-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-0801 JPCERT/CC 2017-03-01 <<< JPCERT/CC WEEKLY REPORT 2017-03-01 >>> ―――――――――――――――――――――――――――――――――――――― ■02/19(日)〜02/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】サイボウズ ガルーンに複数の脆弱性 【2】curl に SSL サーバ証明書の検証不備の脆弱性 【3】Logic Pro X にメモリ破損の脆弱性 【今週のひとくちメモ】JIPDEC が「JIPDEC経営読本 情報管理はマネーです」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr170801.html https://www.jpcert.or.jp/wr/2017/wr170801.xml ============================================================================ 【1】サイボウズ ガルーンに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#73182875 サイボウズ ガルーンにおける複数の脆弱性 https://jvn.jp/jp/JVN73182875/ 概要 サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第 三者が、任意の SQL 文を実行したり、ユーザのブラウザ上で任意のスクリプ トを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ ガルーン 3.0.0 から 4.2.3 まで この問題は、サイボウズ ガルーンをサイボウズ株式会社が提供する修正済み のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提 供する情報を参照してください。 関連文書 (日本語) サイボウズ株式会社 サイボウズ ガルーン 4 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2017/006348.html 【2】curl に SSL サーバ証明書の検証不備の脆弱性 情報源 Project curl Security Advisory SSL_VERIFYSTATUS ignored https://curl.haxx.se/docs/adv_20170222.html 概要 curl には、CURLOPT_SSL_VERIFYSTATUS オプションを使用している場合に、証 明書の失効状況を適切に検証しない脆弱性があります。結果として、失効した 証明書であっても有効であると判定される可能性があります。 対象となるバージョンは以下の通りです。 - curl 7.52.0 から 7.52.1 まで この問題は、curl を curl が提供する修正済みのバージョンに更新すること で解決します。詳細は、curl が提供する情報を参照してください。 関連文書 (英語) curl Changelog https://curl.haxx.se/changes.html#7_53_0 【3】Logic Pro X にメモリ破損の脆弱性 情報源 US-CERT Current Activity Apple Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/02/21/Apple-Releases-Security-Update 概要 Logic Pro X には、メモリ破損の脆弱性があります。結果として、遠隔の第三 者が、細工した GarageBand プロジェクトファイルをユーザに開かせること で、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Logic Pro X 10.3.1 より前のバージョン この問題は、Logic Pro X を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99002156 Apple GarageBand および Logic Pro X の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU99002156/ 関連文書 (英語) Apple About the security content of Logic Pro X 10.3.1 https://support.apple.com/en-us/HT207519 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JIPDEC が「JIPDEC経営読本 情報管理はマネーです」を公開 2017年2月24日、日本情報経済社会推進協会 (JIPDEC) は、「JIPDEC経営読本 情報管理はマネーです」を公開しました。この小冊子は、個人情報保護法改正 によって新たに個人情報保護法の適用対象となる中小企業経営層向けに、情報 管理の重要性を説明したものです。 参考文献 (日本語) 日本情報経済社会推進協会 (JIPDEC) 中小企業経営者向け小冊子 JIPDEC経営読本「情報管理はマネーです」公開のお知らせ https://www.jipdec.or.jp/topics/news/20170224.html 日本情報経済社会推進協会 (JIPDEC) JIPDEC経営読本「情報管理はマネーです」 https://www.jipdec.or.jp/library/u71kba00000072hw-att/jipdec_keieidokuhon_a4.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYthOfAAoJEDF9l6Rp7OBI4l0H/3FzK1H6ia2qFIzoiAO6s3Ze XvE/7bhPSs8g/spJf/ftwo6nV7SrS3hZZy+u9ITfmLKjhKdFjCVcdkDIW9C99Ik4 WAaULTD/riLDxDnc0BwzLufaJFdBy2tOKSBfPUPlKPWQ0BQ1xGRUqCVQAjlA8yWj CNJOcRwxxJu/39iMv2zSXOvHU4oj4MHQ/JisaEJdi9AG/PR/eabeEB6X55QVI7F2 PDf+152kK6YRF8mIKNMywH9siSLdQNKqPAWoSl1uB2d7B5slLEh9F0WIyb6qtsiF d5iRl0hhxEI9/twASmSMbKQTE0utqwJlS0eBph1Fij55Fh1wWIi+HnEMQhOzM2o= =y0lP -----END PGP SIGNATURE-----