JPCERT コーディネーションセンター

Weekly Report 2017-03-01号

JPCERT-WR-2017-0801
JPCERT/CC
2017-03-01

<<< JPCERT/CC WEEKLY REPORT 2017-03-01 >>>

■02/19(日)〜02/25(土) のセキュリティ関連情報

目 次

【1】サイボウズ ガルーンに複数の脆弱性

【2】curl に SSL サーバ証明書の検証不備の脆弱性

【3】Logic Pro X にメモリ破損の脆弱性

【今週のひとくちメモ】JIPDEC が「JIPDEC経営読本 情報管理はマネーです」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr170801.txt
https://www.jpcert.or.jp/wr/2017/wr170801.xml

【1】サイボウズ ガルーンに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#73182875
サイボウズ ガルーンにおける複数の脆弱性
https://jvn.jp/jp/JVN73182875/

概要

サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第
三者が、任意の SQL 文を実行したり、ユーザのブラウザ上で任意のスクリプ
トを実行したりするなどの可能性があります。

対象となるバージョンは以下の通りです。

- サイボウズ ガルーン 3.0.0 から 4.2.3 まで

この問題は、サイボウズ ガルーンをサイボウズ株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提
供する情報を参照してください。

関連文書 (日本語)

サイボウズ株式会社
サイボウズ ガルーン 4 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2017/006348.html

【2】curl に SSL サーバ証明書の検証不備の脆弱性

情報源

Project curl Security Advisory
SSL_VERIFYSTATUS ignored
https://curl.haxx.se/docs/adv_20170222.html

概要

curl には、CURLOPT_SSL_VERIFYSTATUS オプションを使用している場合に、証
明書の失効状況を適切に検証しない脆弱性があります。結果として、失効した
証明書であっても有効であると判定される可能性があります。

対象となるバージョンは以下の通りです。

- curl 7.52.0 から 7.52.1 まで

この問題は、curl を curl が提供する修正済みのバージョンに更新すること
で解決します。詳細は、curl が提供する情報を参照してください。

関連文書 (英語)

curl
Changelog
https://curl.haxx.se/changes.html#7_53_0

【3】Logic Pro X にメモリ破損の脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/02/21/Apple-Releases-Security-Update

概要

Logic Pro X には、メモリ破損の脆弱性があります。結果として、遠隔の第三
者が、細工した GarageBand プロジェクトファイルをユーザに開かせること
で、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Logic Pro X 10.3.1 より前のバージョン

この問題は、Logic Pro X を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99002156
Apple GarageBand および Logic Pro X の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99002156/

関連文書 (英語)

Apple
About the security content of Logic Pro X 10.3.1
https://support.apple.com/en-us/HT207519

■今週のひとくちメモ

○JIPDEC が「JIPDEC経営読本 情報管理はマネーです」を公開

2017年2月24日、日本情報経済社会推進協会 (JIPDEC) は、「JIPDEC経営読本
情報管理はマネーです」を公開しました。この小冊子は、個人情報保護法改正
によって新たに個人情報保護法の適用対象となる中小企業経営層向けに、情報
管理の重要性を説明したものです。

参考文献 (日本語)

日本情報経済社会推進協会 (JIPDEC)
中小企業経営者向け小冊子 JIPDEC経営読本「情報管理はマネーです」公開のお知らせ
https://www.jipdec.or.jp/topics/news/20170224.html

日本情報経済社会推進協会 (JIPDEC)
JIPDEC経営読本「情報管理はマネーです」
https://www.jipdec.or.jp/library/u71kba00000072hw-att/jipdec_keieidokuhon_a4.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter