-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2018-3801
                                                                   JPCERT/CC
                                                                  2018-10-03

            <<< JPCERT/CC WEEKLY REPORT 2018-10-03 >>>

――――――――――――――――――――――――――――――――――――――
■09/23(日)〜09/29(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Apple macOS に複数の脆弱性
【2】複数の Cisco 製品に脆弱性
【3】スマートフォンアプリ「＋メッセージ（プラスメッセージ）」に SSL サーバ証明書の検証不備の脆弱性
【4】TP-Link EAP Controller に安全でないデシリアライゼーションの問題
【5】Internet Week 2018 のお知らせ
【6】(再掲) 「フィッシング対策セミナー 2018」開催のお知らせ
【今週のひとくちメモ】ルートゾーン KSK ロールオーバーの鍵更新作業日時が決定

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2018/wr183801.html
        https://www.jpcert.or.jp/wr/2018/wr183801.xml
============================================================================


【1】Apple macOS に複数の脆弱性

    情報源
      US-CERT Current Activity
      Apple Releases Security Update for macOS Mojave
      https://www.us-cert.gov/ncas/current-activity/2018/09/24/Apple-Releases-Security-Update-macOS-Mojave

      Japan Vulnerability Notes JVNVU#99356481
      Apple macOS における脆弱性に対するアップデート
      https://jvn.jp/vu/JVNVU99356481/

    概要
      Apple macOS には、複数の脆弱性があります。結果として、第三者が任意のコー
      ドを実行するなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - macOS Mojave 10.14 より前のバージョン

      この問題は、Apple macOS を Apple が提供する修正済みのバージョンに更新
      することで解決します。詳細は、Apple が提供する情報を参照してください。

    関連文書 (日本語)
      Apple
      macOS Mojave 10.14 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT209139

【2】複数の Cisco 製品に脆弱性

    情報源
      US-CERT Current Activity
      Cisco Releases Security Updates for Multiple Products
      https://www.us-cert.gov/ncas/current-activity/2018/09/26/Cisco-Releases-Security-Updates-Multiple-Products

    概要
      複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー
      ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

      対象となる製品は次のとおりです。

      - Cisco IOS ソフトウェア
      - Cisco IOS XE ソフトウェア
      - Cisco ASA ソフトウェア
      - Cisco Firepower Threat Defense ソフトウェア

      この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
      することで解決します。詳細は、Cisco が提供する情報を参照してください。

    関連文書 (英語)
      Cisco Blogs
      September 2018 Cisco IOS and IOS XE Software Bundled Publication
      https://blogs.cisco.com/security/cisco-ios-ios-xe-bundled-publication-sept-2018

      Cisco Event Response Page
      Cisco Event Response: September 2018 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication
      https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-69981

【3】スマートフォンアプリ「＋メッセージ（プラスメッセージ）」に SSL サーバ証明書の検証不備の脆弱性

    情報源
      Japan Vulnerability Notes JVN#37288228
      スマートフォンアプリ「＋メッセージ（プラスメッセージ）」における SSL サーバ証明書の検証不備の脆弱性
      https://jvn.jp/jp/JVN37288228/

    概要
      スマートフォンアプリ「＋メッセージ（プラスメッセージ）」には、SSL サー
      バ証明書の検証不備の脆弱性があります。結果として、遠隔の第三者が、中間
      者攻撃によって暗号通信を盗聴するなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - Android アプリ「＋メッセージ（プラスメッセージ）」 10.1.7 より前のバージョン (SoftBank)
      - Android アプリ「＋メッセージ（プラスメッセージ）」 42.40.2800 より前のバージョン (株式会社NTTドコモ)
      - Android アプリ「＋メッセージ（プラスメッセージ）」 1.0.6 より前のバージョン (ＫＤＤＩ株式会社)
      - iOS アプリ 「＋メッセージ（プラスメッセージ）」バージョン 1.1.23 より前のバージョン (SoftBank、株式会社NTTドコモ、ＫＤＤＩ株式会社)

      この問題は、スマートフォンアプリ「＋メッセージ（プラスメッセージ）」を
      各ベンダが提供する修正済みのバージョンに更新することで解決します。詳細
      は、各ベンダが提供する情報を参照してください。

    関連文書 (日本語)
      SoftBank
      「＋メッセージ」セキュリティ対策のためのアプリアップデートのお願い
      https://www.softbank.jp/mobile/info/personal/news/service/20180927a/

      株式会社NTTドコモ
      「＋メッセージ」アプリをご利用のお客さまへ、アップデート実施のお願い
      https://www.nttdocomo.co.jp/info/notice/page/180927_00.html

      ＫＤＤＩ株式会社
      「＋メッセージ」アプリをご利用のお客様へ　アプリアップデートのお願い
      https://www.au.com/information/notice_mobile/service/2018-002/

【4】TP-Link EAP Controller に安全でないデシリアライゼーションの問題

    情報源
      CERT/CC Vulnerability Note VU#581311
      TP-Link EAP Controller lacks RMI authentication and is vulnerable to deserialization attacks
      https://www.kb.cert.org/vuls/id/581311

      Japan Vulnerability Notes JVNVU#96340370
      TP-Link EAP Controller に安全でないデシリアライゼーションの問題
      https://jvn.jp/vu/JVNVU96340370/

    概要
      TP-LINK の Linux 向け EAP Controller には、安全でないデシリアライゼー
      ションの問題があります。結果として、遠隔の第三者が EAP Controller サー
      バを制御する可能性があります。

      対象となるバージョンは次のとおりです。

      - TP-LINK EAP Controller v2.5.3 およびそれ以前

      2018年10月2日現在、この問題に対する解決策は提供されていません。次の回
      避策を適用することで、本問題の影響を軽減することが可能です。

      - Apache Commons Collections をアップデートする
      - EAP の JRE バージョンをアップデートする

      詳細は、情報源を参照してください。

    関連文書 (英語)
      TP-LINK
      Download for EAP220 V1
      https://www.tp-link.com/en/download/EAP220.html#Controller_Software

【5】Internet Week 2018 のお知らせ

    情報源
      一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
      Internet Week 2018プログラム公開・参加登録開始のお知らせ
      https://www.nic.ad.jp/iw2018/news/#06

    概要
      2018年11月27日 (火) から 11月30日 (金) まで、浅草橋のヒューリックホー
      ル＆ヒューリックカンファレンスにおいて JPNIC 主催の「Internet Week
      2018 知ればもっと楽しくなる！」が開催されます。JPCERT/CC からも講演に
      登壇予定です。

      事前申込みの締め切りは 11月16日 (金) 17:00 までとなっております。詳細
      は、JPNIC が提供する情報を確認してください。

【6】(再掲) 「フィッシング対策セミナー 2018」開催のお知らせ

    情報源
      フィッシング対策協議会
      フィッシング対策セミナー 2018 開催のご案内
      https://www.antiphishing.jp/news/event/antiphishing_seminar2018.html

    概要
      フィッシング対策協議会では、2020年に向けてさらに増加が予測されるフィッ
      シング詐欺に対応するため、事業者側の効果的な対策促進をテーマに「フィッ
      シング対策セミナー 2018」を開催いたします。今年度のセミナーでは、フィッ
      シング詐欺に関連する国内の法執行機関、金融機関、米国のフィッシング対策
      組織から有識者をお招きし、フィッシングの最新の傾向とその対応策などをご
      紹介いたします。

      参加費は無料ですが、事前に参加申込みが必要となります。2018年10月2日よ
      り、参加申込みを開始しております。満席になり次第、受付終了とさせていた
      だきますので、ご了承ください。

      日時および場所:
          2018年11月2日 (金) 13:00 - 18:00 (受付開始 12:15〜)
          大崎ブライトコアホール (JR 大崎駅 新東口)
          〒141-0001 東京都品川区北品川5丁目5番15号 大崎ブライトコア3階
          http://osaki-hall.jp/access/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○ルートゾーン KSK ロールオーバーの鍵更新作業日時が決定

      2018年9月、ICANN は、ルートゾーン KSK ロールオーバーにおける KSK の更
      新作業を、2018年10月12日 午前1時 (日本時間) に行うことを発表しました。
      本更新作業は当初、2017年10月に行う予定が延期されていたものになります。

      作業実施を前に、ICANN から、ルートゾーン KSK ロールオーバーにおける注
      意事項についての包括的なガイドが発行されています。ガイドには、ロールオー
      バーで影響を受けるユーザや、その影響についての説明が記載されています。
      自組織で本変更への影響を未確認の場合、ICANN などの情報を参考に、影響を
      確認いただくことを推奨いたします。

    参考文献 (日本語)
      一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
      ICANN理事会がルートゾーンKSKロールオーバーの実施を承認
      https://www.nic.ad.jp/ja/topics/2018/20180919-01.html

      株式会社日本レジストリサービス (JPRS)
      ICANNが新KSKでの署名開始の日程を決定
      https://jprs.jp/tech/notice/2018-09-19-rootzonekskrollover-update.html

      Internet Corporation for Assigned Names and Numbers (ICANN)
      ICANN、KSKロールオーバーにおける注意事項についての包括的なガイドを発行
      https://www.icann.org/news/announcement-2018-08-27-ja

      JPCERT/CC
      速やかにキャッシュ DNS サーバの設定の見直しを
      https://www.jpcert.or.jp/tips/2017/wr172801.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2018 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJbtAjDAAoJEDF9l6Rp7OBItvcIAI4IRH+kJmpUbn4sMbmTYvcA
ria8AD6k6FOcF/0eY4CzZUUZPWSmECLJnSV4s3JpBuQH3cBWc3Ef7OojWdpD8G6W
zePhZovc4ABouNZq3n14S+EamVZ18ArfHJh9Lj+tLQVTvgAyiYl5VE4XqIRBLMTN
vXaRhMnEZ9prVLc9hfI5u9POzXcpmr3+NSUqFVJ2rStApiXLVJ9ORGMla23MtdYi
v7c/2zE6HMfIscGATEB0x+4/G7dOM8LnA1/1fUV+wxEAjRiKCldnfCCKC+Jvs+pI
1ek6dJAPhhXbXNsqR28BGti8/4ocGKBRbEwIhJC+ADsEebbyB/BSz0apOa2YgNc=
=qlq6
-----END PGP SIGNATURE-----