<<< JPCERT/CC WEEKLY REPORT 2019-04-10 >>>

■03/31(日)〜04/06(土) のセキュリティ関連情報

目　次

【1】Apache HTTP Server に複数の脆弱性

【2】GNU Wget にバッファオーバーフローの脆弱性

【3】Ruby に複数の脆弱性

【4】オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性

【5】Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性

【今週のひとくちメモ】メキシコ・ブラジルのCSIRTを訪ねて

【1】Apache HTTP Server に複数の脆弱性

情報源

US-CERT Current Activity
Apache Releases Security Update for Apache HTTP Server
https://www.us-cert.gov/ncas/current-activity/2019/04/04/Apache-Releases-Security-Update-Apache-HTTP-Server

概要

Apache HTTP Server には、複数の脆弱性があります。結果として、第三者が
root 権限で任意のコマンドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Apache HTTP Server 2.4.39 より前のバージョン

この問題は、Apache HTTP Server を Apache Software Foundation が提供す
る修正済みのバージョンに更新することで解決します。詳細は、
Apache Software Foundation が提供する情報を参照してください。

関連文書 (英語)

Apache Software Foundation
Fixed in Apache httpd 2.4.39
https://httpd.apache.org/security/vulnerabilities_24.html

Apache Software Foundation
Apache HTTP Server 2.4.39 Released
https://www.apache.org/dist/httpd/Announcement2.4.html

【2】GNU Wget にバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#25261088
GNU Wget におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN25261088/

概要

GNU Wget には、バッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃
を行ったりする可能性があります。

対象となるバージョンは次のとおりです。

- GNU Wget 1.20.1 およびそれ以前

この問題は、GNU Wget を GNU Project が提供する修正済みのバージョンに更
新することで解決します。詳細は、GNU Project が提供する情報を参照してく
ださい。

関連文書 (英語)

GNU Project
Downloading GNU Wget
https://www.gnu.org/software/wget/

【3】Ruby に複数の脆弱性

情報源

Ruby
Ruby 2.4.6 リリース
https://www.ruby-lang.org/ja/news/2019/04/01/ruby-2-4-6-released/

概要

Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを
実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Ruby 2.4.5 およびそれ以前

この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す
るか、パッチを適用することで解決します。なお、Ruby 2.4 系は、1年間のセ
キュリティメンテナンスフェーズに移行し、期間終了後、公式サポートが終了
します。そのため、Ruby 2.6 系などの新しいバージョンへの移行が推奨され
ています。

関連文書 (日本語)

JPCERT/CC WEEKLY REPORT 2019-03-20号
【6】Ruby に複数の脆弱性
https://www.jpcert.or.jp/wr/2019/wr191101.html#6

【4】オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性

情報源

Japan Vulnerability Notes JVNVU#98267543
オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU98267543/

概要

CX-One には、解放済みメモリ使用 (use-after-free) の脆弱性があります。
結果として、第三者がアプリケーションの権限で任意のコードを実行する可能
性があります。

対象となるバージョンは次のとおりです。

- 次のアプリケーションを含む CX-One
 - CX-Programmer Version 9.70 およびそれ以前
 - Common Components January 2019 およびそれ以前

この問題は、該当するアプリケーションをオムロン株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、オムロン株式会社が提
供する情報を参照してください。

関連文書 (日本語)

オムロン株式会社
CX-One バージョンアップ プログラム ダウンロード
https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html

オムロン株式会社
CX-Programmer の更新内容
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#cx_programmer

オムロン株式会社
共通モジュール の更新内容
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#common_module

【5】Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#01119243
Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN01119243/

概要

Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する
API サーバには、アクセス制限不備の脆弱性があります。結果として、遠隔の
第三者が、ユーザの登録情報を取得したり、改ざんしたりする可能性がありま
す。

対象となるバージョンは次のとおりです。

- Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」 バージョン 1.2.4 およびそれ以前

Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」の開発および
サポートは終了しています。当該製品の使用を停止し、アンインストールして
ください。東日本旅客鉄道株式会社は、自身のホームページ、スマートフォン
アプリ「JR東日本アプリ」、および LINE の「JR東日本 Chat Bot」の使用を
推奨しています。

関連文書 (日本語)

東日本旅客鉄道株式会社
JR 東日本 列車運行情報アプリのサービス終了について
https://www.jreast.co.jp/press/2018/20190310.pdf

■今週のひとくちメモ

○メキシコ・ブラジルのCSIRTを訪ねて

2019年4月4日、JPCERT/CC は「中南米CSIRT動向調査」の一環としてメキシコ
とブラジルの National CSIRT を訪問した時の体験記を公式ブログ
JPCERT/CC Eyes で公開しました。

このブログでは、両組織の紹介と取り組みを取り上げています。また、「中南
米CSIRT動向調査」も閲覧可能ですので、中南米地域でビジネスを展開してい
る組織において、現状の把握のための参考資料としてご活用ください。

参考文献 (日本語)

JPCERT/CC
メキシコ・ブラジルのCSIRTを訪ねて
https://blogs.jpcert.or.jp/ja/2019/04/csirt-1.html

■JPCERT/CC からのお願い