JPCERT コーディネーションセンター

Weekly Report 2017-12-13号

JPCERT-WR-2017-4801
JPCERT/CC
2017-12-13

<<< JPCERT/CC WEEKLY REPORT 2017-12-13 >>>

■12/03(日)〜12/09(土) のセキュリティ関連情報

目 次

【1】複数の Apple 製品に脆弱性

【2】Microsoft Malware Protection Engine に複数の脆弱性

【3】Mozilla Firefox に複数の脆弱性

【4】Apache Struts 2 に複数の脆弱性

【5】Google Chrome に複数の脆弱性

【6】Fluentd にエスケープシーケンスインジェクションの脆弱性

【7】Windows 版「公的個人認証サービス 利用者クライアントソフト」のインストーラに DLL 読み込みに関する脆弱性

【今週のひとくちメモ】NICT が実践的サイバー演習「サイバーコロッセオ」の実施を発表

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr174801.txt
https://www.jpcert.or.jp/wr/2017/wr174801.xml

【1】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/12/06/Apple-Releases-Security-Updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、ユーザの情報を取得したりするなどの可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- iOS 11.2 より前のバージョン
- tvOS 11.2 より前のバージョン
- watchOS 4.2 より前のバージョン
- macOS High Sierra 10.13.2 より前のバージョン
- macOS Sierra
- OS X El Capitan

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC
macOS High Sierra の設定に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170045.html

関連文書 (英語)

Apple
About the security content of iOS 11.2
https://support.apple.com/en-us/HT208334

Apple
About the security content of tvOS 11.2
https://support.apple.com/en-us/HT208327

Apple
About the security content of watchOS 4.2
https://support.apple.com/en-us/HT208325

Apple
About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan
https://support.apple.com/en-us/HT208331

【2】Microsoft Malware Protection Engine に複数の脆弱性

情報源

US-CERT Current Activity
Microsoft Releases Security Updates for its Malware Protection Engine
https://www.us-cert.gov/ncas/current-activity/2017/12/07/Microsoft-Releases-Security-Updates-its-Malware-Protection-Engine

概要

Microsoft Malware Protection Engine には、複数の脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となる製品は次のとおりです。

- Windows Defender
- Windows Intune Endpoint Protection
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Forefront Endpoint Protection
- Microsoft Endpoint Protection
- Microsoft Security Essentials

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC
Microsoft Malware Protection Engine のリモートでコードが実行される脆弱性(CVE-2017-11937)に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170046.html

関連文書 (英語)

Microsoft
CVE-2017-11937 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-11937

Microsoft
CVE-2017-11940 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-11940

【3】Mozilla Firefox に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/12/07/Mozilla-Releases-Security-Updates

US-CERT Current Activity
Mozilla Releases Security Update for Firefox
https://www.us-cert.gov/ncas/current-activity/2017/12/04/Mozilla-Releases-Security-Update-Firefox

概要

Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が、ユーザの閲覧履歴情報を取得したり、サービス運用妨害 (DoS) 攻撃を行っ
たりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 57.0.2 より前のバージョン
- Mozilla Firefox ESR 52.5.2 より前のバージョン

この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (英語)

Mozilla
Mozilla Foundation Security Advisories (December 7, 2017 & November 29, 2017)
https://www.mozilla.org/en-US/security/advisories/

【4】Apache Struts 2 に複数の脆弱性

情報源

US-CERT Current Activity
Apache Software Foundation Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/12/04/Apache-Software-Foundation-Releases-Security-Updates

概要

Apache Struts 2 には、複数の脆弱性があります。結果として、遠隔の第三者
がサービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache Struts 2.5 から 2.5.14 まで

この問題は、Apache Struts 2 を Apache Software Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は、Apache Software
Foundation が提供する情報を参照してください。

関連文書 (英語)

The Apache Software Foundation
Struts 2.5.14.1
https://struts.apache.org/download.cgi

Apache Struts 2 Documentation
S2-054
https://cwiki.apache.org/confluence/display/WW/S2-054

Apache Struts 2 Documentation
S2-055
https://cwiki.apache.org/confluence/display/WW/S2-055

【5】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2017/12/06/Google-Releases-Security-Update-Chrome

概要

Google Chrome には複数の脆弱性があります。結果として、遠隔の第三者が情
報を取得するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 63.0.3239.84 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2017/12/stable-channel-update-for-desktop.html

【6】Fluentd にエスケープシーケンスインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVNVU#95124098
Fluentd におけるエスケープシーケンスインジェクションの脆弱性
https://jvn.jp/vu/JVNVU95124098/

概要

Fluentd には、エスケープシーケンスインジェクションの脆弱性があります。
結果として、遠隔の第三者が、細工したログを Fluentd に受信させることで、
任意のコマンドを実行したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Fluentd バージョン 0.12.29 から 0.12.40 まで

この問題は、Fluentd を Cloud Native Computing Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は、Cloud Native
Computing Foundation が提供する情報を参照してください。

関連文書 (英語)

Cloud Native Computing Foundation
Release 0.12.41 - 2017/11/15
https://github.com/fluent/fluentd/blob/v0.12/CHANGELOG.md#release-01241---20171115

【7】Windows 版「公的個人認証サービス 利用者クライアントソフト」のインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#30352845
Windows 版 公的個人認証サービス 利用者クライアントソフトのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN30352845/

概要

Windows 版「公的個人認証サービス 利用者クライアントソフト」のインストー
ラには、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意
のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- 公的個人認証サービス 利用者クライアントソフト Ver3.1 およびそれ以前

この問題は、地方公共団体情報システム機構が提供する最新のインストーラで
は解決しています。なお、すでに「公的個人認証サービス 利用者クライアン
トソフト」をインストールしている場合には、この問題の影響はありません。
詳細は地方公共団体情報システム機構が提供する情報を参照してください。

関連文書 (日本語)

地方公共団体情報システム機構
Windowsをご利用の方
https://www.jpki.go.jp/download/win.html

■今週のひとくちメモ

○NICT が実践的サイバー演習「サイバーコロッセオ」の実施を発表

2017年12月7日、情報通信研究機構 (NICT) は、東京2020オリンピック・パラ
リンピック競技大会に向けた実践的サイバー演習「サイバーコロッセオ」を、
2018年2月から実施することを発表しました。この演習は、大会関連組織のセ
キュリティ担当者を対象としており、高度かつ多様な攻撃に対処可能な能力を
有するサイバーセキュリティ人材を育成していくことを目的としています。大
会開催までの 3年間で行われる演習では、大会開催時に想定されるサイバー攻
撃を再現し、攻撃や防御手法の検証および訓練などの実践的なトレーニングが
行われる予定です。

参考文献 (日本語)

情報通信研究機構 (NICT)
東京2020オリンピック・パラリンピック競技大会に向けた実践的サイバー演習「サイバーコロッセオ」の実施について
https://www.nict.go.jp/press/2017/12/07-1.html

情報通信研究機構 (NICT)
攻撃・防御双方の実践的演習「サイバーコロッセオ」
https://colosseo.nict.go.jp/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter