JPCERT コーディネーションセンター

Weekly Report 2017-08-23号

JPCERT-WR-2017-3201
JPCERT/CC
2017-08-23

<<< JPCERT/CC WEEKLY REPORT 2017-08-23 >>>

■08/13(日)〜08/19(土) のセキュリティ関連情報

目 次

【1】Apache Tomcat に複数の脆弱性

【2】Drupal に複数の脆弱性

【3】複数の Cisco 製品に脆弱性

【4】定期報告書作成支援ツールに DLL 読み込みに関する脆弱性

【5】新・緊急時報告データ入力プログラムのインストーラに DLL 読み込みに関する脆弱性

【6】新・基幹統計報告データ入力用プログラムのインストーラに DLL 読み込みに関する脆弱性

【7】新・石油輸入調査報告データ入力プログラムのインストーラに DLL 読み込みに関する脆弱性

【8】TypeAご利用ソフトのインストーラおよびインストーラを含む自己解凍書庫に DLL 読み込みに関する脆弱性

【今週のひとくちメモ】マルウエア Datper をプロキシログから検知する方法

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr173201.txt
https://www.jpcert.or.jp/wr/2017/wr173201.xml

【1】Apache Tomcat に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#91991349
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU91991349/

概要

Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が、
キャッシュデータを改ざんしたり、ファイルにアクセスしたりする可能性があ
ります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 9.0.0.M1 から 9.0.0.M21 まで
- Apache Tomcat 8.5.0 から 8.5.15 まで
- Apache Tomcat 8.0.0.RC1 から 8.0.44 まで
- Apache Tomcat 7.0.41 から 7.0.78 まで

この問題は、Apache Tomcat を Apache Tomcat が提供する修正済みのバージョン
に更新することで解決します。詳細は、Apache Tomcat が提供する情報を参照
してください。

関連文書 (英語)

Apache Tomcat
Fixed in Apache Tomcat 9.0.0.M22
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M22

Apache Tomcat
Fixed in Apache Tomcat 8.5.16
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.16

Apache Tomcat
Fixed in Apache Tomcat 8.0.45
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.45

Apache Tomcat
Fixed in Apache Tomcat 7.0.79
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.79

【2】Drupal に複数の脆弱性

情報源

US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/08/16/Drupal-Releases-Security-Updates

概要

Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、情報
を改ざんしたり、取得したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 8.3.7 より前の 8 系のバージョン

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-004
https://www.drupal.org/SA-CORE-2017-004

【3】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/08/16/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Application Policy Infrastructure Controller (APIC)
- Cisco Virtual Network Function (VNF) Element Manager 5.0.4 より前のバージョン
- Cisco Virtual Network Function (VNF) Element Manager 5.1.4 より前のバージョン

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Application Policy Infrastructure Controller SSH Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170816-apic1

Cisco Security Advisory
Cisco Application Policy Infrastructure Controller Custom Binary Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170816-apic2

Cisco Security Advisory
Cisco Virtual Network Function Element Manager Arbitrary Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170816-em

【4】定期報告書作成支援ツールに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#53292345
定期報告書作成支援ツールにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN53292345/

概要

定期報告書作成支援ツールには、DLL 読み込みに関する脆弱性があります。結
果として、第三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- 定期報告書作成支援ツールv4.0

この問題は、経済産業省資源エネルギー庁が提供する最新のインストーラでは
解決しています。なお、すでに定期報告書作成支援ツールをインストールして
いる場合には、この問題の影響はありません。詳細は、経済産業省資源エネル
ギー庁が提供する情報を参照してください。

関連文書 (日本語)

経済産業省資源エネルギー庁
定期報告書作成支援ツールv4.1(29年度提出用)
http://www.enecho.meti.go.jp/notice/topics/003/

【5】新・緊急時報告データ入力プログラムのインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#23546631
新・緊急時報告データ入力プログラムのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN23546631/

概要

新・緊急時報告データ入力プログラムのインストーラには、DLL 読み込みに関
する脆弱性があります。結果として、第三者が任意のコードを実行する可能性
があります。

対象となるバージョンは次のとおりです。

- 新・緊急時報告データ入力用プログラム (平成23年3月10日版) のインストーラ "setup緊急時入力.exe" (2017年5月17日(水) より前に HP 上に掲載されていた版)

この問題は、経済産業省資源エネルギー庁が提供する最新のインストーラでは
解決しています。なお、すでに新・緊急時報告データ入力用プログラムをイン
ストールしている場合には、この問題の影響はありません。詳細は、経済産業
省資源エネルギー庁が提供する情報を参照してください。

