<<< JPCERT/CC WEEKLY REPORT 2019-07-03 >>>
■06/23(日)〜06/29(土) のセキュリティ関連情報
目 次
【1】Cisco Data Center Network Manager に複数の脆弱性
【2】Chrome OS に複数の脆弱性
【3】Apple AirPort Base Station (AirMac Base Station) に複数の脆弱性
【4】ひかり電話ルータ/ホームゲートウェイに複数の脆弱性
【5】複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】JPCERT/CC が「IoTセキュリティチェックリスト」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr192501.txt
https://www.jpcert.or.jp/wr/2019/wr192501.xml
【1】Cisco Data Center Network Manager に複数の脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates for Data Center Network Manager
https://www.us-cert.gov/ncas/current-activity/2019/06/26/cisco-releases-security-updates-data-center-network-manager
概要
Cisco Data Center Network Manager には、複数の脆弱性があります。結果と して、遠隔の第三者が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Cisco Data Center Network Manager この問題は、Cisco Data Center Network Manager を、Cisco が提供する修正 済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情 報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Data Center Network Manager Arbitrary File Upload and Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-codexCisco Security Advisory
Cisco Data Center Network Manager Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-bypassCisco Security Advisory
Cisco Data Center Network Manager Arbitrary File Download Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-file-dwnldCisco Security Advisory
Cisco Data Center Network Manager Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-infodiscl
【2】Chrome OS に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome OS
https://www.us-cert.gov/ncas/current-activity/2019/06/27/google-releases-security-updates-chrome-os
概要
Chrome OS には、複数の脆弱性があります。結果として、第三者が情報を窃取 する可能性があります。 対象となるバージョンは次のとおりです。 - Chrome OS 75.0.3770.102 より前のバージョン この問題は、Chrome OS を Google が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Google が提供する情報を参照してください。
関連文書 (英語)
Stable Channel Update for Chrome OS
https://chromereleases.googleblog.com/2019/06/stable-channel-update-for-chrome-os-m75.html
【3】Apple AirPort Base Station (AirMac Base Station) に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#96755549
Apple AirPort Base Station における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU96755549/
概要
Apple の AirMac Base Station には、複数の脆弱性があります。結果として、 遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃 を行ったりするなどの可能性があります。 なお、「AirPort」の日本での製品名称は、「AirMac」になります。 対象となるバージョンは次のとおりです。 - AirPort Base Station Firmware 7.8.1 より前のバージョン この問題は、AirMac Base Station を Apple が提供する修正済みのバージョン に更新することで解決します。詳細は、Apple が提供する情報を参照してくだ さい。
関連文書 (日本語)
Apple
AirMac ベースステーション ファームウェア・アップデート 7.8.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210091
【4】ひかり電話ルータ/ホームゲートウェイに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#43172719
ひかり電話ルータ/ホームゲートウェイにおける複数の脆弱性
https://jvn.jp/jp/JVN43172719/
概要
ひかり電話ルータ/ホームゲートウェイには、複数の脆弱性があります。結果 として、遠隔の第三者が、細工したページにユーザをアクセスさせることによ り、当該製品にログインしているユーザの権限で任意の操作を行うなどの可能 性があります。 対象となる製品およびバージョンは次のとおりです。 - PR-S300NE/RT-S300NE/RV-S340NE ファームウェアバージョン Ver. 19.41 およびそれ以前のバージョン - PR-S300HI/RT-S300HI/RV-S340HI ファームウェアバージョン Ver.19.01.0005 およびそれ以前のバージョン - PR-S300SE/RT-S300SE/RV-S340SE ファームウェアバージョン Ver.19.40 およびそれ以前のバージョン - PR-400NE/RT-400NE/RV-440NE ファームウェアバージョン Ver.7.42 およびそれ以前のバージョン - PR-400KI/RT-400KI/RV-440KI ファームウェアバージョン Ver.07.00.1010 およびそれ以前のバージョン - PR-400MI/RT-400MI/RV-440MI ファームウェアバージョン Ver. 07.00.1012 およびそれ以前のバージョン - PR-500KI/RT-500KI ファームウェアバージョン Ver.01.00.0090 およびそれ以前のバージョン - RS-500KI ファームウェアバージョン Ver.01.00.0070 およびそれ以前のバージョン - PR-500MI/RT-500MI ファームウェアバージョン Ver.01.01.0014 およびそれ以前のバージョン - RS-500MI ファームウェアバージョン Ver.03.01.0019 およびそれ以前のバージョン この問題は、ひかり電話ルータ/ホームゲートウェイを開発者が提供する修正 済みのバージョンに更新することで解決します。詳細は、開発者が提供する情 報を参照してください。
関連文書 (日本語)
東日本電信電話株式会社
「ひかり電話ルータ/ホームゲートウェイ」におけるクロスサイトスクリプティング、クロスサイトリクエストフォージェリの脆弱性
https://web116.jp/ced/support/news/contents/2019/20190626.html西日本電信電話株式会社
「ひかり電話対応ホームゲートウェイ」におけるクロスサイトスクリプティング、クロスサイトリクエストフォージェリの脆弱性について
https://www.ntt-west.co.jp/kiki/support/flets/hgw/190626.html
【5】複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#49575131
WordPress 用プラグイン HTML5 Maps におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN49575131/Japan Vulnerability Notes JVN#29933378
WordPress 用プラグイン Custom CSS Pro におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN29933378/
概要
複数の WordPress 用プラグインには、クロスサイトリクエストフォージェリ の脆弱性があります。結果として、遠隔の第三者が、細工したページにユーザ をアクセスさせることにより、当該製品にログインしているユーザの権限で任 意の操作を行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - HTML5 Maps 1.6.5.6 およびそれ以前のバージョン - Custom CSS Pro 1.0.3 およびそれ以前のバージョン この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
HTML5 Maps
Changelog
https://wordpress.org/plugins/html5-maps/#developersCustom CSS Pro
Changelog
https://wordpress.org/plugins/custom-css-pro/#developers
■今週のひとくちメモ
○JPCERT/CC が「IoTセキュリティチェックリスト」を公開
2019年6月27日、JPCERT/CC は「IoTセキュリティチェックリスト」を公開しま した。 本チェックリストでは、脅威の存在する環境においても、IoT デバイスを安全 に運用するために実装しておきたい 39 のセキュリティの機能を、必要な背景 とともにまとめ、一覧表にしています。 開発・導入を検討している IoT システム/IoT デバイスのセキュリティ機能確 認の第一歩として、本資料をご活用いただければ幸いです。
参考文献 (日本語)
JPCERT/CC
IoTセキュリティチェックリスト
https://www.jpcert.or.jp/research/IoT-SecurityCheckList.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
