SECURITY NEWS (2019/7/17 12:00-2019/7/18 12:00)

2019/7/17 12:00から2019/7/18 12:00までのセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。


総合

 CERT/CC, US-CERT, JPCERT/CC, IPAからの勧告やSecurityFocusのニュースレターなど。

JPCERT/CC WEEKLY REPORT 2019-07-18
【1】複数の Microsoft 製品に脆弱性
【2】複数の Mozilla 製品に脆弱性
【3】複数の Intel 製品に脆弱性
【4】複数の Adobe 製品に脆弱性
【5】複数の Cisco 製品に脆弱性
【6】複数の Juniper 製品に脆弱性
【7】Jira Server および Data Center にサーバサイドテンプレートインジェクションの脆弱性
【今週のひとくちメモ】制御システムセキュリティカンファレンス2020講演募集
Oracle Java の脆弱性対策について(CVE-2019-7317等)
IPA発表のOracle Javaの脆弱性対策に関する注意喚起です。

Windows

 WindowsおよびWindows上で動作するアプリケーションに関する情報。


UNIX

 UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
 扱うOS: HP-UX, Red Hat, Ubuntu, SUSE, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

SUSE LinuxのMozillaFirefox SUSE-SU-2019:1861-1, SUSE-SU-2019:14124-1, SUSE-SU-2019:1869-1, ardana, crowbar, tomcat, libxslt, Linux Kernelのセキュリティフィックス [緊急度: ]
影響を受ける製品
SUSE OpenStack Cloud 8 (MozillaFirefox, ardana, crowbar). SUSE Linux Enterprise Server 12-SP4 (MozillaFirefox, tomcat, libxslt). SUSE Linux Enterprise Software Development Kit 12-SP4, SUSE Linux Enterprise Desktop 12-SP4, SUSE CaaS Platform 3.0 (MozillaFirefox, libxslt). SUSE Linux Enterprise Server for SAP 12-SP1, SUSE Linux Enterprise Server 12-SP1-LTSS (MozillaFirefox, Linux Kernel). SUSE OpenStack Cloud 7, SUSE Linux Enterprise Software Development Kit 12-SP5, SUSE Linux Enterprise Server for SAP 12-SP3, SUSE Linux Enterprise Server for SAP 12-SP2, SUSE Linux Enterprise Server 12-SP5, SUSE Linux Enterprise Server 12-SP3-LTSS, SUSE Linux Enterprise Server 12-SP3-BCL, SUSE Linux Enterprise Server 12-SP2-LTSS, SUSE Linux Enterprise Server 12-SP2-BCL, SUSE Linux Enterprise Desktop 12-SP5, SUSE Enterprise Storage 5, SUSE Enterprise Storage 4, SUSE Linux Enterprise Server 11-SP4-LTSS, SUSE Linux Enterprise Module for Server Applications 15-SP1, SUSE Linux Enterprise Module for Open Buildservice Development Tools 15-SP1, SUSE Linux Enterprise Module for Open Buildservice Development Tools 15, SUSE Linux Enterprise Module for Desktop Applications 15-SP1, SUSE Linux Enterprise Module for Desktop Applications 15, SUSE Linux Enterprise Module for Basesystem 15-SP1, SUSE Linux Enterprise Module for Basesystem 15 (MozillaFirefox). SUSE OpenStack Cloud Crowbar 8, HPE Helion Openstack 8 (ardana, crowbar). SUSE Linux Enterprise Module for Public Cloud 12 (Linux Kernel).
詳細
MozillaFirefox (SUSE-SU-2019:1861-1, SUSE-SU-2019:1869-1)は10件の脆弱性を、MozillaFirefox (SUSE-SU-2019:14124-1)は12件の脆弱性を、ardana, crowbarは5件の脆弱性を、tomcatはDoS攻撃の2件の脆弱性とXSSの1件の脆弱性を、libxsltは情報漏洩の2件の脆弱性を、Linux Kernelは7件の脆弱性をそれぞれフィックスしています。
解決法
文書に従って更新を行ってください。
Ubuntu Linuxのsquid3, libreoffice, thunderbird, wavpackのセキュリティフィックス [緊急度: ]
影響を受ける製品
Ubuntu 19.04, 18.04 LTS, 16.04 LTS (libreoffice, thunderbird). Ubuntu 18.10 (thunderbird). Ubuntu 12.04 ESM (squid3).
詳細
squid3はDoS攻撃の2件の脆弱性とXSSの1件の脆弱性を、libreofficeは任意のコードを実行可能な1件の脆弱性とステレスモードが箇条書き記号に適用されない1件のリモート脆弱性を、thunderbirdは10件の脆弱性をそれぞれフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップデートを行なってください。

Mac

 MacおよびMac上で動作するアプリケーションに関する情報。


Applications

 プラットホームに依存しない各種アプリケーションに関する情報。
 扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

Windows Defender Application Controlをバイパス可能な脆弱性 (US-CERT) [緊急度: ]
影響を受ける製品
PowerShell Core 6.2.2及びそれ以前のバージョン。
詳細
Windows Defender Application Controlのバイパスの脆弱性によりPowerShell Core Constrained Language Modeを迂回して実行可能な脆弱性が存在します。
解決法
脆弱性を解決したPowerShell Core 6.1.5, 6.2.2が用意されています。入手しアップデートしてください。