-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-0601 JPCERT/CC 2019-02-14 <<< JPCERT/CC WEEKLY REPORT 2019-02-14 >>> ―――――――――――――――――――――――――――――――――――――― ■02/03(日)〜02/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Apple 製品に脆弱性 【2】POWER EGG に任意の EL 式を実行される脆弱性 【3】OpenAM (オープンソース版) にオープンリダイレクトの脆弱性 【4】Marvell 製 Avastar ワイヤレス SoC に複数の脆弱性 【今週のひとくちメモ】Japan Security Analyst Conference 2019 開催レポートを公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr190601.html https://www.jpcert.or.jp/wr/2019/wr190601.xml ============================================================================ 【1】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Multiple Security Updates https://www.us-cert.gov/ncas/current-activity/2019/02/07/Apple-Releases-Multiple-Security-Updates 概要 複数の Apple 製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 12.1.4 より前のバージョン - macOS Mojave 10.14.3 ビルド 18D109 より前のバージョン - Shortcuts 2.1.3 for iOS より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98819755 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU98819755/ 関連文書 (英語) Apple About the security content of iOS 12.1.4 https://support.apple.com/en-us/HT209520 Apple About the security content of macOS Mojave 10.14.3 Supplemental Update https://support.apple.com/en-us/HT209521 Apple About the security content of Shortcuts 2.1.3 for iOS https://support.apple.com/en-us/HT209522 Apple Find out which macOS your Mac is using https://support.apple.com/en-us/HT201260 【2】POWER EGG に任意の EL 式を実行される脆弱性 情報源 Japan Vulnerability Notes JVN#63860183 POWER EGG において任意の EL 式を実行される脆弱性 https://jvn.jp/jp/JVN63860183/ 概要 ディサークル株式会社が提供する POWER EGG には、任意の EL 式を実行可能 となる脆弱性があります。結果として、遠隔の第三者が、当該製品が動作して いるサーバ上で任意のコマンドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - POWER EGG2.0 Ver2.0.1 - POWER EGG2.0 Ver2.02 修正パッチ3 およびそれ以前 - POWER EGG2.0 Ver2.1 修正パッチ4 およびそれ以前 - POWER EGG2.0 Ver2.2 修正パッチ7 およびそれ以前 - POWER EGG2.0 Ver2.3 修正パッチ9 およびそれ以前 - POWER EGG2.0 Ver2.4 修正パッチ13 およびそれ以前 - POWER EGG2.0 Ver2.5 修正パッチ12 およびそれ以前 - POWER EGG2.0 Ver2.6 修正パッチ8 およびそれ以前 - POWER EGG2.0 Ver2.7 修正パッチ6 およびそれ以前 - POWER EGG2.0 Ver2.7 自治体版 修正パッチ7 およびそれ以前 - POWER EGG2.0 Ver2.8 修正パッチ6 およびそれ以前 - POWER EGG2.0 Ver2.8c 修正パッチ5 およびそれ以前 - POWER EGG2.0 Ver2.9 修正パッチ4 およびそれ以前 なお、POWER EGG2.0 Ver2.10c、POWER EGG2.0 Ver2.11c および POWER EGG3.0 は、本脆弱性の影響を受けないとのことです。 この問題は、該当する製品をディサークル株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、ディサークル株式会社が提供す る情報を参照してください。 関連文書 (日本語) ディサークル株式会社 POWER EGG2.0製品における任意のコード実行の脆弱性につきまして https://poweregg.d-circle.com/support/package/important/20190204_000780/ 【3】OpenAM (オープンソース版) にオープンリダイレクトの脆弱性 情報源 Japan Vulnerability Notes JVN#43193964 OpenAM (オープンソース版) におけるオープンリダイレクトの脆弱性 https://jvn.jp/jp/JVN43193964/ 概要 OpenAM (オープンソース版) には、オープンリダイレクトの脆弱性があります。 結果として、遠隔の第三者が、細工したページにユーザをアクセスさせること で、当該製品が設置されたサーバを経由してユーザをフィッシングサイトなど にリダイレクトさせる可能性があります。 対象となるバージョンは次のとおりです。 - OpenAM (オープンソース版) 13.0 オープンソース・ソリューション・テクノロジ株式会社によると、OpenAM (オー プンソース版) 9 および 11 は、本脆弱性の影響を受けないことを確認済みで あるとのことです。 この問題は、OpenAM コンソーシアムが提供するパッチを適用することで解決 します。詳細は、OpenAM コンソーシアムなどが提供する情報を参照してくだ さい。 関連文書 (日本語) オープンソース・ソリューション・テクノロジ株式会社 OpenAMのセキュリティに関する脆弱性と製品アップデートのお知らせ[AM20190206-1] https://www.osstech.co.jp/support/am2019-1-1 【4】Marvell 製 Avastar ワイヤレス SoC に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#730261 Marvell Avastar wireless SoCs have multiple vulnerabilities https://kb.cert.org/vuls/id/730261/ Japan Vulnerability Notes JVNVU#92674930 Marvell 製 Avastar ワイヤレス SoC における複数の脆弱性 https://jvn.jp/vu/JVNVU92674930/ 概要 複数の Marvell 製 Avastar ワイヤレス SoC モデルには、複数の脆弱性があ ります。結果として、Wi-Fi の電波が届く範囲にいる未認証の第三者が、特別 に細工した Wi-Fi フレームを利用して、Marvell SoC を搭載したシステム上 で任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Avastar 88W8787 - Avastar 88W8797 - Avastar 88W8801 - Avastar 88W8897 - Avastar 88W8997 この問題について、Marvell は顧客に対し、販売代理店に連絡するよう勧めて います。使用しているシステムのベンダなどの情報を確認し、対策の施された バージョンが公開されている場合は適用することをおすすめします。なお、 Microsoft は、複数の Surface 製品向けのアップデートを公開しています。 また、次のワークアラウンドの実施を検討してください。 - 物理的なアクセスを制限する 本脆弱性を悪用するためには、攻撃者は Wi-Fi の電波が届く範囲にいる必要があります。 脆弱な機器の周囲への侵入を物理的に制限することで、本脆弱性の影響を軽減することが可能です。 - Wi-Fi 機能を無効化する システムに有線接続など他の接続オプションがある場合、Wi-Fi 機能を無効化することで、本脆弱性の影響を軽減することが可能です。 関連文書 (英語) Marvell WiFi CVE-2019-6496 Marvell's Statement https://ja.scribd.com/document/398350818/WiFi-CVE-2019-6496-Marvell-s-Statement ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Japan Security Analyst Conference 2019 開催レポートを公開 JPCERT/CC は、2019年1月18日に御茶ノ水ソラシティカンファレンスセンター にて開催された Japan Security Analyst Conference 2019 (JSAC2019)の開 催レポートを公開しました。本カンファレンスは、日々セキュリティインシデン トに対応する現場のセキュリティアナリストを対象とし、高度化するサイバー 攻撃に対抗するための技術情報を共有することを目的に開催しております。 開催レポートでは、JSAC2019 の講演の様子を、前半と後半の 2回に分けて紹 介しています。講演資料も Web サイトで公開しています。(一部非公開) 参考文献 (日本語) JPCERT/CC Japan Security Analyst Conference 2019開催レポート〜前編〜 https://blogs.jpcert.or.jp/ja/2019/01/jsac2019report1.html JPCERT/CC Japan Security Analyst Conference 2019開催レポート〜後編〜 https://blogs.jpcert.or.jp/ja/2019/02/jsac2019report2.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJcZK+UAAoJEDF9l6Rp7OBIrMYH/2ieeZBJCFZSH5Kfljo9qZxE LFF/3ENyULGNCS1Y8YRF8TX0DpwtiuHZtwjqLH0RfHWAX3/KEcYELEqkkijcNxTe kfUqSyewXvh3uJKypl0gOsHc5QS6sqJBbja2LlDPAGznU+igNs736nlx23vyGqJB TXnFkhQB+xtV3IsMBaKoxNr9X9XKby2h5fCsGx2mEMcyTT+JwaufdawVTeN5O9XK cV01VmIzdwvERLFUT3ySKhPrcCgi5MpQMHyPUAzCPBfDfGpcfxFUpUwAv+759gFu aOKXnq3JTdsOlhmXyP2RODD0Bml2l2Air85bLkvRU0//AZBXv5Ut1v3jvK9W+9o= =VwEJ -----END PGP SIGNATURE-----