-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-2901 JPCERT/CC 2018-08-01 <<< JPCERT/CC WEEKLY REPORT 2018-08-01 >>> ―――――――――――――――――――――――――――――――――――――― ■07/22(日)〜07/28(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Apache Tomcat 製品に脆弱性 【2】Google Chrome に複数の脆弱性 【3】Android 版 LINE MUSIC にSSL サーバ証明書の検証不備の脆弱性 【4】Bluetooth 実装の楕円曲線ディフィー・ヘルマン鍵共有に公開鍵を適切に検証していない問題 【5】キヤノンITソリューションズ株式会社製の複数製品のインストーラに DLL 読み込みに関する脆弱性 【6】チャットワーク デスクトップ版アプリ (Windows 版) のインストーラに DLL 読み込みに関する脆弱性 【今週のひとくちメモ】「サイバーセキュリティ戦略」が閣議決定 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr182901.html https://www.jpcert.or.jp/wr/2018/wr182901.xml ============================================================================ 【1】複数の Apache Tomcat 製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#90416738 Apache Tomcat の複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU90416738 Japan Vulnerability Notes JVNVU#99687822 Apache Tomcat Native Connector の複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU99687822 概要 複数の Apache Tomcat 製品には、脆弱性があります。結果として、遠隔の第 三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 9.0.0.M1 から 9.0.9 まで - Apache Tomcat 8.5.0 から 8.5.31 まで - Apache Tomcat 8.0.0.RC1 から 8.0.52 まで - Apache Tomcat 7.0.28 から 7.0.88 まで - Apache Tomcat Native Connector 1.2.0 から 1.2.16 まで - Apache Tomcat Native Connector 1.1.23 から 1.1.34 まで この問題は、該当する製品を The Apache Software Foundation が提供する修 正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) Apache Tomcat Fixed in Apache Tomcat 9.0.10 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.10 Apache Tomcat Fixed in Apache Tomcat 8.5.32 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.32 Apache Tomcat Fixed in Apache Tomcat 8.0.53 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.53 Apache Tomcat Fixed in Apache Tomcat 7.0.90 https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.90 Apache Tomcat Fixed in Apache Tomcat Native Connector 1.2.17 https://tomcat.apache.org/security-native.html#Fixed_in_Apache_Tomcat_Native_Connector_1.2.17 US-CERT Current Activity Apache Releases Security Updates for Apache Tomcat https://www.us-cert.gov/ncas/current-activity/2018/07/23/Apache-Releases-Security-Updates-Apache-Tomcat 【2】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Update for Chrome https://www.us-cert.gov/ncas/current-activity/2018/07/24/Google-Releases-Security-Update-Chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 68.0.3440.75 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2018/07/stable-channel-update-for-desktop.html 【3】Android 版 LINE MUSIC にSSL サーバ証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#16933564 Android 版 LINE MUSIC における SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN16933564/ 概要 LINE MUSIC株式会社が提供する Android 版 LINE MUSIC には、SSL サーバ証 明書の検証不備の脆弱性があります。結果として、遠隔の第三者が、中間者攻 撃によって暗号通信を盗聴するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Android 版 LINE MUSIC バージョン 3.1.0 およびそれ以降かつ 3.6.5 より前のバージョン この問題は、Android 版 LINE MUSIC を LINE MUSIC株式会社が提供する修正 済みのバージョンに更新することで解決します。詳細は、LINE MUSIC株式会社 が提供する情報を参照してください。 関連文書 (日本語) LINE MUSIC株式会社 【脆弱性情報】「LINE MUSIC」Android版における SSL サーバ証明書の検証不備の脆弱性に関するお知らせ https://linecorp.com/ja/security/article/181 【4】Bluetooth 実装の楕円曲線ディフィー・ヘルマン鍵共有に公開鍵を適切に検証していない問題 情報源 CERT/CC Vulnerability Note VU#304725 Bluetooth implementations may not sufficiently validate elliptic curve parameters during Diffie-Hellman key exchange https://www.kb.cert.org/vuls/id/304725 概要 一部の Bluetooth デバイスのファームウエアや OS のドライバには、ディフィー・ ヘルマン鍵共有において公開鍵を適切に検証していない問題があります。結果 として、遠隔の第三者が通信内容を取得するなどの可能性があります。 対象となるシステムは次のとおりです。 - Bluetooth を実装するシステム この問題は、Bluetooth を実装するシステムを各ベンダが提供する修正済みの バージョンに更新することで解決します。詳細は、各ベンダが提供する情報を 参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92767028 Bluetooth 実装の楕円曲線ディフィー・ヘルマン鍵共有において公開鍵を適切に検証していない問題 https://jvn.jp/vu/JVNVU92767028/ 関連文書 (英語) US-CERT Current Activity Bluetooth Vulnerability https://www.us-cert.gov/ncas/current-activity/2018/07/23/Bluetooth-Vulnerability 【5】キヤノンITソリューションズ株式会社製の複数製品のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#41452671 キヤノンITソリューションズ株式会社製の複数製品のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN41452671/ 概要 キヤノンITソリューションズ株式会社が提供する複数の製品のインストーラに は、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコー ドを実行する可能性があります。 対象となる製品は次のとおりです。 - ESET Smart Security Premium - ESET Internet Security - ESET Smart Security - ESET NOD32アンチウイルス - DESlock+ Pro - CompuSec (パッケージ製品以外の全プログラム) いずれもデジタル署名のタイムスタンプの日付が「2018年7月10日」以前となっ ているインストーラが対象です。 この問題は、キヤノンITソリューションズ株式会社が提供する最新のインストー ラでは解決しています。なお、すでに該当の製品をインストールしている場合 には、この問題の影響はありません。詳細は、キヤノンITソリューションズ株 式会社が提供する情報を参照してください。 関連文書 (日本語) キヤノンITソリューションズ株式会社 Windows向けプログラムのインストーラーにおけるDLL読み込みに関する脆弱性への対応について(JVN#41452671) https://eset-support.canon-its.jp/faq/show/10720?site_domain=default 【6】チャットワーク デスクトップ版アプリ (Windows 版) のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#39171169 チャットワーク デスクトップ版アプリ (Windows 版) のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN39171169/ 概要 ChatWork株式会社が提供するチャットワークのインストーラには、DLL 読み込 みに関する脆弱性があります。結果として、第三者が任意のコードを実行する 可能性があります。 対象となる製品およびバージョンは次のとおりです。 - チャットワーク デスクトップ版アプリ (Windows 版) 2.3.0 およびそれ以前 この問題は、ChatWork株式会社が提供する最新のインストーラでは解決してい ます。なお、すでに該当の製品をインストールしている場合には、この問題の 影響はありません。詳細は、ChatWork株式会社が提供する情報を参照してくだ さい。 関連文書 (日本語) ChatWork株式会社 ダウンロード | チャットワーク(ChatWork) https://go.chatwork.com/ja/download/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「サイバーセキュリティ戦略」が閣議決定 2018年7月25日にサイバーセキュリティ戦略本部会合が開催され、その後「サ イバーセキュリティ戦略」が閣議決定されました。同戦略は各省庁のサイバー セキュリティ関連政策に係る今後3年間の施策の目標や実施方針についてとり まとめたもので、内閣サイバーセキュリティセンター (NISC) のウェブサイト 上で、同戦略に関する資料が公開されています。 参考文献 (日本語) 内閣サイバーセキュリティセンター (NISC) サイバーセキュリティ戦略の変更について https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2018-kakugikettei.pdf 内閣サイバーセキュリティセンター (NISC) サイバーセキュリティ戦略本部第19回会合の開催について https://www.nisc.go.jp/conference/cs/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJbYQO6AAoJEDF9l6Rp7OBIry4H/jnAsmCeansW0kxFGCD20TDn MZc7Y7ciuiYeFrp2TobgpsAEdfZsVXM13OhRW23grTpj2Kb4GrZpsxPhb5QK+Gq4 eiCiJRkE1SKqHxSrwaTpGyVKeWp4sTp9LnBt6Ah88zZ99/jdujVF3RBk31NnHBH5 uTC6Y7QBZbnviHiNFMOrWmk3mp2hJ/+G12mnBOOxUE6ApRdXOluGzgZmANWMpOCq T+iYWvA1Wz/t0MzmYcURjAuqdJrnDbBh/wCstx8kPDqf0dfhLAygT5yRm/cbaOFL huwbt24lSKnwg8afq/rEP7QuqXuVy2co5LFGZwWTmfgBbNTj6PG8c9/TXWcUQdE= =09eH -----END PGP SIGNATURE-----