<<< JPCERT/CC WEEKLY REPORT 2018-08-08 >>>

■07/29(日)〜08/04(土) のセキュリティ関連情報

目　次

【1】Cisco Prime Collaboration Provisioning に検証不備の脆弱性

【2】Drupal に認証回避の脆弱性

【3】GROWI に複数の脆弱性

【4】mingw-w64 が生成する実行ファイルに ASLR が機能しない問題

【5】JPCERT/CC が「ランサムウエアの脅威動向および被害実態調査報告書」を公開

【今週のひとくちメモ】STOP! パスワード使い回し!キャンペーン2018

【1】Cisco Prime Collaboration Provisioning に検証不備の脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2018/08/01/Cisco-Releases-Security-Update

概要

Cisco Prime Collaboration Provisioning には、パスワード変更要求に対す
る検証不備の脆弱性があります。結果として、遠隔の第三者がサービス運用妨
害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Cisco Prime Collaboration Provisioning 12.2 およびそれ以前

この問題は、Cisco Prime Collaboration Provisioning を Cisco が提供する
修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供す
る情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Prime Collaboration Provisioning Unauthorized Password Change Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180801-pcp-dos

【2】Drupal に認証回避の脆弱性

情報源

US-CERT Current Activity
Drupal Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2018/08/02/Drupal-Releases-Security-Update

概要

Drupal が使用する Symfony ライブラリには、認証回避の脆弱性があります。
結果として、遠隔の第三者がセキュリティ機能をバイパスする可能性がありま
す。

対象となるバージョンは次のとおりです。

- Drupal 8.5.6 より前の 8系のバージョン

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal Core - 3rd-party libraries -SA-CORE-2018-005
https://www.drupal.org/SA-CORE-2018-005

Symfony
CVE-2018-14773: Remove support for legacy and risky HTTP headers
https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers

【3】GROWI に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#18716340
GROWI における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN18716340/

概要

GROWI には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザ
のウェブブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- GROWI v.3.1.11 およびそれ以前

この問題は、GROWI を株式会社WESEEK が提供する修正済みのバージョンに更
新することで解決します。詳細は、株式会社WESEEK が提供する情報を参照し
てください。

関連文書 (日本語)

株式会社WESEEK
GROWI 脆弱性対応のお知らせ (JVN#18716340)
https://weseek.co.jp/security/2018/07/31/growi-prevent-xss/

【4】mingw-w64 が生成する実行ファイルに ASLR が機能しない問題

情報源

CERT/CC Vulnerability Note VU#307144
mingw-w64 by default produces executables that opt in to ASLR, but are not compatible with ASLR
https://www.kb.cert.org/vuls/id/307144

概要

mingw-w64 がデフォルト状態で生成する Windows 実行ファイルは、リロケー
ションテーブルを持たないため、ASLR (アドレス空間配置のランダム化) が適
切に機能しない問題があります。結果として、実行ファイルに存在する種々の
脆弱性が悪用されやすい状態となります。

対象となる製品は次のとおりです。

- mingw-w64

2018年8月7日現在、この問題に対する解決策は提供されていません。次の回避
策を適用することで、本問題の影響を軽減することが可能です。

- 影響を受けるプログラムのソースコードにおける main 関数の前に、「__declspec(dllexport)」の 1行を加える

詳細は、開発者や各ベンダが提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99390733
mingw-w64 が生成する実行ファイルにおいて ASLR が機能しない問題
https://jvn.jp/vu/JVNVU99390733/

関連文書 (英語)

SourceForge
[Mingw-w64-public] ASLR/--dynamicbase and -pie with MinGW-w64
https://sourceforge.net/p/mingw-w64/mailman/message/31034877/

【5】JPCERT/CC が「ランサムウエアの脅威動向および被害実態調査報告書」を公開

情報源

JPCERT/CC
ランサムウエアの脅威動向および被害実態調査報告書
https://www.jpcert.or.jp/research/Ransom-survey.html

概要

2018年7月30日、JPCERT/CC は「ランサムウエアの脅威動向および被害実態調
査報告書」を公開しました。本報告書は、国内においても感染リスクが高まっ
ているランサムウエアについて、感染経路や感染リスクが拡大している背景、
脅威動向の変遷などを公開情報をもとに調査し、まとめています。またその結
果を踏まえて、2017年度に国内の法人組織に対してアンケート調査を実施し、
ランサムウエアの被害状況、感染したランサムウエアの種別や感染原因、被害
にあった際の影響と対処法などを問う設問への回答をまとめています。ぜひご
一読下さい。

■今週のひとくちメモ

○STOP! パスワード使い回し!キャンペーン2018

2018年8月1日、JPCERT/CC は「STOP! パスワード使い回し!キャンペーン2018」
を開始しました。本キャンペーンの特設ページでは、安全なパスワードの設定
方法や適切な管理方法、インターネットサービスで提供されているセキュリティ
機能の活用など、被害のリスクを減らすための方法と対策を紹介しています。

なお、本キャンペーンは 8月31日まで実施しており、ご賛同いただける企業・
組織様を募集しています。ご賛同企業・組織様には、自社サイトでのキャンペーン
バナー、「STOP! パスワード使い回し!」啓発コンテンツの掲載のご協力をお
願いしております。詳細は、キャンペーン特設ページをご確認ください。

参考文献 (日本語)

JPCERT/CC
STOP! パスワード使い回し!キャンペーン2018
https://www.jpcert.or.jp/pr/2018/stop-password2018.html

■JPCERT/CC からのお願い