JPCERT-WR-2019-4401

JPCERT/CC

2019-11-13

<<< JPCERT/CC WEEKLY REPORT 2019-11-13 >>>

■11/03(日)〜11/09(土) のセキュリティ関連情報

目　次

【1】複数の Cisco 製品に脆弱性

【2】Google Chrome に複数のセキュリティ上の問題

【3】Squid に複数の脆弱性

【4】オムロン製 Network Configurator for DeviceNet に DLL 読み込みに関する脆弱性

【5】スマートフォンアプリ「ラクマ」に認証情報漏えいの脆弱性

【今週のひとくちメモ】「PSIRT Services Framework Version 1.0 日本語版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr194401.txt
https://www.jpcert.or.jp/wr/2019/wr194401.xml

【1】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/11/07/cisco-releases-security-updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

影響度 Critical および High の脆弱性情報の対象となる製品は次のとおり
です。

- Cisco Prime Infrastructure (PI) Software
- Cisco Evolved Programmable Network Manager (EPNM)
- Cisco Small Business RV Series の次の製品
  ・Cisco RV042 Dual WAN VPN Router
  ・Cisco RV042G Dual Gigabit WAN VPN Router
  ・Cisco RV320 Dual Gigabit WAN VPN Router
  ・Cisco RV325 Dual Gigabit WAN VPN Router
- Cisco RoomOS Software
- Cisco TelePresence Collaboration Endpoint (CE) Software
- Cisco TelePresence Codec (TC) Software
- Cisco Webex Network Recording Player for Microsoft Windows
- Cisco Webex Player for Microsoft Windows
- Cisco Wireless LAN Controllers
- Cisco Web Security Appliance (WSA)

※上記以外にも、影響度 Medium や Informational の脆弱性情報、アドバイ
  ザリが公開されています。詳細は、Cisco が提供する情報を参照してくださ
  い。

なお、既にソフトウェアメンテナンスが終了している Cisco RV016 Multi-WAN
VPN Router、Cisco RV082 Dual WAN VPN Router も影響を受けるとのことです。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

【2】Google Chrome に複数のセキュリティ上の問題

情報源

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/11/stable-channel-update-for-desktop.html

概要

Google Chrome には、複数のセキュリティ上の問題があります。

対象となるバージョンは次のとおりです。

- Google Chrome 78.0.3904.97 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

【3】Squid に複数の脆弱性

情報源

squid-cache.org
Heap Overflow issue in URN processing.
http://www.squid-cache.org/Advisories/SQUID-2019_7.txt

squid-cache.org
Multiple issues in URI processing.
http://www.squid-cache.org/Advisories/SQUID-2019_8.txt

squid-cache.org
Cross-Site Request Forgery issue in HTTP Request processing.
http://www.squid-cache.org/Advisories/SQUID-2019_9.txt

squid-cache.org
HTTP Request Splitting issue in HTTP message processing.
http://www.squid-cache.org/Advisories/SQUID-2019_10.txt

squid-cache.org
Information Disclosure issue in HTTP Digest Authentication.
http://www.squid-cache.org/Advisories/SQUID-2019_11.txt

概要

Squid には、複数の脆弱性があります。結果として、遠隔の第三者が、任意の
コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可
能性があります。

対象となるバージョンは次のとおりです。

- Squid version 4.8 までの 4 系のバージョン

なお、既に更新が終了している Squid 3 系や 2 系についても、本脆弱性の影
響を受けるとのことです。

この問題は、使用している Squid のバージョンに応じて、OS のベンダや配布
元が提供する修正済みのバージョンに更新するか、パッチを適用することで解
決します。詳細は、ベンダや配布元が提供する情報を参照してください。

【4】オムロン製 Network Configurator for DeviceNet に DLL 読み込みに関する脆弱性

情報源

ICS Advisory (ICSA-19-134-01)
Omron Network Configurator for DeviceNet (Update A)
https://www.us-cert.gov/ics/advisories/ICSA-19-134-01

概要

Network Configurator for DeviceNet には、DLL 読み込みに関する脆弱性が
あります。結果として、第三者がプログラムを実行している権限で、任意のコー
ドを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Network Configurator for DeviceNet Safety 3.41 およびそれ以前

この問題は、Network Configurator for DeviceNet をオムロン株式会社が提
供する修正済みのバージョンに更新することで解決します。詳細は、オムロン
株式会社が提供する情報を参照してください。

【5】スマートフォンアプリ「ラクマ」に認証情報漏えいの脆弱性

情報源

Japan Vulnerability Notes JVN#41566067
スマートフォンアプリ「ラクマ」における認証情報漏えいの脆弱性
https://jvn.jp/jp/JVN41566067/

概要

スマートフォンアプリ「ラクマ」には、認証に関する情報が漏えいする脆弱性
があります。結果として、第三者が攻撃を目的として作成したアプリをインス
トールすることによって、当該製品の認証に関する情報を窃取する可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- Android アプリ「ラクマ」バージョン 7.15.0 およびそれ以前
- iOS アプリ「ラクマ」バージョン 7.16.4 およびそれ以前

この問題は、該当する製品を楽天株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、楽天株式会社が提供する情報を参照して
ください。

■今週のひとくちメモ

○「PSIRT Services Framework Version 1.0 日本語版」を公開

JPCERT/CC は、一般社団法人コンピュータソフトウェア協会の Software ISAC
と共同で、FIRST が作成し公表した「PSIRT Services Framework Version
1.0」の翻訳を行いました。この文書「PSIRT Services Framework Version
1.0 日本語版」は、Panasonic PSIRT と Sony PSIRT によるレビューを経て、
2019年11月7日、FIRST の Web サイトに公開されました。

PSIRT (Product Security Incident Response Team) は、組織が提供する製品
の脆弱性に起因するリスクに対応するための組織内機能です。本フレームワー
クは、PSIRT のコンセプトと全体像、さらに PSIRT に求められる事項などに
ついて説明しています。既に PSIRT を設置している組織や、これから設置を
検討されている組織は、ぜひ参考にしてください。

参考文献 (日本語)

JPCERT/CC
PSIRT Services Framework
https://www.jpcert.or.jp/research/psirtSF.html

一般社団法人コンピュータソフトウェア協会
「PSIRT Services Framework 1.0」の日本語翻訳文書公開について
https://www.csaj.jp/NEWS/pr/191108_psirt.html

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2019-11-13号

<<< JPCERT/CC WEEKLY REPORT 2019-11-13 >>>

■11/03(日)〜11/09(土) のセキュリティ関連情報

目　次

【1】複数の Cisco 製品に脆弱性

【2】Google Chrome に複数のセキュリティ上の問題

【3】Squid に複数の脆弱性

【4】オムロン製 Network Configurator for DeviceNet に DLL 読み込みに関する脆弱性

【5】スマートフォンアプリ「ラクマ」に認証情報漏えいの脆弱性

【今週のひとくちメモ】「PSIRT Services Framework Version 1.0 日本語版」を公開

【1】複数の Cisco 製品に脆弱性

情報源

概要

関連文書 (英語)

【2】Google Chrome に複数のセキュリティ上の問題

情報源

概要

【3】Squid に複数の脆弱性

情報源

概要

関連文書 (英語)

【4】オムロン製 Network Configurator for DeviceNet に DLL 読み込みに関する脆弱性

情報源

概要

関連文書 (日本語)

【5】スマートフォンアプリ「ラクマ」に認証情報漏えいの脆弱性

情報源

概要

関連文書 (日本語)

■今週のひとくちメモ

○「PSIRT Services Framework Version 1.0 日本語版」を公開

参考文献 (日本語)

■JPCERT/CC からのお願い

Weekly Report 2019-11-13号

<<< JPCERT/CC WEEKLY REPORT 2019-11-13 >>>

■11/03(日)〜11/09(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (英語)

情報源

概要

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○「PSIRT Services Framework Version 1.0 日本語版」を公開

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次