-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-3001 JPCERT/CC 2018-08-08 <<< JPCERT/CC WEEKLY REPORT 2018-08-08 >>> ―――――――――――――――――――――――――――――――――――――― ■07/29(日)〜08/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Cisco Prime Collaboration Provisioning に検証不備の脆弱性 【2】Drupal に認証回避の脆弱性 【3】GROWI に複数の脆弱性 【4】mingw-w64 が生成する実行ファイルに ASLR が機能しない問題 【5】JPCERT/CC が「ランサムウエアの脅威動向および被害実態調査報告書」を公開 【今週のひとくちメモ】STOP! パスワード使い回し!キャンペーン2018 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr183001.html https://www.jpcert.or.jp/wr/2018/wr183001.xml ============================================================================ 【1】Cisco Prime Collaboration Provisioning に検証不備の脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Update https://www.us-cert.gov/ncas/current-activity/2018/08/01/Cisco-Releases-Security-Update 概要 Cisco Prime Collaboration Provisioning には、パスワード変更要求に対す る検証不備の脆弱性があります。結果として、遠隔の第三者がサービス運用妨 害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - Cisco Prime Collaboration Provisioning 12.2 およびそれ以前 この問題は、Cisco Prime Collaboration Provisioning を Cisco が提供する 修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供す る情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Prime Collaboration Provisioning Unauthorized Password Change Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180801-pcp-dos 【2】Drupal に認証回避の脆弱性 情報源 US-CERT Current Activity Drupal Releases Security Update https://www.us-cert.gov/ncas/current-activity/2018/08/02/Drupal-Releases-Security-Update 概要 Drupal が使用する Symfony ライブラリには、認証回避の脆弱性があります。 結果として、遠隔の第三者がセキュリティ機能をバイパスする可能性がありま す。 対象となるバージョンは次のとおりです。 - Drupal 8.5.6 より前の 8系のバージョン この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Drupal が提供する情報を参照してください。 関連文書 (英語) Drupal Drupal Core - 3rd-party libraries -SA-CORE-2018-005 https://www.drupal.org/SA-CORE-2018-005 Symfony CVE-2018-14773: Remove support for legacy and risky HTTP headers https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers 【3】GROWI に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#18716340 GROWI における複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN18716340/ 概要 GROWI には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザ のウェブブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - GROWI v.3.1.11 およびそれ以前 この問題は、GROWI を株式会社WESEEK が提供する修正済みのバージョンに更 新することで解決します。詳細は、株式会社WESEEK が提供する情報を参照し てください。 関連文書 (日本語) 株式会社WESEEK GROWI 脆弱性対応のお知らせ (JVN#18716340) https://weseek.co.jp/security/2018/07/31/growi-prevent-xss/ 【4】mingw-w64 が生成する実行ファイルに ASLR が機能しない問題 情報源 CERT/CC Vulnerability Note VU#307144 mingw-w64 by default produces executables that opt in to ASLR, but are not compatible with ASLR https://www.kb.cert.org/vuls/id/307144 概要 mingw-w64 がデフォルト状態で生成する Windows 実行ファイルは、リロケー ションテーブルを持たないため、ASLR (アドレス空間配置のランダム化) が適 切に機能しない問題があります。結果として、実行ファイルに存在する種々の 脆弱性が悪用されやすい状態となります。 対象となる製品は次のとおりです。 - mingw-w64 2018年8月7日現在、この問題に対する解決策は提供されていません。次の回避 策を適用することで、本問題の影響を軽減することが可能です。 - 影響を受けるプログラムのソースコードにおける main 関数の前に、「__declspec(dllexport)」の 1行を加える 詳細は、開発者や各ベンダが提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99390733 mingw-w64 が生成する実行ファイルにおいて ASLR が機能しない問題 https://jvn.jp/vu/JVNVU99390733/ 関連文書 (英語) SourceForge [Mingw-w64-public] ASLR/--dynamicbase and -pie with MinGW-w64 https://sourceforge.net/p/mingw-w64/mailman/message/31034877/ 【5】JPCERT/CC が「ランサムウエアの脅威動向および被害実態調査報告書」を公開 情報源 JPCERT/CC ランサムウエアの脅威動向および被害実態調査報告書 https://www.jpcert.or.jp/research/Ransom-survey.html 概要 2018年7月30日、JPCERT/CC は「ランサムウエアの脅威動向および被害実態調 査報告書」を公開しました。本報告書は、国内においても感染リスクが高まっ ているランサムウエアについて、感染経路や感染リスクが拡大している背景、 脅威動向の変遷などを公開情報をもとに調査し、まとめています。またその結 果を踏まえて、2017年度に国内の法人組織に対してアンケート調査を実施し、 ランサムウエアの被害状況、感染したランサムウエアの種別や感染原因、被害 にあった際の影響と対処法などを問う設問への回答をまとめています。ぜひご 一読下さい。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○STOP! パスワード使い回し!キャンペーン2018 2018年8月1日、JPCERT/CC は「STOP! パスワード使い回し!キャンペーン2018」 を開始しました。本キャンペーンの特設ページでは、安全なパスワードの設定 方法や適切な管理方法、インターネットサービスで提供されているセキュリティ 機能の活用など、被害のリスクを減らすための方法と対策を紹介しています。 なお、本キャンペーンは 8月31日まで実施しており、ご賛同いただける企業・ 組織様を募集しています。ご賛同企業・組織様には、自社サイトでのキャンペーン バナー、「STOP! パスワード使い回し!」啓発コンテンツの掲載のご協力をお 願いしております。詳細は、キャンペーン特設ページをご確認ください。 参考文献 (日本語) JPCERT/CC STOP! パスワード使い回し!キャンペーン2018 https://www.jpcert.or.jp/pr/2018/stop-password2018.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJbajQhAAoJEDF9l6Rp7OBIX9YIAIoRZnafQ4L6aUn4UGiQu1/D Wi7wf1o5Hpsnve2iSFcpnt0uXhNuKN+nnDNQd3h5jfyeoZBYDsD4YGYXWKBK/ox5 Td0uSh+B1GwLHLs0mfPw9f9ZsSKn1yqn9fkool3zKLcWxgU5DEV+Z0CyJ2M96Kt6 Y6VEGZSG4Msucv5A8xYRMEX/LSOJtz0AWSXgtxFz9lpoiYt4C0mPJJTvfDk9NULX GaDeSB8GIJMvhE0M/NBpBE9iZnTS7NZjcKovSPvgdCsNIKASiKwpOA/ePL4itqmW u+6y+N7nRiY0NfttEhRHiR3qhWwDkySoHbn3/midXeYHd2UfpQNLrLxQxdmWl2g= =a3e7 -----END PGP SIGNATURE-----