware vSphere
– Cisco Nexus 2000 Series Fabric Extenders
– Cisco Nexus 3000 Series Switches
– Cisco Nexus 3500 Series Switches
– Cisco Nexus 3500 Platform Switches
– Cisco Nexus 3600 Platform Switches
– Cisco Nexus 5500 Platform Switches
– Cisco Nexus 5600 Platform Switches
– Cisco Nexus 6000 Series Switches
– Cisco Nexus 7000 Series Switches
– Cisco Nexus 7700 Series Switches
– Cisco Nexus 9000 Series Switches in standalone NX-OS mode

– Cisco Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode

– Cisco Nexus 9500 R-Series Line Cards and Fabric Modules
– Cisco UCS 6200 Series Fabric Interconnects
– Cisco UCS 6300 Series Fabric Interconnects
– Cisco UCS 6400 Series Fabric Interconnects

※上記製品以外にも、影響度 Medium および Informational の複数の脆弱性情報が公開されています。これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco Nexus 9000 Series Switches Standalone NX-OS Mode Tetration Analytics Agent Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-tetra-ace

Cisco Security Advisory

Cisco FXOS and NX-OS Lightweight Directory Access Protocol Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxosldap

Cisco Security Advisory

Cisco NX-OS Software Image Signature Verification Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-sig-verif

Cisco Security Advisory

Cisco NX-OS Software Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-privesca

Cisco Security Advisory

Cisco NX-OS Software Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-privesc

Cisco Security Advisory

Cisco NX-OS Software Bash Shell Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-pe

Cisco Security Advisory

Cisco Nexus 9000 Series Switches Standalone NX-OS Mode Fibre Channel over Ethernet NPV Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-npv-dos

Cisco Security Advisory

Cisco NX-OS Software Netstack Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-netstack

Cisco Security Advisory

Cisco NX-OS Software Unauthorized Filesystem Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-file-access

Cisco Security Advisory

Cisco NX-OS Software Cisco Fabric Services Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-fabric-dos

Cisco Security Advisory

Cisco NX-OS Software Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-escalation

Cisco Security Advisory

Cisco FXOS and NX-OS Software Unauthorized Directory Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-directory

Cisco Security Advisory

Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1613)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1613

Cisco Security Advisory

Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1612)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1612

Cisco Security Advisory

Cisco FXOS and NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1611)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1611

Cisco Security Advisory

Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1607)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1607

Cisco Security Advisory

Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1606)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1606

Cisco Security Advisory

Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1610)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1610

Cisco Security Advisory

Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1609)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1609

Cisco Security Advisory

Cisco NX-OS Software CLI Command Injection Vulnerability (CVE-2019-1608)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-cmdinj-1608

Cisco Security Advisory

Cisco NX-OS Software NX-API Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nxos-NXAPI-cmdinj

Cisco Security Advisory

Cisco NX-OS Software 802.1X Extensible Authentication Protocol over LAN Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nx-os-lan-auth

Cisco Security Advisory

Cisco NX-OS Software Bash Shell Role-Based Access Control Bypass Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nx-os-bash-escal

Cisco Security Advisory

Cisco NX-OS Software NX-API Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-nx-os-api-ex

Cisco Security Advisory

Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Shell Escape Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-aci-shell-escape

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-13」
https://www.jpcert.or.jp/wr/2019/wr191001.html

 

Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起

 JPCERT/CCからの「Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0011
JPCERT/CC
2019-03-04(新規)
2019-03-08(更新)
<<< JPCERT/CC Alert 2019-03-04 >>>
Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190011.html

I.概要

2019年3月1日 (米国時間)、アドビから ソフトウェアの開発に使われるアプリケーションフレームワーク Adobe ColdFusion のセキュリティアップデート(CVE-2019-7816/APSB19-14) が公開されました。攻撃者が本脆弱性を悪用することで、ファイルアップロードの制限を回避して Web から閲覧可能なディレクトリにファイルをアップロードすることができます。結果として、攻撃者がColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。

** 更新: 2019年 3月 8日追記 *****************************************

本脆弱性を悪用するには、ColdFusion の設定を含めた幾つかの条件に依存します。本注意喚起の公開当初の文面では、脆弱性の悪用が可能な条件が曖昧な表現であったため訂正いたします。

(訂正前)

攻撃者が本脆弱性を悪用することで、ファイルアップロードの制限を回避して Web から閲覧可能なディレクトリにファイルをアップロードすることができます。結果として、攻撃者が ColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。

(訂正後)

攻撃者が本脆弱性を悪用することで、特定の設定が施された ColdFusion の実行サーバにおいて、ファイルアップロードの制限を回避してファイルをアップロードすることができます。ファイルのアップロード先を Web から閲覧可能なディレクトリに指定している場合、そのファイルを遠隔から開くことで攻撃者が ColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。

