-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2019-1801
                                                                   JPCERT/CC
                                                                  2019-05-15

            <<< JPCERT/CC WEEKLY REPORT 2019-05-15 >>>

――――――――――――――――――――――――――――――――――――――
■05/05(日)〜05/11(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Cisco Elastic Services Controller に認証回避の脆弱性
【2】Drupal にパストラバーサルの脆弱性
【3】電子申請・届出アプリケーション オンライン版のインストーラおよびオフライン版に DLL 読み込みの脆弱性
【4】Android アプリ「クリエイトＳＤ公式アプリ」にアクセス制限不備の脆弱性
【今週のひとくちメモ】APCERT Annual Report 2018 公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2019/wr191801.html
        https://www.jpcert.or.jp/wr/2019/wr191801.xml
============================================================================


【1】Cisco Elastic Services Controller に認証回避の脆弱性

    情報源
      US-CERT Current Activity
      Cisco Releases Security Update for Elastic Services Controller
      https://www.us-cert.gov/ncas/current-activity/2019/05/07/Cisco-Releases-Security-Update-Elastic-Services-Controller

    概要
      Cisco Elastic Services Controller には、認証回避の脆弱性があります。結
      果として、遠隔の第三者が、管理者権限で任意の操作を実行する可能性があり
      ます。

      対象となるバージョンは次のとおりです。

      - REST API が有効になっている Cisco Elastic Services Controller 4.1、4.2、4.3、4.4

      この問題は、Cisco Elastic Services Controller を、Cisco が提供する修正
      済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情
      報を参照してください。

    関連文書 (英語)
      Cisco Security Advisory
      Cisco Elastic Services Controller REST API Authentication Bypass Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190507-esc-authbypass

【2】Drupal にパストラバーサルの脆弱性

    情報源
      US-CERT Current Activity
      Drupal Releases Security Update
      https://www.us-cert.gov/ncas/current-activity/2019/05/09/Drupal-Releases-Security-Update

    概要
      Drupal には、パストラバーサルの脆弱性があります。 結果として、遠隔の第
      三者がセキュリティ機能を回避し、任意のパスにアクセスする可能性がありま
      す。

      対象となるバージョンは次のとおりです。

      - Drupal 8.7.1 より前の 8.7 系
      - Drupal 8.6.16 より前の 8.6 系
      - Drupal 7.67 より前の 7 系

      なお、Drupal 8.6 系より前の 8 系のバージョンは、サポートが終了していま
      す。

      この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
      ことで解決します。詳細は、Drupal が提供する情報を参照してください。

    関連文書 (英語)
      Drupal
      Drupal core - Moderately critical - Third-party libraries - SA-CORE-2019-007
      https://www.drupal.org/sa-core-2019-007

【3】電子申請・届出アプリケーション オンライン版のインストーラおよびオフライン版に DLL 読み込みの脆弱性

    情報源
      Japan Vulnerability Notes JVN#91361851
      電子申請・届出アプリケーション オンライン版のインストーラにおける DLL 読み込みに関する脆弱性
      https://jvn.jp/jp/JVN91361851/

      Japan Vulnerability Notes JVN#69903953
      電子申請・届出アプリケーション オフライン版における DLL 読み込みに関する脆弱性
      https://jvn.jp/jp/JVN69903953/

    概要
      電子申請・届出アプリケーション オンライン版のインストーラおよびオフラ
      イン版には、DLL 読み込みに関する脆弱性があります。結果として、第三者が
      任意のコードを実行する可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - 電子申請・届出アプリケーション オンライン版 1.0.9.0 およびそれ以前
      - 電子申請・届出アプリケーション オフライン版 1.0.9.0 およびそれ以前

      この問題は、電子申請・届出アプリケーション オフライン版については、総
      務省が提供する修正済みのバージョンに更新することで解決します。また、オン
      ライン版については、総務省が提供する最新のインストーラを使用することで
      解決します。詳細は、総務省が提供する情報を参照してください。

    関連文書 (日本語)
      総務省
      総務省 電波利用 電子申請・届出システム | オンライン版インストーラのダウンロード
      https://www.denpa.soumu.go.jp/public/prog/onlineInstaller_download.html

      総務省
      総務省 電波利用 電子申請・届出システム | オフライン版インストーラのダウンロード
      https://www.denpa.soumu.go.jp/public/prog/offlineInstaller_download.html

【4】Android アプリ「クリエイトＳＤ公式アプリ」にアクセス制限不備の脆弱性

    情報源
      Japan Vulnerability Notes JVN#87655507
      Android アプリ「クリエイトＳＤ公式アプリ」におけるアクセス制限不備の脆弱性
      https://jvn.jp/jp/JVN87655507/

    概要
      Android アプリ「クリエイトＳＤ公式アプリ」には、アクセス制限不備の脆弱
      性があります。結果として、遠隔の第三者が、当該製品のユーザを任意のウェ
      ブサイトにアクセスさせる可能性があります。

      対象となるバージョンは次のとおりです。

      - クリエイトＳＤ公式アプリ バージョン 1.0.2 およびそれ以前

      この問題は、クリエイトＳＤ公式アプリを株式会社クリエイトエス・ディーが
      提供する修正済みのバージョンに更新することで解決します。詳細は、株式会
      社クリエイトエス・ディーが提供する情報を参照してください。

    関連文書 (日本語)
      株式会社クリエイトエス・ディー
      「クリエイトＳＤ公式アプリ」脆弱性に関するお知らせ
      https://www.create-sd.co.jp/Portals/0/pdf/appsec.pdf


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○APCERT Annual Report 2018 公開

      2019年5月9日、アジア太平洋地域の国や地域の窓口 CSIRT を中心とした集ま
      りである APCERT は、2018年の活動をまとめた「APCERT Annual Report 2018」
      を公開しました。

      アジア太平洋地域の CSIRT がそれぞれどのような活動をしているか、また、
      チーム間でどのような連携活動を行っているかを知るための資料としてご参照
      ください。

    参考文献 (英語)
      APCERT
      APCERT Annual Report 2018
      https://www.apcert.org/documents/pdf/APCERT_Annual_Report_2018.pdf


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJc2M89AAoJEDF9l6Rp7OBIGGcH/3aLi9y/jONpOrGfbR81F6Ix
YBOi4w9r7qyhI2EMaE23le18tSlhvtbs7+vHbDJdVUsmR9OTJTQZ1WkND9lrGVIo
hGOYpB0dMSZ08PoZPwDObrNkWrtqHuKu5KJ/fkx5G+YkXRxvhLh85alpcJ156q+V
vAD5A2pArEc9jhRssIj882cwSucpEuV0M1X2tZa7DzfprYKVWgVKp1ERxDMDPvmF
v5MMoQkWaUy6L/x45VDtOHCGXc/OAXAziiOhjhOPWPWdrXxIGJmA41JJKUCBFu8t
8g7fHhcp3VJZAHyfmABFSsJzjq2pWBPtjAxASQij1ZgmkH1LEAVDMEKau/vc5e0=
=A6rE
-----END PGP SIGNATURE-----