SECURITY NEWS (2020/5/26 12:00-2020/5/27 14:15)

2020/5/26 12:00から2020/5/27 14:15までのセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。


総合

 CERT/CC, US-CERT, JPCERT/CC, IPAからの勧告やSecurityFocusのニュースレターなど。

JPCERT/CC WEEKLY REPORT 2020-05-27
【1】ISC BIND 9 に複数の脆弱性
【2】Windows DNS Server にサービス運用妨害 (DoS) の脆弱性
【3】Google Chrome に複数の脆弱性
【4】vCloud Director にコードインジェクションの脆弱性
【5】複数の Adobe 製品に脆弱性
【6】Apache Tomcat に安全でないデシリアライゼーションの問題
【7】Apple Xcode における脆弱性に対するアップデート
【8】複数の Cisco 製品に脆弱性
【9】Drupal に複数の脆弱性
【10】WordPress 用プラグイン Paid Memberships Pro に SQL インジェクションの脆弱性
【今週のひとくちメモ】日本シーサート協議会が「シーサートワークショップ 〜加盟希望組織向け説明会〜(オンライン)2020 年 4 月開催報告」を公開

Windows

 WindowsおよびWindows上で動作するアプリケーションに関する情報。

iCloud for Windows 7.19がリリース [緊急度: ]
影響を受ける製品
Windows 7及びそれ以降のバージョン。
詳細
12件の脆弱性をフィックスしています。
解決法
Apple Software Updateを用いて、あるいは手動でアップデートしてください。
iCloud for Windows 11.2がリリース [緊急度: ]
影響を受ける製品
Windows 10.
詳細
12件の脆弱性をフィックスしています。
解決法
Microsoft Storeを用いてアップデートしてください。
Windows Migration Assistant 2.2.0.0 (v. 1A11)がリリース [緊急度: ]
影響を受ける製品
macOS Catalina.
詳細
危険なDLLロードの1件の脆弱性をフィックスしています。
解決法
手動でアップデートしてください。

UNIX

 UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
 扱うOS: HP-UX, Red Hat, Ubuntu, SUSE, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのipmitool RHSA-2020:2284, RHSA-2020:2276, HSA-2020:2286, kernel RHSA-2020:2285, RHSA-2020:2277, RHSA-2020:2289, ruby, kpatch-patchとRed Hat Software Collectionsのdevtoolset-9-gcc, rh-haproxy18-haproxy, httpd24-httpd, httpd24-mod_md, rh-maven35-jackson-databindとRed Hat Enterprise Linux Fast Datapathのopenvswitch2.13, openvswitch2.11 RHSA-2020:2296, RHSA-2020:2297, openvswitchのセキュリティフィックス [緊急度: ]
影響を受ける製品
Red Hat Enterprise Linux Server - AUS 7.2 x86_64 (ipmitool, kernel). Red Hat Enterprise Linux Server - AUS 7.3 x86_64, Red Hat Enterprise Linux Server - TUS 7.3 x86_64, Red Hat Enterprise Linux Server (for IBM Power LE) - Update Services for SAP Solutions 7.3 ppc64le, Red Hat Enterprise Linux Server - Update Services for SAP Solutions 7.3 x86_64 (ipmitool, kernel). Red Hat Enterprise Linux for x86_64 - Extended Update Support 7.6 x86_64, Red Hat Enterprise Linux Server - AUS 7.6 x86_64, Red Hat Enterprise Linux Server - TUS 7.6 x86_64, Red Hat Enterprise Linux Server - Update Services for SAP Solutions 7.6 x86_64 (ipmitool, ruby, kernel, kpatch-patch). Red Hat Enterprise Linux for Power, little endian - Extended Update Support 7.6 ppc64le (kernel, kpatch-patch). Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 7.6 s390x, Red Hat Enterprise Linux for Power, big endian - Extended Update Support 7.6 ppc64, Red Hat Enterprise Linux EUS Compute Node 7.6 x86_64, Red Hat Enterprise Linux Server (for IBM Power LE) - Update Services for SAP Solutions 7.6 ppc64le, Red Hat Virtualization Host - Extended Update Support 4.2 for RHEL 7.6 x86_64 (kernel). Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7.7 s390x, Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7.7 ppc64le, Red Hat Software Collections (for RHEL Server for IBM Power) 1 for RHEL 7.7 ppc64, Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7.6 s390x, Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7.6 ppc64le, Red Hat Software Collections (for RHEL Server for IBM Power) 1 for RHEL 7.6 ppc64, Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7 s390x, Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7 ppc64le, Red Hat Software Collections (for RHEL Server for IBM Power) 1 for RHEL 7 ppc64, Red Hat Software Collections (for RHEL Server for ARM) 1 aarch64 (devtoolset-9-gcc, rh-maven35-jackson-databind). Red Hat Software Collections (for RHEL Server) 1 for RHEL 7.7 x86_64, Red Hat Software Collections (for RHEL Server) 1 for RHEL 7.6 x86_64, Red Hat Software Collections (for RHEL Server) 1 for RHEL 7 x86_64 (devtoolset-9-gcc, rh-haproxy18-haproxy, rh-maven35-jackson-databind). Red Hat Software Collections (for RHEL Workstation) 1 for RHEL 7 x86_64 (devtoolset-9-gcc, rh-haproxy18-haproxy, httpd24-httpd, httpd24-mod_md, rh-maven35-jackson-databind). Red Hat Software Collections (for RHEL Workstation) 1 for RHEL 6 x86_64 (httpd24-httpd, httpd24-mod_md). Red Hat Enterprise Linux Fast Datapath 8 x86_64, Red Hat Enterprise Linux Fast Datapath (for RHEL Server for IBM Power LE) 8 ppc64le, Red Hat Enterprise Linux Fast Datapath (for IBM z Systems) 8 s390x (openvswitch2.13, openvswitch2.11). Red Hat Enterprise Linux Fast Datapath (for IBM z Systems) 7 s390x (openvswitch2.11, openvswitch). Red Hat Enterprise Linux Fast Datapath 7 x86_64, Red Hat Virtualization - Extended Update Support 4.2 for RHEL 7.6 x86_64, Red Hat Enterprise Linux Fast Datapath (for RHEL Server for IBM Power LE) 7 ppc64le (openvswitch).
詳細
ipmitoolはバッファオーバーフローの1件の脆弱性を、kernel (RHSA-2020:2285, RHSA-2020:2277)はメモリ二重解放の1件の脆弱性と解放後メモリ利用の1件の脆弱性とNULLポインタの逆参照の1件の脆弱性を、kernel (RHSA-2020:2289)は5件の脆弱性を、rubyはWEBrickのHTTPレスポンス分割攻撃の1件の脆弱性とString#unpackのバッファアンダーリードの1件の脆弱性を、kpatch-patchは解放後メモリ利用の1件の脆弱性とNULLポインタの逆参照の1件の脆弱性を、devtoolset-9-gccはPOWER9の不十分な乱数生成の1件の脆弱性を、rh-haproxy18-haproxyはHTTPスマグリング攻撃の1件の脆弱性とHTTPヘッダ挿入攻撃の1件の脆弱性を、httpd24-httpd, httpd24-mod_mdはmod_rewriteのオープンリダイレクトの2件の脆弱性を、rh-maven35-jackson-databindは危険なデシリアラズ化の2件の脆弱性を、openvswitch2.13は5件の脆弱性を、openvswitch2.11は整数桁溢れの1件の脆弱性と整数切り捨ての1件の脆弱性と入力の検証不備の1件の脆弱性を、openvswitchはは整数桁溢れの1件の脆弱性と整数切り捨ての1件の脆弱をそれぞれフィックスしています。
解決法
文書に従って更新を行ってください。
Ubuntu Linuxのthunderbirdのセキュリティフィックス [緊急度: ]
影響を受ける製品
Ubuntu 20.04 LTS, 19.10, 18.04 LTS, 16.04 LTS.
詳細
5件の脆弱性をそれぞれフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップデートを行なってください。

Mac

 MacおよびMac上で動作するアプリケーションに関する情報。

Safari 13.1.1がリリース [緊急度: ]
影響を受ける製品
macOS Mojave, macOS High Sierra, macOS Catalina.
詳細
10件の脆弱性をフィックスしています。
解決法
App Storeあるいはシステム環境設定よりアップデートしてください。
macOS Catalina 10.15.5, Security Update 2020-003 Mojave, Security Update 2020-003 High Sierraがリリース [緊急度: ]
影響を受ける製品
macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.4.
詳細
48件の脆弱性をフィックスしています。
解決法
システム環境設定あるいはAppStoreよりアップデートしてください。

Applications

 プラットホームに依存しない各種アプリケーションに関する情報。
 扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。