この度、JPCERT/CC Web フィードバックにお寄せいただきましたコメントを元に修正しました。今後も頂いたご意見を参考にさせていただきます。

*********************************************************************

アドビによると、すでに本脆弱性を悪用した攻撃の報告を受けているとのことです。脆弱性の詳細については、アドビの情報を確認してください。
アドビシステムズ株式会社

Security updates available for ColdFusion | APSB19-14
https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe ColdFusion 2018 Update 2 およびそれ以前

– Adobe ColdFusion 2016 Update 9 およびそれ以前
– Adobe ColdFusion 11 Update 17 およびそれ以前

III.対策

Adobe ColdFusion を次の最新のバージョンに更新してください。

– Adobe ColdFusion 2018 Update 3

– Adobe ColdFusion 2016 Update 10
– Adobe ColdFusion 11 Update 18

IV. 参考情報

アドビシステムズ株式会社
Security updates available for ColdFusion | APSB19-14
https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html

アドビシステムズ株式会社

Security Updates Available for ColdFusion (APSB19-14)
https://blogs.adobe.com/psirt/?p=1715

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________

改訂履歴
2019-03-04 初版
2019-03-08 「I. 概要」の修正

 

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性

最終更新日: 2019/03/06

情報源

Japan Vulnerability Notes JVN#83501605
WordPress 用プラグイン FormCraft におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN83501605/

Japan Vulnerability Notes JVN#97656108

WordPress 用プラグイン Smart Forms におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN97656108/

概要

WordPress 用プラグイン FormCraft および Smart Forms には、クロスサイトリクエストフォージェリの脆弱性があります。結果として、遠隔の第三者がユーザの意図しない操作を行う可能性があります。
対象となる製品およびバージョンは次のとおりです。

– FormCraft 1.2.1 およびそれ以前
– Smart Forms 2.6.15 およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書(英語)

FormCraft

Changelog
https://wordpress.org/plugins/formcraft-form-builder/#developers

Smart Forms

Changelog
https://wordpress.org/plugins/smart-forms/#developers

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-06」
https://www.jpcert.or.jp/wr/2019/wr190901.html

 

OpenSSL にパディングオラクル攻撃の脆弱性

最終更新日: 2019/03/06

情報源

US-CERT Current Activity
OpenSSL Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/02/26/OpenSSL-Releases-Security-Update

概要

OpenSSL には、パディングオラクル攻撃が可能な脆弱性があります。結果として、遠隔の第三者が通信情報を窃取する可能性があります。
対象となるバージョンは次のとおりです。

– OpenSSL 1.0.2 から 1.0.2q まで

この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョンに更新することで解決します。詳細は、OpenSSL Project が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC
OpenSSL の脆弱性 (CVE-2019-1559) について
https://www.jpcert.or.jp/newsflash/2019022701.html

関連文書(英語)

OpenSSL Project

OpenSSL Security Advisory [26 February 2019]
https://www.openssl.org/news/secadv/20190226.txt

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-06」
https://www.jpcert.or.jp/wr/2019/wr190901.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2019/03/06

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/27/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– RV110W Wireless-N VPN Firewall 1.2.2.1 より前のバージョン
– RV130W Wireless-N Multifunction VPN Router 1.0.3.45 より前のバージョン
– RV215W Wireless-N VPN Router 1.3.1.1 より前のバージョン
– Cisco Webex Meetings Desktop App 33.6.6 より前のバージョン
– Cisco Webex Productivity Tools 32.6.0 以降 かつ 33.0.7 より前のバージョン

この問題は、該当する製品をCisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco RV110W, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex

Cisco Security Advisory

Cisco Webex Meetings Desktop App and Cisco Webex Productivity Tools Update Service Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-wmda-cmdinj

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-03-06」
https://www.jpcert.or.jp/wr/2019/wr190901.html

 

Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起

 JPCERT/CCからの「Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0011
JPCERT/CC
2019-03-04
<<< JPCERT/CC Alert 2019-03-04 >>>
Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190011.html

I.概要

2019年3月1日 (米国時間)、アドビから ソフトウェアの開発に使われるアプリケーションフレームワーク Adobe ColdFusion のセキュリティアップデート(CVE-2019-7816/APSB19-14) が公開されました。攻撃者が本脆弱性を悪用することで、ファイルアップロードの制限を回避して Web から閲覧可能なディレクトリにファイルをアップロードすることができます。結果として、攻撃者がColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。

アドビによると、すでに本脆弱性を悪用した攻撃の報告を受けているとのことです。脆弱性の詳細については、アドビの情報を確認してください。
アドビシステムズ株式会社

Security updates available for ColdFusion | APSB19-14
https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe ColdFusion 2018 Update 2 およびそれ以前

– Adobe ColdFusion 2016 Update 9 およびそれ以前
– Adobe ColdFusion 11 Update 17 およびそれ以前

III.対策

Adobe ColdFusion を次の最新のバージョンに更新してください。

– Adobe ColdFusion 2018 Update 3

– Adobe ColdFusion 2016 Update 10
– Adobe ColdFusion 11 Update 18

IV. 参考情報

アドビシステムズ株式会社
Security updates available for ColdFusion | APSB19-14
https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html

アドビシステムズ株式会社

Security Updates Available for ColdFusion (APSB19-14)
https://blogs.adobe.com/psirt/?p=1715

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

Adobe Acrobat および Reader に情報漏えいの脆弱性

最終更新日: 2019/02/27

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/21/Adobe-Releases-Security-Updates

概要

Adobe Acrobat および Reader には、情報漏えいの脆弱性があります。結果として、遠隔の第三者が機微な情報を取得する可能性があります。
対象となるバージョンは次のとおりです。

– Adobe Acrobat Reader DC Continuous (2019.010.20091) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30120) およびそれ以前 (Windows)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30475) およびそれ以前 (Windows)
– Adobe Acrobat DC Continuous (2019.010.20091) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30120) およびそれ以前 (Windows)
– Adobe Acrobat DC Classic 2015 (2015.006.30475) およびそれ以前 (Windows)

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新することで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB19-13) に関する注意喚起

https://www.jpcert.or.jp/at/2019/at190008.html

アドビシステムズ株式会社

Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-13
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-13.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-02-27」
https://www.jpcert.or.jp/wr/2019/wr190801.html

複数の Cisco 製品に脆弱性

最終更新日: 2019/02/27

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/20/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が権限昇格などを行う可能性があります。
影響度 High の脆弱性情報の対象となる製品およびバージョンは次のとおりです。

– Cisco Container Platform
– Cisco Cloudlock
– Cisco Defense Orchestrator
– Cisco Prime Infrastructure Software 2.2 から 3.4.0 までのバージョン
– Cisco Prime Collaboration Assurance (PCA) Software 12.1 SP2 より前のバージョン
– Cisco Network Convergence System 1000 シリーズ向けの Cisco IOS XR 6.5.2 より前のバージョン
– Cisco HyperFlex Software 3.5(2a) より前のバージョン

※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。なお、2019年2月26日現在、Cisco Container Platform、Cisco Cloudlock および Cisco Defense Orchestrator 向けの解決策は提供されていません。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Container Privilege Escalation Vulnerability Affecting Cisco Products: February 2019

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190215-runc

Cisco Security Advisory

Cisco Prime Infrastructure Certificate Validation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-prime-validation

Cisco Security Advisory

Cisco Prime Collaboration Assurance Software Unauthenticated Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-pca-access

Cisco Security Advisory

Cisco Network Convergence System 1000 Series TFTP Directory Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-ncs

Cisco Security Advisory

Cisco HyperFlex Software Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-hyperflex-injection

Cisco Security Advisory

Cisco HyperFlex Software Unauthenticated Root Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-chn-root-access

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-02-27」
https://www.jpcert.or.jp/wr/2019/wr190801.html

 

ISC BIND 9 に複数の脆弱性

最終更新日: 2019/02/27

情報源

US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2019/02/22/ISC-Releases-Security-Updates-BIND

概要

ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。

– BIND 9.12.0 から 9.12.3-P2 まで
– BIND 9.11.0 から 9.11.5-P2 まで

なお、既にサポートが終了している、BIND 9.9 系および 9.10 系が影響する脆弱性も含まれています。
この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新することで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
ISC BIND 9 に対する複数の脆弱性 (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465) に関する注意喚起

https://www.jpcert.or.jp/at/2019/at190009.html

株式会社日本レジストリサービス (JPRS)

(緊急)BIND 9.xの脆弱性(メモリリークの発生)について(CVE-2018-5744) – フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 –
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-edns-options.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5745)- バージョンアップを推奨 –
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-managed-keys.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性(アクセス制限の不具合によるゾーンデータの流出)について(CVE-2019-6465)- バージョンアップを推奨 –
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-dlz.html

Japan Vulnerability Notes JVNVU#92881878

ISC BIND 9 に複数の脆弱性
https://jvn.jp/vu/JVNVU92881878/

関連文書(英語)

ISC Knowledge Base

CVE-2018-5744: A specially crafted packet can cause named to leak memory
https://kb.isc.org/docs/cve-2018-5744

ISC Knowledge Base

CVE-2018-5745: An assertion failure can occur if a trust anchor rolls over to an unsupported key algorithm when using managed-keys

https://kb.isc.org/docs/cve-2018-5745

ISC Knowledge Base

CVE-2019-6465: Zone transfer controls for writable DLZ zones were not effective
https://kb.isc.org/docs/cve-2019-6465

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-02-27」
https://www.jpcert.or.jp/wr/2019/wr190801.html