情報基盤センターからのお知らせ

【2018/12/23】セキュリティ機器の緊急保守に伴う全学ネットワーク停止のお知らせ

平素より当センターの活動にご理解とご協力をいただき誠にありがとうございます．

下記のように，学内ネットワーク安定性向上のため，セキュリティ機器の緊急保守を行います．
期間中はすべての学内ネットワークで，学内および学外への通信ができなくなります．

皆様にはご不便をおかけしますが，年明けから年度末の繁忙期に向けて必要な保守となります．
皆様のご理解とご協力をよろしくお願い申し上げます．

記

＜実施期間＞
2018/12/23（日, 祝日） 9:00 - 12:00 （終了次第復帰します）

＜影響＞
すべての学内ネットワークで，学内および学外への通信ができません．

＜作業内容＞

セキュリティ機器の配線変更
通信機器のソフトウェア更新

ブログ記事を読む

【2018/12/11】楽天市場を装ったばらまき型攻撃メールに関する注意喚起a

2018年12月11日に楽天市場を装ったバラマキ型攻撃メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして本文の一部を示します。Fromアドレスは数種類が確認されています。

From: 楽天市場 <rakuten_order@applesupport.shadidphotography.com>
Subject: 【楽天市場】注文内容ご確認（自動配信メール）

リンクをクリックするとZipファイルがダウンロードされます。このZipファイルはマルウェアのダウンローダーです。

このような攻撃メールはリンクをクリックせずに破棄してください。

インターネットの昨今の情勢を考えますと、今後はこのような詐欺メールあるいはフィッシングメール、ばらまき型攻撃メールが続くものと推測されます。決して騙されないようよろしくお願いします。

本学の学生及び教職員の方で万が一ウイルスに感染した疑いがある方はは至急情報基盤センターにご連絡ください。

ブログ記事を読む

【2018/12/11】Amazonを騙りクレジットカード番号等の情報を詐取しようとするメールに関する注意喚起

2018年12月11日にAmazonを騙りクレジットカード番号等を詐取しようとするメールが学内のメールアドレスに送信されてきていることを確認しました。サンプルを示します。

From: "Amazon.co.jp" <store-news@amazon.com>
To: Recipients <store-news@amazon.com>
Subject: あなたは選ばれました！

リンク先は詐欺サイトとして動作しています。

本学の学生及び教職員の方で万が一、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

ブログ記事を読む

SECURITY NEWS (2018/12)

このページにて緊急対応が必要なセキュリティ情報を提供します。
提供する情報は、Windows, UNIX, Macおよび主要なアプリケーションに関するものです。

総合　 Windows　Unix　Mac　アプリケーション

総合

　CERT/CC, US-CERT, JPCERT/CC, IPAからの勧告やSecurityFocusのニュースレターなど。

2018/12/11

SB18-344: Vulnerability Summary for the Week of December 3, 2018: US-CERT発表のセキュリティ情報のサマリです(12月 3日の週)。

2018/12/06

Adobe Flash Player の脆弱性 (APSB18-42) に関する注意喚起: JPCERT/CC発表のAdobe Flash Playerのセキュリティアップデートに関する注意喚起です。
Adobe Flash Player の脆弱性対策について(APSB18-42)(CVE-2018-15982等): IPA発表のAdobe Flash Playerのセキュリティアップデートに関する注意喚起です。

018/12/05

ST18-007: Questions Every CEO Should Ask About Cyber Risks: US-CERT発表のCEOが質問するべきサイバーリスクに関する疑問、です。
JPCERT/CC WEEKLY REPORT 2018-12-05: 【1】Samba に複数の脆弱性
【2】Wireshark に複数の脆弱性
【3】Cisco Prime License Manager に SQL インジェクションの脆弱性
【4】パナソニック製アプリケーションが登録する一部の Windows サービスに脆弱性
【5】EC-CUBE にオープンリダイレクトの脆弱性
【6】RICOH Interactive Whiteboard に複数の脆弱性
【7】マーケットスピードのインストーラに DLL 読み込みに関する脆弱性
【8】Node.js に複数の脆弱性
【9】PowerDNS Recursor にサービス運用妨害 (DoS) の脆弱性
【今週のひとくちメモ】SecurityDay2018開催のお知らせ

2018/12/04

SB18-337: Vulnerability Summary for the Week of November 26, 2018: US-CERT発表のセキュリティ情報のサマリです(11月26日の週)。
AA18-337A: SamSam Ransomware AR18-337A: MAR-10219351.r1.v2 SamSam1, AR18-337B: MAR-10166283.r1.v1 SamSam2, AR18-337C: MAR-10158513.r1.v1 SamSam3, AR18-337D: MAR-10164494.r1.v1 SamSam4: US-CERT発表のSamSam1ランサムウェア及びその亜種に関する注意喚起です。

Windows

　WindowsおよびWindows上で動作するアプリケーションに関する情報。

2018/12/06

iTunes 12.9.2 for Windowsがリリース (JVNVU#92431031) [緊急度: 低]

影響を受ける製品: Windows 7及びそれ以降のバージョン。
詳細: ８件の脆弱性をフィックスしています。
解決法: Apple Software Updateを用いて、あるいは手動でアップデートしてください。

iCloud for Windows 7.9がリリース (JVNVU#92431031) [緊急度: 低]

影響を受ける製品: Windows 7及びそれ以降のバージョン。
詳細: ８件の脆弱性をフィックスしています。
解決法: Apple Software Updateを用いて、あるいは手動でアップデートしてください。

UNIX

　UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
　扱うOS: HP-UX, Red Hat, Ubuntu, SUSE, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

2018/12/11

Red Hat Enterprise Linuxのchromium-browserのセキュリティフィックス [緊急度: 低]

影響を受ける製品: Red Hat Enterprise Linux Server 6 x86_64, Red Hat Enterprise Linux Server 6 i386, Red Hat Enterprise Linux Workstation 6 x86_64, Red Hat Enterprise Linux Workstation 6 i386, Red Hat Enterprise Linux Desktop 6 x86_64, Red Hat Enterprise Linux Desktop 6 i386 (chromium-browser).
詳細: chromium-browserは27件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを利用してください。

SUSE Linuxのcups, systemd, libwpd, audiofile, python, python-base, python-cryptography, python-pyOpenSSL, java-1_8_0-ibm, opensc, soundtouch, samba, glibcのセキュリティフィックス [緊急度: 低]

影響を受ける製品: SUSE Linux Enterprise Module for Development Tools 15, SUSE Linux Enterprise Module for Desktop Applications 15 (cups). SUSE Linux Enterprise Module for Basesystem 15 (cups, samba). SUSE Linux Enterprise Server 12-SP4 (systemd, audiofile, python, python-base, python-cryptography, python-pyOpenSSL, java-1_8_0-ibm, opensc, soundtouch). SUSE Linux Enterprise Software Development Kit 12-SP4 (systemd, libwpd, audiofile, python, python-base, python-cryptography, python-pyOpenSSL, java-1_8_0-ibm, soundtouch). SUSE Linux Enterprise Desktop 12-SP4 (systemd, libwpd, audiofile, python, python-base, python-cryptography, python-pyOpenSSL, opensc, soundtouch). SUSE Linux Enterprise Workstation Extension 12-SP4 (libwpd, python, python-base, soundtouch). SUSE OpenStack Cloud 7, SUSE Linux Enterprise Software Development Kit 12-SP3, SUSE Linux Enterprise Server for SAP 12-SP2, SUSE Linux Enterprise Server 12-SP3, SUSE Linux Enterprise Server 12-SP2-LTSS, SUSE Linux Enterprise Server 12-SP2-BCL, SUSE Linux Enterprise Server 12-SP1-LTSS, SUSE Enterprise Storage 4 (python-cryptography, python-pyOpenSSL, java-1_8_0-ibm). SUSE OpenStack Cloud 6-LTSS, SUSE Linux Enterprise Module for Public Cloud 12, SUSE Linux Enterprise Module for Containers 12, SUSE Linux Enterprise Desktop 12-SP3, SUSE CaaS Platform ALL, SUSE CaaS Platform 3.0, OpenStack Cloud Magnum Orchestration 7 (python-cryptography, python-pyOpenSSL). SUSE Linux Enterprise Module for Packagehub Subpackages 15, SUSE Linux Enterprise Module for Open Buildservice Development Tools 15, SUSE Linux Enterprise High Availability 15 (samba). SUSE Linux Enterprise Software Development Kit 11-SP4, SUSE Linux Enterprise Server 11-SP4, SUSE Linux Enterprise Server 11-SP3-LTSS, SUSE Linux Enterprise Point of Sale 11-SP3, SUSE Linux Enterprise Debuginfo 11-SP4, SUSE Linux Enterprise Debuginfo 11-SP3 (glibc).
詳細: cupsはCSRFの１件の脆弱性を、systemdはdhcpv6処理部のバッファオーバフローの１件のリモート脆弱性と権限昇格が可能な１件の脆弱性を、libwpdはNULLポインタの逆参照の１件の脆弱性を、audiofileはヒープベースのバッファオーバーフローの１件の脆弱性を、python, python-baseはコマンド挿入の１件の脆弱性とDoS攻撃の２件の脆弱性を、python-cryptography, python-pyOpenSSLはメモリ漏洩の１件の脆弱性と解放後メモリ利用の１件の脆弱性を、java-1_8_0-ibmは８件の脆弱性を、openscは10件の脆弱性を、soundtouchはDoS攻撃の３件のリモート脆弱性を、sambaは４件の脆弱性を、glibcはメモリ漏洩の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Ubuntu Linuxのlxml USN-3841-1, USN-3841-2, cupsのセキュリティフィックス [緊急度: 低]

影響を受ける製品: Ubuntu 18.10 (cups). Ubuntu 18.04 LTS, 16.04 LTS, 14.04 LTS (lxml, cups). Ubuntu 12.04 ESM (lxml).
詳細: lxmlはXSSの１件の脆弱性をcupsはCSRFの１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

2018/12/10

SUSE Linuxのrubygem-activejob-5_1, php5, MozillaFirefox, squid, tiff SUSE-SU-2018:3911-2, SUSE-SU-2018:4008-1, libarchive, libreoffice, ncurses, openssl-1_0_0, libgit2, cri-o, kubernetes, ImageMagick, SUSE Manager Server 3.2のセキュリティフィックス [緊急度: 低]

影響を受ける製品: SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 (rubygem-activejob-5_1, openssl-1_0_0, tiff). SUSE Linux Enterprise High Availability 15 (rubygem-activejob-5_1). SUSE Linux Enterprise Software Development Kit 12-SP4 (php5, MozillaFirefox, tiff, libarchive, libreoffice, ImageMagick). SUSE Linux Enterprise Software Development Kit 12-SP3 (php5, ImageMagick). SUSE Linux Enterprise Module for Web Scripting 12 (php5). SUSE Linux Enterprise Software Development Kit 12-SP4, SUSE Linux Enterprise Desktop 12-SP4 (MozillaFirefox, tiff, libarchive, libreoffice, ImageMagick). SUSE Linux Enterprise Server 12-SP4 (MozillaFirefox, squid, tiff, libarchive, ImageMagick). SUSE Linux Enterprise Workstation Extension 12-SP4 (libreoffice, ImageMagick). SUSE Linux Enterprise Module for Legacy Software 15 (ncurses, openssl-1_0_0). SUSE Linux Enterprise Module for Development Tools 15 (ncurses, libgit2). SUSE Linux Enterprise Module for Basesystem 15 (ncurses, tiff). SUSE Linux Enterprise Module for Packagehub Subpackages 15, SUSE Linux Enterprise Module for Desktop Applications 15 (tiff). SUSE CaaS Platform 3.0 (cri-o, kubernetes). SUSE Linux Enterprise Workstation Extension 12-SP3, SUSE Linux Enterprise Server 12-SP3, SUSE Linux Enterprise Desktop 12-SP3 (ImageMagick). SUSE Manager Server 3.2, SUSE Manager Proxy 3.2 (SUSE Manager Server 3.2).
詳細: rubygem-activejob-5_1はアクセス制御に不具合がある１件の脆弱性を、php5はimap_openのスクリプト挿入の１件の脆弱性を、MozillaFirefoxは７件の脆弱性を、squidはXSSの１件の脆弱性とメモリ漏洩の１件の脆弱性を、tiff (SUSE-SU-2018:3911-2)はヒープベースのバッファオーバーフローの１件の脆弱性とNULLポインタの逆参照の１件の脆弱性と境界外メモリ書込の１件の脆弱性を、tiff (SUSE-SU-2018:4008-1)は６件の脆弱性を、libarchiveは７件の脆弱性を、libreofficeは情報漏洩の１件の脆弱性を、ncursesはDoS攻撃の１件の脆弱性を、openssl-1_0_0はタイミング攻撃の２件の脆弱性を、libgit2はスクリプト挿入の１件の脆弱性を、cri-o, kubernetesは整数桁溢れの１件の脆弱性と任意のリクエストを送信可能な１件の脆弱性を、ImageMagickはメモリ漏洩の１件の脆弱性を、SUSE Manager Server 3.2はDoS攻撃の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのlibphp-phpmailer, chromium-browserのセキュリティフィックス [緊急度: 低]

影響を受ける製品: stable (stretch).
詳細: libphp-phpmailerはPHP挿入が可能な１件のリモート脆弱性を、chromium-browserは27件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのphpのセキュリティフィックス [緊急度: 低]

影響を受ける製品: 14.0, 14.1, 14.2, -current.
詳細: ５件の脆弱性をフィックスしています。
解決法: 手動あるいは自動更新エージェントでアップデートしてください。

2018/12/07

Red Hat Enterprise Linuxのflash-pluginとRed Hat Satelliteのjava-1.7.1-ibmとRed Hat OpenStackのopenstack-neutronのセキュリティフィックス [緊急度: 低]

影響を受ける製品: Red Hat Enterprise Linux Server 6 x86_64, Red Hat Enterprise Linux Server 6 i386, Red Hat Enterprise Linux Workstation 6 x86_64, Red Hat Enterprise Linux Workstation 6 i386, Red Hat Enterprise Linux Desktop 6 x86_64, Red Hat Enterprise Linux Desktop 6 i386 (flash-plugin). Red Hat Satellite 5.7 x86_64, Red Hat Satellite 5.7 s390x, Red Hat Satellite 5.6 for RHEL 6 x86_64, Red Hat Satellite 5.6 for RHEL 6 s390x (java-1.7.1-ibm). Red Hat OpenStack 12 x86_64, Red Hat OpenStack for IBM Power 12 ppc64le (openstack-neutron).
詳細: flash-pluginは任意のコードを実行可能な１件のリモート脆弱性を、java-1.7.1-ibmは７件の脆弱性を、openstack-neutronはDoS攻撃の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを利用してください。

SUSE Linuxのkvm SUSE-SU-2018:3975-1, SUSE-SU-2018:3987-1, MozillaFirefox, MozillaFirefox-branding-SLE, llvm4, mozilla-nspr, mozilla-nss, apache2-mod_nss, apache2, openssl-1_0_0, wireshark, php53, php7, compat-openssl097gのセキュリティフィックス [緊急度: 低]

影響を受ける製品: SUSE Linux Enterprise Server 11-SP4 (kvm, php53). SUSE Linux Enterprise Server 11-SP3-LTSS, SUSE Linux Enterprise Point of Sale 11-SP3 (kvm). SUSE Linux Enterprise Software Development Kit 12-SP4 (MozillaFirefox, MozillaFirefox-branding-SLE, llvm4, mozilla-nspr, mozilla-nss, apache2-mod_nss, apache2, openssl-1_0_0, wireshark, php7). SUSE Linux Enterprise Server 12-SP4 (MozillaFirefox, MozillaFirefox-branding-SLE, llvm4, mozilla-nspr, mozilla-nss, apache2-mod_nss, apache2, openssl-1_0_0, wireshark). SUSE Linux Enterprise Desktop 12-SP4 (MozillaFirefox, MozillaFirefox-branding-SLE, llvm4, mozilla-nspr, mozilla-nss, apache2-mod_nss, openssl-1_0_0, wireshark). SUSE Linux Enterprise Software Development Kit 11-SP4 (php53). SUSE Linux Enterprise Debuginfo 11-SP4 (php53, compat-openssl097g). SUSE Linux Enterprise Software Development Kit 12-SP3, SUSE Linux Enterprise Module for Web Scripting 12 (php7). SUSE Linux Enterprise Server for SAP 11-SP4 (compat-openssl097g).
詳細: kvmは７件の脆弱性を、MozillaFirefox, MozillaFirefox-branding-SLE, llvm4, mozilla-nspr, mozilla-nss, apache2-mod_nssは10件の脆弱性を、apache2はHTTP/2処理部のDoS攻撃が可能な１件の脆弱性を、openssl-1_0_0はタイミング攻撃が可能な２件の脆弱性を、wiresharkはMS-WSP, OpcUA処理部のDoS攻撃が可能な２件の脆弱性を、php53, php7はimap_openのスクリプト挿入の１件の脆弱性を、compat-openssl097gはDoS攻撃が可能な１件のリモート脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Ubuntu Linuxのspamassassin, libraw, wavpack, openssl, openssl1.0のセキュリティフィックスとghostscriptのセキュリティフィックスのアップデート [緊急度: 低]

影響を受ける製品: Ubuntu 18.10 (wavpack, openssl, openssl1.0, ghostscript). Ubuntu 18.04 LTS (libraw, wavpack, openssl, openssl1.0, ghostscript). Ubuntu 16.04 LTS, 14.04 LTS (libraw, wavpack, openssl1.0, ghostscript). Ubuntu 12.04 ESM (spamassassin).
詳細: spamassassinはPDFInfoプラグインの任意のコードを実行可能な１件のリモート脆弱性とメタルール処理部の任意のコードを実行可能な１件のローカル脆弱性を、librawは7件の脆弱性を、wavpackはDoS攻撃の２件の脆弱性を、openssl, openssl1.0はサイドチャネル攻撃が可能な３件の脆弱性をそれぞれフィックスしています。ghostscriptは回帰エラーをフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのpolicykit-1のセキュリティフィックス [緊急度: 低]

影響を受ける製品: stable (stretch).
詳細: 認証をバイパス可能な１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2018/12/06

Slackware Linuxのgnutls, nettleのセキュリティフィックス [緊急度: 低]

影響を受ける製品: 14.2, -current.
詳細: 両者ともサイドチャネル攻撃の１件の脆弱性をそれぞれフィックスしています。
解決法: 手動あるいは自動更新エージェントでアップデートしてください。

2018/12/05

Red Hat JBoss MiddlewareのRed Hat Fuse 7.2とRed Hat Ansible Engineのansible RHSA-2018:3770, RHSA-2018:3771, RHSA-2018:3772, RHSA-2018:3773のセキュリティフィックス [緊急度: 低]

影響を受ける製品: Red Hat JBoss Middleware Text-Only Advisories for MIDDLEWARE 1 x86_64 (Red Hat Fuse 7.2). Red Hat Ansible Engine 2.5 x86_64, Red Hat Ansible Engine 2.5 ppc64le, Red Hat Ansible Engine 2.6 x86_64, Red Hat Ansible Engine 2.6 ppc64le, Red Hat Ansible Engine 2 x86_64, Red Hat Ansible Engine 2 ppc64le, Red Hat Ansible Engine 2.7 x86_64, Red Hat Ansible Engine 2.7 ppc64le (ansible).
詳細: Red Hat Fuse 7.2は12件の脆弱性を、ansibleはパスワードが平文でログに記録される１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを利用してください。

SUSE Linuxのmariadb, qemuのセキュリティフィックス [緊急度: 低]

影響を受ける製品: SUSE Linux Enterprise Server 12-LTSS (mariadb). SUSE Linux Enterprise Server 12-SP1-LTSS (qemu).
詳細: mariadbは10件の脆弱性を、qemuは６件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Ubuntu Linuxのlinux-hwe, linux-gcp, popplerのセキュリティフィックス [緊急度: 低]

影響を受ける製品: Ubuntu 18.10, 18.04 LTS, 14.04 LTS (poppler). Ubuntu 16.04 LTS (linux-hwe, linux-gcp, poppler).
詳細: linux-hwe, linux-gcpはACLをバイパスして名前空間の外からリソースにアクセス可能な１件のローカル脆弱性とoverlayfsの情報漏洩の１件の脆弱性を、popplerは５件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

FreeBSDのbhyveのセキュリティフィックス [緊急度: 低]

影響を受ける製品: FreeBSD 11, 11.2.
詳細: bhyve hypervisorの境界外メモリ書き込みにより任意のコードを実行可能な１件の脆弱性をフィックスしています。
解決法: バイナリパッチを利用してください。あるいはパッチを適用しOSをリビルドしてください。

2018/12/04

Red Hat Enterprise Linuxのghostscript RHSA-2018:3760, RHSA-2018:3761とRed Hat Software Collectionsのrh-postgresql10-postgresqlとRed Hat OpenShift Container PlatformのOpenShift Container Platform 3.2, OpenShift Container Platform 3.3, OpenShift Container Platform 3.4, OpenShift Container Platform 3.6, OpenShift Container Platform 3.5のセキュリティフィックス [緊急度: 低]

影響を受ける製品: Red Hat Enterprise Linux Server 6 x86_64, Red Hat Enterprise Linux Server 6 i386, Red Hat Enterprise Linux Workstation 6 x86_64 Red Hat Enterprise Linux Workstation 6 i386, Red Hat Enterprise Linux Desktop 6 x86_64, Red Hat Enterprise Linux Desktop 6 i386, Red Hat Enterprise Linux for IBM z Systems 6 s390x, Red Hat Enterprise Linux for Power, big endian 6 ppc64, Red Hat Enterprise Linux for Scientific Computing 6 x86_64, Red Hat Enterprise Linux Server 7 x86_64, Red Hat Enterprise Linux Server - Extended Update Support 7.6 x86_64, Red Hat Enterprise Linux Server - AUS 7.6 x86_64, Red Hat Enterprise Linux Workstation 7 x86_64, Red Hat Enterprise Linux Desktop 7 x86_64, Red Hat Enterprise Linux for IBM z Systems 7 s390x, Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 7.6 s390x, Red Hat Enterprise Linux for Power, big endian 7 ppc64, Red Hat Enterprise Linux for Power, big endian - Extended Update Support 7.6 ppc64, Red Hat Enterprise Linux for Scientific Computing 7 x86_64, Red Hat Enterprise Linux EUS Compute Node 7.6 x86_64, Red Hat Enterprise Linux for Power, little endian 7 ppc64le, Red Hat Enterprise Linux for Power, little endian - Extended Update Support 7.6 ppc64le, Red Hat Enterprise Linux Server - TUS 7.6 x86_64, Red Hat Enterprise Linux for ARM 64 7 aarch64, Red Hat Enterprise Linux for Power 9 7 ppc64le, Red Hat Enterprise Linux Server (for IBM Power LE) - Update Services for SAP Solutions 7.6 ppc64le, Red Hat Enterprise Linux Server - Update Services for SAP Solutions 7.6 x86_64, Red Hat Enterprise Linux for IBM System z (Structure A) 7 s390 (ghostscript). Red Hat Software Collections (for RHEL Server) 1 for RHEL 7.6 x86_64, Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7.6 s390x, Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7.6 ppc64le, Red Hat Software Collections (for RHEL Server) 1 for RHEL 7.5 x86_64, Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7.5 s390x, Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7.5 ppc64le, Red Hat Software Collections (for RHEL Server) 1 for RHEL 7.4 x86_64, Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7.4 s390x, Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7.4 ppc64le, Red Hat Software Collections (for RHEL Server) 1 for RHEL 7 x86_64, Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7 s390x, Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7 ppc64le, Red Hat Software Collections (for RHEL Server for ARM) 1 aarch64, Red Hat Software Collections (for RHEL Workstation) 1 for RHEL 7 x86_64 (rh-postgresql10-postgresql). Red Hat OpenShift Container Platform 3.2 x86_64 (OpenShift Container Platform 3.2). Red Hat OpenShift Container Platform 3.3 x86_64 (OpenShift Container Platform 3.3). Red Hat OpenShift Container Platform 3.4 x86_64 (OpenShift Container Platform 3.4). Red Hat OpenShift Container Platform 3.6 x86_64 (OpenShift Container Platform 3.6). Red Hat OpenShift Container Platform 3.5 x86_64 (OpenShift Container Platform 3.5).
詳細: ghostscript (RHSA-2018:3760)は任意のシェルコマンドを実行可能な１件の脆弱性を、ghostscript (RHSA-2018:3761)は不完全なセキュリティフィックスの修正を、rh-postgresql10-postgresqlはpg_upgrade及びpg_dumpにSQL挿入が可能な１件の脆弱性を、OpenShift Container Platform 3.2, OpenShift Container Platform 3.3, OpenShift Container Platform 3.4, OpenShift Container Platform 3.6, OpenShift Container Platform 3.5は権限昇格の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを利用してください。

SUSE Linuxのopenssl1, tomcat, ncurses, pam, apache2-mod_jk SUSE-SU-2018:3970-1, SUSE-SU-2018:3969-1, SUSE-SU-2018:3963-1, glib2のセキュリティフィックス [緊急度: 低]

影響を受ける製品: SUSE Linux Enterprise Server 11-SECURITY, SUSE Linux Enterprise Debuginfo 11-SP3 (openssl1). SUSE Linux Enterprise Module for Web Scripting 15, SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 (tomcat). SUSE Linux Enterprise Software Development Kit 12-SP4, SUSE Linux Enterprise Software Development Kit 12-SP3, SUSE Linux Enterprise Server 12-SP4, SUSE Linux Enterprise Desktop 12-SP4, SUSE Linux Enterprise Desktop 12-SP3, SUSE CaaS Platform ALL, SUSE CaaS Platform 3.0, OpenStack Cloud Magnum Orchestration 7 (ncurses). SUSE Linux Enterprise Server 12-SP3 (ncurses, apache2-mod_jk) SUSE Linux Enterprise Module for Development Tools 15, SUSE Linux Enterprise Module for Basesystem 15 (pam). SUSE Linux Enterprise Server 11-SP4, SUSE Linux Enterprise Debuginfo 11-SP4, (apache2-mod_jk, glib2). SUSE Linux Enterprise Module for Server Applications 15 (apache2-mod_jk). SUSE Studio Onsite 1.3, SUSE Linux Enterprise Software Development Kit 11-SP4 (glib2).
詳細: openssl1はタイミングサイドチャネル攻撃の２件の脆弱性とDoS攻撃の１件のリモート脆弱性を、tomcatはオープンリダイレクトの１件の脆弱性を、ncursesはDoS攻撃の１件の脆弱性を、pamはpam_access.soにてホストを指定したIPアドレスが正しく処理されない１件の脆弱性を、apache2-mod_jk (SUSE-SU-2018:3970-1)はパストラバーサルの１件の脆弱性とJkUnmountのルールを無視する１件の脆弱性を、apache2-mod_jk (SUSE-SU-2018:3969-1, SUSE-SU-2018:3963-1)はパストラバーサルの１件の脆弱性を、glib2は境界外メモリ読込の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Ubuntu Linuxのperl USN-3834-1, USN-3834-2, linux (USN-3835-1), linux-gcp (USN-3835-1), linux-kvm (USN-3835-1), linux-raspi2 (USN-3835-1), linux (USN-3836-1), linux-gcp (USN-3836-1), linux-kvm (USN-3836-1), linux-raspi2 (USN-3836-1)のセキュリティフィックス [緊急度: 低]

影響を受ける製品: Ubuntu 18.10, 18.04 LTS (perl, linux, linux-gcp, linux-kvm, linux-raspi2). Ubuntu 16.04 LTS 14.04 LTS, 12.04 ESM (perl).
詳細: perl (USN-3834-1)は４件の脆弱性を、perl (USN-3834-2)はDoS攻撃あるいは任意のコードを実行可能な１件の脆弱性とDoS攻撃の１件の脆弱性を、linux (USN-3835-1), linux-gcp (USN-3835-1), linux-kvm (USN-3835-1), linux-raspi2 (USN-3835-1)は６件の脆弱性を、linux (USN-3836-1), linux-gcp (USN-3836-1), linux-kvm (USN-3836-1), linux-raspi2 (USN-3836-1)はACLをバイパスして名前空間の外からリソースにアクセス可能な１件のローカル脆弱性とoverlayfsの情報漏洩の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Slackware Linuxのmozilla-nssのセキュリティフィックス [緊急度: 低]

影響を受ける製品: 14.0, 14.1, 14.2, -current.
詳細: キャッシュサイドチャネル攻撃の１件の脆弱性をフィックスしています。
解決法: 手動あるいは自動更新エージェントでアップデートしてください。

2018/12/03

SUSE LinuxのLinux Kernelのセキュリティフィックス [緊急度: 低]

影響を受ける製品: SUSE Linux Enterprise Module for Public Cloud 15.
詳細: 22件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Ubuntu Linuxのlinux-aws USN-3832-1, USN-3833-1のセキュリティフィックス [緊急度: 低]

影響を受ける製品: Ubuntu 18.10, 18.04 LTS.
詳細: USN-3832-1は６件の脆弱性を、USN-3833-1はACLをバイパスして名前空間の外からリソースにアクセス可能な１件のローカル脆弱性とoverlayfsの情報漏洩の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのopenssl, tiffのセキュリティフィックス [緊急度: 低]

影響を受ける製品: stable (stretch).
詳細: opensslは５件の脆弱性を、tiffは10件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Mac

　MacおよびMac上で動作するアプリケーションに関する情報。

2018/12/06

macOS Mojave 10.14.2, Security Update 2018-003 High Sierra, Security Update 2018-006 Sierraがリリース (JVNVU#92431031) [緊急度: 低]

影響を受ける製品: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1.
詳細: 合わせて13件の脆弱性をフィックスしています。
解決法: App Storeあるいはシステム環境設定よりアップデートしてください。

Safari 12.0.2がリリース(JVNVU#92431031) [緊急度: 低]

影響を受ける製品: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1.
詳細: ９件の脆弱性をフィックスしています。
解決法: App Storeあるいはシステム環境設定よりアップデートしてください。

Applications

　プラットホームに依存しない各種アプリケーションに関する情報。
　扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

2018/12/07

APSB18-41 Adobe Acrobat, Adobe Readerのセキュリティアップデートの事前予告 [緊急度: 中]

影響を受ける製品: Acrobat DC 2019.008.20081 for Windows, Acrobat Reader DC 2019.008.20081 for Windows, Acrobat DC 2019.008.20080 for macos, Acrobat Reader DC 2019.008.20080 for macos, Acrobat DC 2017.011.30106 for Windows, Acrobat Reader DC 2017.011.30106 for Windows, Acrobat DC 2017.011.30105 for macos, Acrobat Reader DC 2017.011.30105 for macos, Acrobat DC 2015.006.30457 for Windows, Acrobat Reader DC 2015.006.30457 for Windows, Acrobat DC 2015.006.30456 for macos, Acrobat Reader DC 2015.006.30456 for macos及びこれら以前のバージョン。
詳細: Importantに分類される脆弱性をフィックスします。
解決法: 2018年12月11日にアップデートがリリースされる予定です。ベンダーからの情報に注意してください。

i-FILTER Ver.9.50に２件の脆弱性 (JVN#32155106) [緊急度: 低]

影響を受ける製品

i-FILTER Ver.9.50R05及びこれ以前のバージョン。

詳細

XSSの１件の脆弱性とHTTPレスポンス分割攻撃の１件の脆弱性をフィックスしています。

解決法

脆弱性を解決する最新版が用意されています。入手しアップデートしてください。

2018/12/06

APSB18-42 Adobe Flash Playerのセキュリティアップデートがリリース (JPCERT-AT-2018-0048. IPA. JVNVU#99727863) [緊急度: 高]

影響を受ける製品: Windows, Macintosh, Linux向けのAdobe Flash Player Desktop Runtime 31.0.0.153, Google Chrome内蔵のFlash Player 31.0.0.153, IE11, Edge内蔵のFlash Player 31.0.0.153及びこれら以前のバージョン。WindowsのAdobe Flash Player Installer 31.0.0.108及びこれ以前のバージョン。
詳細: 解放後メモリ利用の任意のコードを実行可能な１件の脆弱性とWindows Installerの危険なライブラリロードの１件の脆弱性をフィックスしています。前者は攻撃に利用されていることが観測されています。
解決法: Windows, Macintosh, Linux向けAdobe Flash Player Desktop Runtime 32.0.0.101が用意されています。自動あるいは手動でアップデートしてください。Google Chrome, IE11, Edge向けにはAdobe Flash Player 32.0.0.101が用意されています。WindowsのAdobe Flash Player Installer 31.0.0.122が用意されています。自動あるいは手動でアップデートしてください。

Jenkinsに４件の脆弱性 [緊急度: 低]

影響を受ける製品

Jenkins weekly 2.153及びこれ以前のバージョン。Jenkins LTS 2.138.3及びこれ以前のバージョン。

詳細

４件の脆弱性をフィックスしています。

解決法

脆弱性を解決したJenkins weekly 2.154, Jenkins LTS 2.138.4あるいは2.150.1 が用意されています。入手しアップデートしてください。