関連文書 (日本語)

経済産業省資源エネルギー庁
新・緊急時報告データ入力プログラム(平成23年3月10日版)
http://www.enecho.meti.go.jp/statistics/petroleum_and_lpgas/oil_enterprise/002/

【6】新・基幹統計報告データ入力用プログラムのインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#73559859
新・基幹統計報告データ入力用プログラムのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN73559859/

概要

新・基幹統計報告データ入力用プログラムのインストーラには、DLL 読み込み
に関する脆弱性があります。結果として、第三者が任意のコードを実行する可
能性があります。

対象となるバージョンは次のとおりです。

- 新・基幹統計報告データ入力用プログラム (平成25年9月30日版) のインストーラ "setup基幹統計入力.exe" (2017年5月17日(水) より前に HP 上に掲載されていた版)

この問題は、経済産業省資源エネルギー庁が提供する最新のインストーラでは
解決しています。なお、すでに新・基幹統計報告データ入力用プログラムをイ
ンストールしている場合には、この問題の影響はありません。詳細は、経済産
業省資源エネルギー庁が提供する情報を参照してください。

関連文書 (日本語)

経済産業省資源エネルギー庁
新・基幹統計報告データ入力用プログラム(平成25年9月30日版)
http://www.enecho.meti.go.jp/statistics/petroleum_and_lpgas/oil_enterprise/001/

【7】新・石油輸入調査報告データ入力プログラムのインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#71104430
新・石油輸入調査報告データ入力プログラムのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN71104430/

概要

新・石油輸入調査報告データ入力プログラムのインストーラには、DLL 読み込
みに関する脆弱性があります。結果として、第三者が任意のコードを実行する
可能性があります。

対象となるバージョンは次のとおりです。

- 新・石油輸入調査報告データ入力用プログラム (平成25年9月30日版) のインストーラ "setup石油輸入調査入力.exe" (2017年5月17日(水) より前に HP 上に掲載されていた版)

この問題は、経済産業省資源エネルギー庁が提供する最新のインストーラでは
解決しています。なお、すでに新・石油輸入調査報告データ入力用プログラム
をインストールしている場合には、この問題の影響はありません。詳細は、経
済産業省資源エネルギー庁が提供する情報を参照してください。

関連文書 (日本語)

経済産業省資源エネルギー庁
新・石油輸入調査報告データ入力プログラム(平成25年9月30日版)
http://www.enecho.meti.go.jp/statistics/petroleum_and_lpgas/oil_enterprise/001/

【8】TypeAご利用ソフトのインストーラおよびインストーラを含む自己解凍書庫に DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#18641169
TypeAご利用ソフトのインストーラおよびインストーラを含む自己解凍書庫における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN18641169/

概要

TypeAご利用ソフトのインストーラおよびインストーラを含む自己解凍書庫に
は、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコー
ドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- TypeAご利用ソフト バージョン 5.2 およびそれ以前 (2017年8月10日より前に提供していた版)

この問題は、株式会社帝国データバンクが提供する最新のインストーラでは解
決しています。なお、すでに TypeAご利用ソフトをインストールしている場合
には、この問題の影響はありません。詳細は、株式会社帝国データバンクが提
供する情報を参照してください。

関連文書 (日本語)

株式会社帝国データバンク
「TypeAご利用ソフト」のメンテナンスについて
https://www.tdb.co.jp/typeA/news/news.html#20170810_TypeAmaintenance

■今週のひとくちメモ

○マルウエア Datper をプロキシログから検知する方法

2017年8月17日、JPCERT/CC は分析センターだより「マルウエアDatperをプロ
キシログから検知する」を公開しました。「Datper」は主に日本国内の組織を
標的とした攻撃に使われてきたマルウエアで、JPCERT/CC では 2016年6月頃か
らこのマルウエアを使った攻撃を確認しています。Datper を用いた一連の攻
撃は検知が難しく、攻撃の早期発見や被害の未然防止が難しいのが現状です。
こうした状況の改善の一助となるべく、今回の記事では、Datper をその通信
の特徴から検知する方法を紹介しています。過去に遡ったログの調査等にご活
用いただけますと幸いです。

参考文献 (日本語)

JPCERT/CC
マルウエアDatperをプロキシログから検知する(2017-08-17)
https://www.jpcert.or.jp/magazine/acreport-datper.html

参考文献 (英語)

JPCERT/CC
Detecting Datper Malware from Proxy Logs
http://blog.jpcert.or.jp/2017/08/detecting-datper-malware-from-proxy-logs.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter