-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-3101 JPCERT/CC 2018-08-15 <<< JPCERT/CC WEEKLY REPORT 2018-08-15 >>> ―――――――――――――――――――――――――――――――――――――― ■08/05(日)〜08/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 【2】Linux カーネルおよび FreeBSD にサービス運用妨害 (DoS) の脆弱性 【3】Mozilla Thunderbird に複数の脆弱性 【4】VMware Horizon に領域外メモリ参照が可能な脆弱性 【5】アイ・オー・データ機器製のネットワークカメラに複数の脆弱性 【6】アタッシェケースにディレクトリトラバーサルの脆弱性 【7】EC-CUBE 用追加モジュールに複数の脆弱性 【今週のひとくちメモ】「工場における産業用IoT導入のためのセキュリティ ファーストステップ」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr183101.html https://www.jpcert.or.jp/wr/2018/wr183101.xml ============================================================================ 【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Current Activity ISC Releases Security Advisory for BIND https://www.us-cert.gov/ncas/current-activity/2018/08/08/ISC-Releases-Security-Advisory-BIND Japan Vulnerability Notes JVNVU#91290141 ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU91290141/ 概要 ISC BIND 9 には、"deny-answer-aliases" を有効にしている場合に、アサー ションが失敗する脆弱性があります。結果として、遠隔の第三者がサービス運 用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9 version 9.9.0 から 9.9.13 - BIND 9 version 9.10.0 から 9.10.8 - BIND 9 version 9.11.0 から 9.11.4 - BIND 9 version 9.12.0 から 9.12.2 なお、すでにサポートが終了している BIND 9.7 系および 9.8 系についても、 本脆弱性の影響を受けるとのことです。 この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2018-5740) に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180031.html 株式会社日本レジストリサービス(JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5740) https://jprs.jp/tech/security/2018-08-09-bind9-vuln-deny-answer-aliases.html 関連文書 (英語) ISC Knowledge Base CVE-2018-5740: A flaw in the "deny-answer-aliases" feature can cause an assertion failure in named https://kb.isc.org/article/AA-01639 【2】Linux カーネルおよび FreeBSD にサービス運用妨害 (DoS) の脆弱性 情報源 CERT/CC Vulnerability Note VU#962459 TCP implementations vulnerable to Denial of Service https://www.kb.cert.org/vuls/id/962459 概要 Linux カーネルおよび FreeBSD には、遠隔の第三者が細工したパケットを送 信することで、サービス運用妨害 (DoS) 攻撃が実行可能な脆弱性があります。 対象となる製品およびバージョンは次のとおりです。 - Linux カーネル version 4.9 およびそれ以降のバージョン - FreeBSD バージョン 11, 11.1, 11.2, 10 および 10.4 この問題は、Linux カーネルおよび FreeBSD を各ベンダが提供する修正済み のバージョンに更新することで解決します。詳細は、各ベンダが提供する情報 を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91510483 複数の TCP 実装にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU91510483/ 関連文書 (英語) US-CERT Current Activity Linux Kernel Vulnerability https://www.us-cert.gov/ncas/current-activity/2018/08/06/Linux-Kernel-Vulnerability 【3】Mozilla Thunderbird に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Update for Thunderbird https://www.us-cert.gov/ncas/current-activity/2018/08/06/Mozilla-Releases-Security-Update-Thunderbird 概要 Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第 三者が Mozilla Thunderbird を異常終了させるなどの可能性があります。 対象となるバージョンは次のとおりです。 - Mozilla Thunderbird 60 より前のバージョン この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 関連文書 (英語) Mozilla Security vulnerabilities fixed in Thunderbird 60 https://www.mozilla.org/en-US/security/advisories/mfsa2018-19/ 【4】VMware Horizon に領域外メモリ参照が可能な脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/08/07/VMware-Releases-Security-Updates 概要 VMware Horizon には、領域外のメモリ参照が可能な脆弱性があります。結果 として、第三者がシステム上の特権が必要な情報を参照する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware Horizon 6.2.7 より前のバージョン (Windows 版) - VMware Horizon 7.5.1 より前のバージョン (Windows 版) - VMware Horizon Client for Windows 4.8.1 より前のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2018-0019 https://www.vmware.com/security/advisories/VMSA-2018-0019.html 【5】アイ・オー・データ機器製のネットワークカメラに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#83701666 アイ・オー・データ機器製の複数のネットワークカメラ製品に複数の脆弱性 https://jvn.jp/jp/JVN83701666/ 概要 アイ・オー・データ機器製のネットワークカメラ製品には、複数の脆弱性があ ります。結果として、遠隔の第三者が、任意の OS コマンドを実行するなどの 可能性があります。 対象となる製品およびバージョンは次のとおりです。 - TS-WRLP ファームウェア Ver.1.09.04 およびそれ以前 - TS-WRLA ファームウェア Ver.1.09.04 およびそれ以前 - TS-WRLP/E ファームウェア Ver.1.09.04 およびそれ以前 この問題は、該当する製品のファームウェアを、株式会社アイ・オー・データ 機器が提供する修正済みのバージョンに更新することで解決します。詳細は、 株式会社アイ・オー・データ機器が提供する情報を参照してください。 関連文書 (日本語) 株式会社アイ・オー・データ機器 弊社ネットワークカメラにおける複数の脆弱性について http://www.iodata.jp/support/information/2018/ts-wrlp/ 【6】アタッシェケースにディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#62121133 アタッシェケースにおける複数のディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN62121133/ 概要 HiBARA Software が提供するアタッシェケースには、ディレクトリトラバーサ ルの脆弱性があります。結果として、第三者が、細工した ATC ファイルをユー ザに復号させることで、任意のファイルを作成したり、上書きしたりする可能 性があります。 対象となるバージョンは次のとおりです。 - アタッシェケース ver.2.8.3.0 およびそれ以前 - アタッシェケース ver.3.2.3.0 およびそれ以前 この問題は、アタッシェケースを HiBARA Software が提供する修正済みのバー ジョンに更新することで解決します。詳細は、HiBARA Software が提供する情 報を参照してください。 関連文書 (日本語) HiBARA Software 2018/08/05 - 複数のディレクトリトラバーサルの脆弱性 https://hibara.org/software/attachecase/vulnerability/#directory-traversal-2 【7】EC-CUBE 用追加モジュールに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#06372244 EC-CUBEペイメント決済モジュールおよび EC-CUBE用 GMO-PG決済モジュール (PGマルチペイメントサービス) における複数の脆弱性 https://jvn.jp/jp/JVN06372244/ 概要 GMOペイメントゲートウェイ株式会社が EC-CUBE の追加モジュールとして提供 する EC-CUBEペイメント決済モジュールおよび EC-CUBE用 GMO-PG決済モジュー ル (PGマルチペイメントサービス) には、複数の脆弱性があります。結果とし て、遠隔の第三者が、EC-CUBE 管理画面にログインしているユーザのブラウザ 上で任意のスクリプトを実行するなどの可能性があります。 対象となるモジュールおよびバージョンは次のとおりです。 - EC-CUBEペイメント決済モジュール (2.12系) バージョン 3.5.23 およびそれ以前 - EC-CUBEペイメント決済モジュール (2.11系) バージョン 2.3.17 およびそれ以前 - GMO-PG決済モジュール (PGマルチペイメントサービス) (2.12系) バージョン 3.5.23 およびそれ以前 - GMO-PG決済モジュール (PGマルチペイメントサービス) (2.11系) バージョン 2.3.17 およびそれ以前 この問題は、該当するモジュールを GMOペイメントゲートウェイ株式会社が提 供する修正済みのバージョンに更新することで解決します。詳細は、GMOペイ メントゲートウェイ株式会社が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes GMOペイメントゲートウェイ株式会社からの情報 https://jvn.jp/jp/JVN06372244/996220/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「工場における産業用IoT導入のためのセキュリティ ファーストステップ」を公開 2018年8月9日、JPCERT/CC は、産業用 IoT を導入する中小の製造業者向けに 「工場における産業用IoT導入のためのセキュリティ ファーストステップ」を 公開しました。産業界での IoT の活用が進むにつれ、IoT デバイス自体が狙 われるサイバー攻撃が増えてきています。 産業用 IoT の導入を検討されている組織はぜひご一読ください。 参考文献 (日本語) JPCERT/CC 工場における産業用IoT導入のためのセキュリティ ファーストステップ https://www.jpcert.or.jp/ics/information06.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJbc21xAAoJEDF9l6Rp7OBIpv4H/2qzY/tq/Ida97lQ/CVKkxss FSU6+3e7SRZn29VkZtDSU5YovzqauMv1LRzgvoQosMq9g15kvK0LBGKlfMDHWjh3 bL3gaXH495mDYjy1iQTvEhQj16Tt6vo9jjzZT1FQQng79cryxOSB/0kykP3tkDPg PDXJ3BAPCoqr1tFMIGQOtyH7sf7kee4F42ufnOv4Gt2t1P3LFh8xh8OxPhHkToZ7 3dIK0XKe5drCx3WtucETH+qFqfn+CVXShrAZnlOaa1oTmEwyvX72y7VvO7shcdQR p6EGT0q6gFqAqX3O9GzUYtLjSxK6iFgvjOmDEgIziqsv6u8PBZu5JG3LW52IPrg= =NK3d -----END PGP SIGNATURE-----