カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Drupal に任意のコードが実行可能な脆弱性

最終更新日: 2019/02/27

情報源

US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/21/Drupal-Releases-Security-Updates

概要

Drupal には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。

– Drupal 8.6.10 より前の 8.6 系のバージョン
– Drupal 8.5.11 より前の 8.5 系のバージョン

Drupal によると、次のような条件を満たす場合に本脆弱性の影響を受けるとのことです。
– Drupal 8系で “RESTful Web Services” モジュールを有効にしている

– Drupal 8系で “JSON:API” モジュールを有効にしている
– Drupal 7系で “RESTful Web Services” モジュールを有効にしている
– Drupal 7系で “Services” モジュールを有効にしている

なお、Drupal 8.5 系より前の 8系のバージョンは、サポートが終了しており、今回のセキュリティに関する情報は提供されていません。また、Drupal 7系についても、上記条件を満たす場合は本脆弱性の影響を受けるとのことです。
この問題は、Drupal や Drupal のモジュールをDrupal などが提供する修正済みのバージョンに更新することで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190010.html

関連文書(英語)

Drupal

Drupal core – Highly critical – Remote Code Execution – SA-CORE-2019-003
https://www.drupal.org/sa-core-2019-003

Drupal

SA-CORE-2019-003 Notice of increased risk and Additional exploit path – PSA-2019-02-22
https://www.drupal.org/psa-2019-02-22

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-02-27」
https://www.jpcert.or.jp/wr/2019/wr190801.html

 

ISC BIND 9 に対する複数の脆弱性 (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465) に関する注意喚起

 JPCERT/CCからの「ISC BIND 9 に対する複数の脆弱性 (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0009
JPCERT/CC
2019-02-22
<<< JPCERT/CC Alert 2019-02-22 >>>
ISC BIND 9 に対する複数の脆弱性 (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190009.html

I.概要

ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって named プロセスがメモリを際限なく使用し、結果としてnamed が終了するなどの可能性があります。
なお、ISC は、脆弱性 CVE-2018-5744 に対する深刻度を、「高 (High)」、脆弱性 CVE-2018-5745 及び CVE-2019-6465 に対する深刻度を、「中 (Medium)」、と評価しています。脆弱性の詳細については、ISC の情報を確認してください。

Internet Systems Consortium, Inc. (ISC)

CVE-2018-5744: A specially crafted packet can cause named to leak memory
https://kb.isc.org/docs/cve-2018-5744

Internet Systems Consortium, Inc. (ISC)

CVE-2018-5745: An assertion failure can occur if a trust anchor rolls over to an unsupported key algorithm when using managed-keys
https://kb.isc.org/docs/cve-2018-5745

Internet Systems Consortium, Inc. (ISC)

CVE-2019-6465: Zone transfer controls for writable DLZ zones were not effective
https://kb.isc.org/docs/cve-2019-6465

影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。

II.対象

脆弱性の影響を受けるバージョンは次のとおりです。

– CVE-2018-5744

– 9.12系列 9.12.0 から 9.12.3-P1 まで
– 9.11系列 9.11.3 から 9.11.5-P1 まで

– CVE-2018-5745

– 9.12系列 9.12.0 から 9.12.3-P1 まで
– 9.11系列 9.11.0 から 9.11.5-P1 まで

– CVE-2019-6465

– 9.12系列 9.12.0 から 9.12.3-P2 まで
– 9.11系列 9.11.0 から 9.11.5-P2 まで

※既にサポートが終了している 9.9系及び 9.10系も各脆弱性の影響を受けるとのことです。 詳細については ISC の情報を参照してください。
BIND 9 Security Vulnerability Matrix

https://kb.isc.org/docs/aa-00913

ディストリビュータが提供している BIND をお使いの場合は、使用中の ディストリビュータなどの情報を参照してください。

III.対策

ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

– BIND 9 version 9.12.3-P4

– BIND 9 version 9.11.5-P4

IV. 参考情報

株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(メモリリークの発生)について(CVE-2018-5744) – フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 –
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-edns-options.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5745)- バージョンアップを推奨 –
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-managed-keys.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性(アクセス制限の不具合によるゾーンデータの流出)について(CVE-2019-6465)- バージョンアップを推奨 –
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-dlz.html

Japan Vulnerability Notes JVNVU#92881878

ISC BIND 9 に複数の脆弱性
https://jvn.jp/vu/JVNVU92881878/

Internet Systems Consortium, Inc. (ISC)

CVE-2018-5744: A specially crafted packet can cause named to leak memory
https://kb.isc.org/docs/cve-2018-5744

Internet Systems Consortium, Inc. (ISC)

