JPCERT コーディネーションセンター

Weekly Report 2018-08-29号

JPCERT-WR-2018-3301
JPCERT/CC
2018-08-29

<<< JPCERT/CC WEEKLY REPORT 2018-08-29 >>>

■08/19(日)〜08/25(土) のセキュリティ関連情報

目 次

【1】Apache Struts2 に任意のコードが実行可能な脆弱性

【2】Ghostscript に -dSAFER オプションによる保護が回避される脆弱性

【3】Adobe Photoshop CC にメモリ破損の脆弱性

【4】Digital Paper App のインストーラに DLL 読み込みに関する脆弱性

【今週のひとくちメモ】仮想通貨を要求する不審な脅迫メールにご注意を

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr183301.txt
https://www.jpcert.or.jp/wr/2018/wr183301.xml

【1】Apache Struts2 に任意のコードが実行可能な脆弱性

情報源

US-CERT Current Activity
Apache Releases Security Update for Apache Struts 2
https://www.us-cert.gov/ncas/current-activity/2018/08/22/Apache-Releases-Security-Update-Apache-Struts

Japan Vulnerability Notes JVNVU#93295516
Apache Struts2 に任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU93295516/

概要

Apache Struts2 には、任意のコードが実行可能な脆弱性があります。結果と
して、遠隔の第三者が細工したリクエストを送信することで、アプリケーション
の権限で任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Struts 2.3.35 より前の 2.3 系のバージョン
- Apache Struts 2.5.17 より前の 2.5 系のバージョン

この問題は、Apache Struts2 を Apache Software Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は、Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC Alert 2018-08-23
Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180036.html

関連文書 (英語)

Apache Software Foundation
S2-057
https://cwiki.apache.org/confluence/display/WW/S2-057

【2】Ghostscript に -dSAFER オプションによる保護が回避される脆弱性

情報源

US-CERT Current Activity
Ghostscript Vulnerability
https://www.us-cert.gov/ncas/current-activity/2018/08/21/Ghostscript-Vulnerability

CERT/CC Vulnerability Note VU#332928
Ghostscript contains multiple -dSAFER sandbox bypass vulnerabilities
https://www.kb.cert.org/vuls/id/332928

Japan Vulnerability Notes JVNVU#90390242
Ghostscript に -dSAFER オプションによる保護が回避される複数の脆弱性
https://jvn.jp/vu/JVNVU90390242/

概要

Ghostscript および Ghostscript を使用するアプリケーションには、-dSAFER
オプションによる保護が回避される脆弱性があります。結果として、遠隔の第
三者が Ghostscript の権限で任意のコマンドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Ghostscript 9.23 およびそれ以前
- Ghostscript 9.23 およびそれ以前を使用するアプリケーション

2018年8月28日現在、この問題に対する解決策は提供されていませんが、
Ghostscript を提供する Artifex Software 社によると、9月後半には修正済
みバージョンをリリース予定とのことです。なお、Ghostscript をデフォルト
で使用する ImageMagick においては、次の回避策を適用することで、本脆弱
性の影響を軽減することが可能です。

- ImageMagick の policy.xml で PS, EPS, PDF, XPS を無効にする

詳細は、開発元などが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC Alert 2018-08-22
Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180035.html

【3】Adobe Photoshop CC にメモリ破損の脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/08/22/Adobe-Releases-Security-Updates

概要

Adobe Photoshop CC には、メモリ破損の脆弱性があります。結果として、遠
隔の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Adobe Photoshop CC 2018 19.1.5 およびそれ以前 (Windows 版 および macOS 版)
- Adobe Photoshop CC 2017 18.1.5 およびそれ以前 (Windows 版 および macOS 版)

この問題は、Adobe Photoshop CC を Adobe が提供する修正済みのバージョン
に更新することで解決します。詳細は、Adobe が提供する情報を参照してくだ
さい。

関連文書 (日本語)

Adobe
Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB18-28
https://helpx.adobe.com/jp/security/products/photoshop/apsb18-28.html

【4】Digital Paper App のインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#75700242
Digital Paper App のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN75700242/

概要

Digital Paper App のインストーラには、DLL 読み込みに関する脆弱性があり
ます。結果として、第三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Digital Paper App バージョン 1.4.0.16050 およびそれ以前

この問題は、ソニー株式会社が提供する最新のインストーラでは解決していま
す。なお、すでに該当製品をインストールしている場合には、この問題の影響
はありません。詳細は、ソニー株式会社が提供する情報を参照してください。

関連文書 (日本語)

ソニー株式会社
Digital Paper App
https://www.sony.jp/digital-paper/apl/dpa.html

■今週のひとくちメモ

○仮想通貨を要求する不審な脅迫メールにご注意を

2018年7月下旬より、JPCERT/CC は、仮想通貨を要求する不審な脅迫メールを
確認しております。メールには金銭を支払うよう脅迫する内容が含まれており、
特徴として、メール受信者が実際に使用しているパスワードが本文に記述され
ていました。このような脅迫メールについて、セキュリティベンダや海外の
National CSIRT なども同様に注意喚起を行っており、2018年8月21日には、米
連邦取引委員会 (FTC:Federal Trade Commission) も注意を呼び掛けていま
す。

このようなメールを受信した場合は攻撃者の要求には応じず、参考文献のペー
ジを参考に冷静に対応を行ってください。また、パスワードの使い回しをしな
いことや、ウイルス対策ソフトの利用など、普段からの対策を徹底していくこ
とが不可欠です。

参考文献 (日本語)

JPCERT/CC
仮想通貨を要求する不審な脅迫メールについて
https://www.jpcert.or.jp/newsflash/2018080201.html

JPCERT/CC
STOP! パスワード使い回し!キャンペーン2018
https://www.jpcert.or.jp/pr/2018/stop-password2018.html

参考文献 (英語)

US-CERT
FTC Issues Alert on Bitcoin Blackmail Scams
https://www.us-cert.gov/ncas/current-activity/2018/08/22/FTC-Issues-Alert-Bitcoin-Blackmail-Scams

FTC (Federal Trade Commission)
How to avoid a Bitcoin blackmail scam
https://www.consumer.ftc.gov/blog/2018/08/how-avoid-bitcoin-blackmail-scam

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter