SECURITY NEWS (2019/7/18 12:00-2019/7/19 12:00)

2019/7/18 12:00から2019/7/19 12:00までのセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。


総合

 CERT/CC, US-CERT, JPCERT/CC, IPAからの勧告やSecurityFocusのニュースレターなど。


Windows

 WindowsおよびWindows上で動作するアプリケーションに関する情報。


UNIX

 UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
 扱うOS: HP-UX, Red Hat, Ubuntu, SUSE, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

SUSE Linuxのglibc, Linux Kernel (Live Patch 9 for SLE 15), Linux Kernel (Live Patch 0 for SLE 15 SP1), Linux Kernel (Live Patch 2 for SLE 15 SP1), LibreOfficeのセキュリティフィックス [緊急度: ]
影響を受ける製品
SUSE Linux Enterprise Module for Open Buildservice Development Tools 15-SP1, SUSE Linux Enterprise Module for Open Buildservice Development Tools 15, SUSE Linux Enterprise Module for Basesystem 15-SP1, SUSE Linux Enterprise Module for Basesystem 15 (glibc, LibreOffice). SUSE Linux Enterprise Module for Development Tools 15-SP1, SUSE Linux Enterprise Module for Development Tools 15 (glibc). SUSE Linux Enterprise Module for Live Patching 15 (Linux Kernel (Live Patch 9 for SLE 15), Linux Kernel (Live Patch 2 for SLE 15 SP1)). SUSE Linux Enterprise Module for Live Patching 15-SP1 (Linux Kernel (Live Patch 0 for SLE 15 SP1), Linux Kernel (Live Patch 2 for SLE 15 SP1)), SUSE Linux Enterprise Workstation Extension 15-SP1, SUSE Linux Enterprise Workstation Extension 15 (LibreOffice).
詳細
glibcはヒープベースのバッファオーバーフローの1件の脆弱性とDoS攻撃の1件の脆弱性を、Linux Kernel (Live Patch 9 for SLE 15)はTCP処理部のDoS攻撃の2件のリモート脆弱性と権限昇格の1件の脆弱性を、Linux Kernel (Live Patch 0 for SLE 15 SP1)はTCP処理部のDoS攻撃の2件のリモート脆弱性を、Linux Kernel (Live Patch 2 for SLE 15 SP1)は回帰エラーを、LibreOfficeはディレクトリトラバーサルの1件の脆弱性をそれぞれフィックスしています。
解決法
文書に従って更新を行ってください。
JVNVU#99222951: Oracle Solaris 11, 10に脆弱性 [緊急度: ]
影響を受ける製品
Oracle Solaris 10, 11.
詳細
/proc/selfにアクセスすることで任意のコードを実行可能な1件の脆弱性が存在します。
解決法
アップデートが用意されています。入手し適用してください。

Mac

 MacおよびMac上で動作するアプリケーションに関する情報。


Applications

 プラットホームに依存しない各種アプリケーションに関する情報。
 扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

Cisco Systemsがセキュリティアドバイザリをリリース [緊急度: ]
影響を受ける製品
Cisco社製品。
詳細
複数のセキュリティアドバイザリがリリースされています。
解決法
各文書の指示に従ってください。
Drupal coreにセキュリティアドバイザリ SA-CORE-2019-008 [緊急度: ]
影響を受ける製品
Drupal 8.7.4.
詳細
Workspacesモジュールにアクセス制限バイパス可能な1件の脆弱性をフィックスしています。
解決法
Drupal 8.7.5が用意されています。入手しインストールしてください。手動操作が必要となります。文書を参照してください。
Wireshark 3.0.3, 2.6.10, 2.4.16がリリース [緊急度: ]
影響を受ける製品
Wireshark.
詳細
ASN.1 BER処理部のDoS攻撃の1件の脆弱性をそれぞれフィックスしています。
解決法
入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダからの情報に注意してください。
Jenkins Security Advisory 2019-07-17 [緊急度: ]
影響を受ける製品
Jenkins (core).
詳細
任意のファイルに上書き可能な1件の脆弱性とCSRFトークンが期限切れにならない1件の脆弱性と不正なview fragmentへのアクセスの1件の脆弱性をフィックスしています。
解決法
脆弱性を解決したJenkins weekly 2.186, Jenkins LTS 2.176.2が用意されています。入手しアップデートしてください。
BIND 9.11.9, BIND 9.14.4, BIND 9.15.2がリリース (CVE-2019-6471. JVNVU#90363752. JPRS) [緊急度: ]
影響を受ける製品
ISC BIND 9.11.0 - 9.11.7, 9.12.0 - 9.12.4-P1, 9.14.0 - 9.14.2. BIND 9.13 development branchの全てのバージョン。BIND 9.15 development branchの9.15.0. BIND Supported Preview Edition 9.11.3-S1 - 9.11.7-S1..
詳細
DoS攻撃の1件のリモート脆弱性をフィックスしています。
解決法
入手しアップグレードしてください。バイナリパッケージを利用している場合は各OSベンダのアナウンスに注意してください。