CVE-2018-5745: An assertion failure can occur if a trust anchor rolls over to an unsupported key algorithm when using managed-keys
https://kb.isc.org/docs/cve-2018-5745

Internet Systems Consortium, Inc. (ISC)

CVE-2019-6465: Zone transfer controls for writable DLZ zones were not effective
https://kb.isc.org/docs/cve-2019-6465

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

Adobe Acrobat および Reader の脆弱性 (APSB19-13) に関する注意喚起

 JPCERT/CCからの「Adobe Acrobat および Reader の脆弱性 (APSB19-13) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0008
JPCERT/CC
2019-02-22
<<< JPCERT/CC Alert 2019-02-22 >>>
Adobe Acrobat および Reader の脆弱性 (APSB19-13) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190008.html

I.概要

アドビから PDF ファイル作成・変換ソフトウエア Adobe Acrobat および PDFファイル閲覧ソフトウエア Adobe Acrobat Reader に関する脆弱性が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、実行ユーザの権限でアクセス可能な情報が詐取される恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ株式会社

Security Updates available for Adobe Acrobat and Reader | APSB19-13
https://helpx.adobe.com/security/products/acrobat/apsb19-13.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Acrobat Reader DC Continuous (2019.010.20091) およびそれ以前 (Windows, macOS)

– Adobe Acrobat Reader DC Classic 2015 (2015.006.30475) およびそれ以前 (Windows)

– Adobe Acrobat DC Continuous (2019.010.20091) およびそれ以前 (Windows, macOS)

– Adobe Acrobat 2017 Classic 2017 (2017.011.30120) およびそれ以前 (Windows)
– Adobe Acrobat DC Classic 2015 (2015.006.30475) およびそれ以前 (Windows)

III.対策

Adobe Acrobat および Reader を次の最新のバージョンに更新してください。

– Adobe Acrobat Reader DC Continuous (2019.010.20098) (Windows, macOS)

– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30127) (Windows)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30482) (Windows)
– Adobe Acrobat DC Continuous (2019.010.20098) (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30127) (Windows)
– Adobe Acrobat DC Classic 2015 (2015.006.30482) (Windows)

更新は、Adobe Acrobat および Reader の起動後、メニューより “ヘルプ (H)”の次に “アップデートの有無をチェック (U)” をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下の URL から 最新の AdobeAcrobat および Reader をダウンロードしてください。詳細は、アドビの情報をご確認ください。
Adobe.com – New downloads

https://supportdownloads.adobe.com/new.jsp

IV. 参考情報

アドビシステムズ株式会社
Security Updates available for Adobe Acrobat and Reader | APSB19-13
https://helpx.adobe.com/security/products/acrobat/apsb19-13.html

アドビシステムズ株式会社

Security updates available for Adobe Acrobat and Reader (APSB19-13)
https://blogs.adobe.com/psirt/?p=1711

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

複数の Intel 製品に脆弱性

最終更新日: 2019/02/21

情報源

Japan Vulnerability Notes JVNVU#99119322
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU99119322/

概要

Intel 製品には、複数の脆弱性があります。結果として、遠隔の第三者が権限を昇格するなどの可能性があります。
対象となる製品は次のとおりです。

– Intel PROSet Wireless Driver
– Intel USB 3.0 eXtensible Host Controller Driver for Microsoft Windows 7
– Intel Unite
– Intel Data Center Manager SDK
– Intel OpenVINO 2018 for Linux

この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新することで解決します。詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)

Intel
INTEL-SA-00169 – Intel PROSet Wireless Driver Denial of Service Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00169.html

Intel

INTEL-SA-00200 – Intel USB 3.0 eXtensible Host Controller Driver Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00200.html

Intel

INTEL-SA-00214 – Intel Unite Privilege Escalation Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00214.html

Intel

INTEL-SA-00215 – Intel Data Center Manager SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00215.html

Intel

INTEL-SA-00222 – Intel OpenVINO 2018 for Linux Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00222.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-02-20」
https://www.jpcert.or.jp/wr/2019/wr190701.html

複数の VMware 製品に脆弱性

最終更新日: 2019/02/21

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/15/VMware-Releases-Security-Updates

概要

複数の VMware 製品には、脆弱性があります。結果として、第三者が、コンテナを起動しているホスト上の runc を上書きし、root 権限で任意のコマンドを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
– VMware Integrated OpenStack with Kubernetes (VIO-K) 5.x 系のバージョン

– VMware PKS (PKS) 1.2.x 系および 1.3.x 系のバージョン
– VMware vCloud Director Container Service Extension (CSE) 1.x 系のバージョン
– vSphere Integrated Containers (VIC) 1.x 系のバージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。なお、2019年2月20日現在、VIO-K 向けのパッチはまだ提供されていません。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2019-0001.2
https://www.vmware.com/security/advisories/VMSA-2019-0001.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-02-20」
https://www.jpcert.or.jp/wr/2019/wr190701.html

runc に権限昇格の脆弱性

最終更新日: 2019/02/21

情報源

US-CERT Current Activity
runc Open-Source Container Vulnerability
https://www.us-cert.gov/ncas/current-activity/2019/02/11/runc-Open-Source-Container-Vulnerability

概要

Docker コンテナ等で使用される runc には、権限昇格の脆弱性があります。結果として、第三者が、コンテナを起動しているホスト上の runc を上書きし、root 権限で任意のコマンドを実行する可能性があります。
各ディストリビューションにおける対象バージョンは次のとおりです。
– Ubuntu : runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1 より前のバージョン

– Debian : runc 0.1.1+dfsg1-2 より前のバージョン
– RedHat Enterprise Linux : docker 1.13.1-91.git07f3374.el7 より前のバージョン
– Amazon Linux : docker 18.06.1ce-7.25.amzn1.x86_64 より前のバージョン
– Docker : docker 18.09.2 より前のバージョン

※上記以外の runc を使用するコンテナサービスも該当する可能性があります。脆弱性の影響については、利用しているコンテナサービスの提供元の情報をご確認ください。
この問題は、該当する製品を修正済みのバージョンに更新することで解決します。詳細は、各ディストリビュータが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
runc の権限昇格の脆弱性 (CVE-2019-5736) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190007.html

関連文書 (英語)

MITRE
CVE-2019-5736
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736

Openwall

CVE-2019-5736: runc container breakout (all versions)
https://www.openwall.com/lists/oss-security/2019/02/11/2

Github (Docker)

docker/docker-ce Release
https://github.com/docker/docker-ce/releases/tag/v18.09.2

AWS

Container Security Issue (CVE-2019-5736)
https://aws.amazon.com/jp/security/security-bulletins/AWS-2019-002/

Github (Azure)

AKS 2019-02-12 – Hotfix Release
https://github.com/Azure/AKS/releases/tag/2019-02-12

Kubernetes

Runc and CVE-2019-5736
https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/

Ubuntu

CVE-2019-5736 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-5736.html

Redhat

runc – Malicious container escape – CVE-2019-5736
https://access.redhat.com/security/vulnerabilities/runcescape

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-02-20」
https://www.jpcert.or.jp/wr/2019/wr190701.html

複数の Mozilla 製品に脆弱性

最終更新日: 2019/02/21

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/02/12/Mozilla-Releases-Security-Updates-Firefox

US-CERT Current Activity

Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/02/14/Mozilla-Releases-Security-Update-Thunderbird

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Mozilla Firefox 65.0.1 より前のバージョン
– Mozilla Firefox ESR 60.5.1 より前のバージョン
– Mozilla Thunderbird 60.5.1 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (英語)

Mozilla
Security vulnerabilities fixed in Firefox 65.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-04/

Mozilla

Security vulnerabilities fixed in Firefox ESR 60.5.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-05/

Mozilla
Security vulnerabilities fixed in Thunderbird 60.5.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-06/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-02-20」
https://www.jpcert.or.jp/wr/2019/wr190701.html

 

複数の Adobe 製品に脆弱性

最終更新日: 2019/02/21

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/12/Adobe-Releases-Security-Updates

Adobe

Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1705

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
– Adobe Flash Player Desktop Runtime (32.0.0.114) およびそれ以前 (Windows, macOS および Linux)
– Adobe Flash Player for Google Chrome (32.0.0.114) およびそれ以前 (Windows, macOS, Linux および Chrome OS)
– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.114) およびそれ以前 (Windows 10 および Windows 8.1)
– Adobe Acrobat Reader DC Continuous (2019.010.20069) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30113) およびそれ以前 (Windows, macOS)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30464) およびそれ以前 (Windows, macOS)

– Adobe Acrobat DC Continuous (2019.010.20069) およびそれ以前 (Windows, macOS)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30113) およびそれ以前 (Windows, macOS)
– Adobe Acrobat DC Classic 2015 (2015.006.30464) およびそれ以前 (Windows, macOS)
– Adobe ColdFusion 2018 Update 1 およびそれ以前
– Adobe ColdFusion 2016 Update 7 およびそれ以前
– Adobe ColdFusion 11 Update 15 およびそれ以前

– Adobe Creative Cloud デスクトップアプリケーション (インストーラ) 4.7.0.400 およびそれ以前 (Windows)
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB19-07) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190004.html

JPCERT/CC 注意喚起

Adobe Flash Player の脆弱性 (APSB19-06) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190005.html

JPCERT/CC CyberNewsFlash

複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019021301.html

Adobe

Flash Player に関するセキュリティアップデート公開 | APSB19-06
https://helpx.adobe.com/jp/security/products/flash-player/apsb19-06.html

Adobe

Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-07
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-07.html

Adobe

ColdFusion に関するセキュリティアップデート公開 | APSB19-10
https://helpx.adobe.com/jp/security/products/coldfusion/apsb19-10.html

Adobe

Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB19-11
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb19-11.html

Japan Vulnerability Notes JVN#50810870

Creative Cloud Desktop Application のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN50810870/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-02-20」
https://www.jpcert.or.jp/wr/2019/wr190701.html

 

複数の Microsoft 製品に脆弱性

最終更新日: 2019/02/21

情報源

US-CERT Current Activity
Microsoft Releases February 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/12/Microsoft-Releases-February-2019-Security-Updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。

– Internet Explorer
– Microsoft Edge
– Microsoft Windows
– Microsoft Office、Microsoft Office Services および Web Apps
– ChakraCore
– .NET Framework
– Microsoft Exchange Server
– Microsoft Visual Studio
– Azure IoT SDK
– Microsoft Dynamics
– Team Foundation Server
– Visual Studio Code

この問題は、Microsoft Update などを用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2019 年 2 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

JPCERT/CC 注意喚起

2019年 2月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190006.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-02-20」
https://www.jpcert.or.jp/wr/2019/wr190701.html

 

runc の権限昇格の脆弱性 (CVE-2019-5736) に関する注意喚起

 JPCERT/CCからの「runc の権限昇格の脆弱性 (CVE-2019-5736) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0007
JPCERT/CC
2019-02-14
<<< JPCERT/CC Alert 2019-02-14 >>>
runc の権限昇格の脆弱性 (CVE-2019-5736) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190007.html

I.概要

2019年2月12日 (現地時間) に Docker コンテナ等で使用する runc に関する脆弱性 (CVE-2019-5736) が公開されました。本脆弱性を悪用して細工したコンテナをユーザが実行した場合、ホスト上の runc バイナリが意図せず上書きされます。結果として、コンテナが起動しているホスト上で root 権限でコマンドが実行される恐れがあります。

JPCERT/CC では本脆弱性に関する実証コードが公開されていることを確認したため、注意喚起として改めて発行いたします。

II.対象

対象となるバージョンは次のとおりです。

– runc 1.0-rc6 およびそれ以前
また、各ディストリビューションにおける本脆弱性の影響を受けるバージョンは次のとおりです。
– Ubuntu : runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1 より前のバージョン

– Debian : runc 0.1.1+dfsg1-2 より前のバージョン
– RedHat Enterprise Linux : docker 1.13.1-91.git07f3374.el7 より前のバージョン
– Amazon Linux : docker 18.06.1ce-7.25.amzn1.x86_64 より前のバージョン
– Docker : docker 18.09.2 より前のバージョン

※上記以外の runc を使用するコンテナサービスも該当する可能性があります。脆弱性の影響については、利用しているコンテナサービスの提供元の情報をご確認ください。

III.対策

各ディストリビュータの情報を参考に対策済みのバージョンに更新してください。

– Ubuntu : runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1

– Debian : runc 0.1.1+dfsg1-2
– RedHat Enterprise Linux : docker 1.13.1-91.git07f3374.el7
– Amazon Linux : docker 18.06.1ce-7.25.amzn1.x86_64
– Docker : docker 18.09.2

※これら以外のディストリビュータを使用している場合は、各ディストリビュータからの情報にご注意ください。

 

IV. 参考情報

MITRE
CVE-2019-5736
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736

Openwall

CVE-2019-5736: runc container breakout (all versions)
https://www.openwall.com/lists/oss-security/2019/02/11/2

Github (Docker)

docker/docker-ce Release
https://github.com/docker/docker-ce/releases/tag/v18.09.2

AWS

Container Security Issue (CVE-2019-5736)
https://aws.amazon.com/jp/security/security-bulletins/AWS-2019-002/

Github (Azure)

AKS 2019-02-12 – Hotfix Release
https://github.com/Azure/AKS/releases/tag/2019-02-12

Kubernetes

Runc and CVE-2019-5736
https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/

Ubuntu

CVE-2019-5736 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-5736.html

Redhat

runc – Malicious container escape – CVE-2019-5736
https://access.redhat.com/security/vulnerabilities/runcescape

JPCERT/CC

Docker 等で使用する runc の権限昇格に関する脆弱性 (CVE-2019-5736) について
https://www.jpcert.or.jp/newsflash/2019021201.html

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/