JPCERT コーディネーションセンター

Weekly Report 2017-09-06号

JPCERT-WR-2017-3401
JPCERT/CC
2017-09-06

<<< JPCERT/CC WEEKLY REPORT 2017-09-06 >>>

■08/27(日)〜09/02(土) のセキュリティ関連情報

目 次

【1】RubyGems に複数の脆弱性

【2】Rufus に任意のコードが実行可能な脆弱性

【3】富士ゼロックス株式会社製の複数の製品に DLL 読み込みに関する脆弱性

【4】リモートサポートツール(遠隔サポートツール)のインストーラに DLL 読み込みに関する脆弱性

【今週のひとくちメモ】JIPDEC が「(平成28年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr173401.txt
https://www.jpcert.or.jp/wr/2017/wr173401.xml

【1】RubyGems に複数の脆弱性

情報源

Ruby
RubyGems の複数の脆弱性について
https://www.ruby-lang.org/ja/news/2017/08/29/multiple-vulnerabilities-in-rubygems/

概要

RubyGems には、複数の脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなど
の可能性があります。

対象となるバージョンは次のとおりです。

- Ruby 2.2.7 およびそれ以前の 2.2 系のバージョン
- Ruby 2.3.4 およびそれ以前の 2.3 系のバージョン
- Ruby 2.4.1 およびそれ以前の 2.4 系のバージョン
- revision 59672 より前の開発版

この問題は、RubyGems を RubyGems が提供する修正済みのバージョンに更新
することで解決します。詳細は、RubyGems が提供する情報を参照してくださ
い。

関連文書 (英語)

RubyGems
2.6.13 Released
http://blog.rubygems.org/2017/08/27/2.6.13-released.html

【2】Rufus に任意のコードが実行可能な脆弱性

情報源

CERT/CC Vulnerability Note VU#403768
Akeo Consulting Rufus fails to update itself securely
https://www.kb.cert.org/vuls/id/403768

概要

Rufus には、任意のコードが実行可能な脆弱性があります。結果として、遠隔
の第三者が、中間者攻撃によって任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Akeo Consulting Rufus 2.16

2017年9月6日現在、対策済みのバージョンは公開されていません。次の回避策を
適用することで、本脆弱性の影響を軽減することが可能です。

- 当該製品のアップデート機能を使わずに、ウェブブラウザを使って手動でベン
ダサイトより更新データを取得してアップデートを行う

詳細は、Akeo Consulting が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98866977
Rufus に更新がセキュアに行われない脆弱性
https://jvn.jp/vu/JVNVU98866977/

関連文書 (英語)

Rufus
ER: Avoid prompts that users may not properly intepret on update signature validation #1009
https://github.com/pbatard/rufus/issues/1009

【3】富士ゼロックス株式会社製の複数の製品に DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#09769017
富士ゼロックス株式会社製の複数の製品における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN09769017/

概要

富士ゼロックス株式会社製の複数の製品には、DLL 読み込みに関する脆弱性が
あります。結果として、第三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- DocuWorks 8.0.7 およびそれ以前のインストーラ
- DocuWorks 8.0.7 およびそれ以前により生成された自己解凍文書
- DocuWorks Viewer Light インストーラ 登録日2017年7月以前のパッケージ
- ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271、DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け ART EX ドライバーのインストーラ (デジタル署名のタイムスタンプが日本時間 2017年4月12日 11:04 以前)
- ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271、DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け PostScript ドライバー Microsoft Pscript用 + 機能追加PlugIn + PPDファイル インストーラ (デジタル署名のタイムスタンプが日本時間 2017年4月12日 11:10 以前)
- ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271、DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け XPS 対応ドライバーのインストーラ (デジタル署名のタイムスタンプが日本時間 2016年11月4日 08:48 以前)
- ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271、DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け ART EXダイレクトファクスドライバーのインストーラ (デジタル署名のタイムスタンプが日本時間 2017年5月26日 16:44 以前)
- ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271、DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け設定復元ツールのインストーラ (デジタル署名のタイムスタンプが日本時間 2015年8月25日 17:51 以前)
- ContentsBridge Utility for Windows 7.4.0 およびそれ以前のインストーラ

インストーラの問題は、富士ゼロックス株式会社が提供する最新のインストー
ラでは解決しています。なお、すでに該当する製品をインストールしている場
合には、この問題の影響はありません。
DocuWorks で生成された自己解凍文書を利用する場合は、空の新規フォルダを
作成し、その中に DocuWorks 自己解凍文書を格納してから起動することで、
本脆弱性を回避することができます。
なお、開発元からは、自己解凍文書作成機能を停止したインストーラが公開さ
れています。詳細は、富士ゼロックス株式会社が提供する情報を参照してくだ
さい。

関連文書 (日本語)

富士ゼロックス株式会社
弊社提供ソフトウェアにおけるDLL読込みに関する脆弱性について
https://www.fujixerox.co.jp/company/news/notice/2017/0831_rectification_work.html

富士ゼロックス株式会社
DocuWorks自己解凍文書の任意DLL読み込みに関する脆弱性について
https://www.fujixerox.co.jp/company/news/notice/2017/0831_rectification_work_2.html

【4】リモートサポートツール(遠隔サポートツール)のインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#26115441
「リモートサポートツール(遠隔サポートツール)」のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN26115441/

概要

「リモートサポートツール(遠隔サポートツール)」のインストーラには、
DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコードを
実行する可能性があります。

対象となるバージョンは次のとおりです。

- リモートサポートツール(遠隔サポートツール) の平成29年8月10日以前にウェブ上に掲載されていた版すべて

この問題は、東日本電信電話株式会社または西日本電信電話株式会社が提供す
る最新のインストーラでは解決しています。なお、すでにリモートサポートツー
ル(遠隔サポートツール)をインストールしている場合には、この問題の影響
はありません。詳細は、東日本電信電話株式会社または西日本電信電話株式会
社が提供する情報を参照してください。

関連文書 (日本語)

東日本電信電話株式会社
重要:リモートサポートツール(遠隔サポートツール)をご利用のお客さまへ
https://flets.com/osa/remote/pc_tool.html

西日本電信電話株式会社
「Windows用<リモートサポートツール>」における脆弱性について
https://flets-w.com/topics/remote_support_vulnerability/

■今週のひとくちメモ

○JIPDEC が「(平成28年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」」を公開

2017年8月28日、日本情報経済社会推進協会 (JIPDEC) は、「(平成28年度)
「個人情報の取扱いにおける事故報告にみる傾向と注意点」」を公開しました。
この文書は、プライバシーマーク付与事業者の個人情報の取扱いにおける過去
数年の事故の傾向と、IT 関連、対面・電話等、盗難・紛失の 3種類の事故の
注意事項についてまとめられたものです。

参考文献 (日本語)

日本情報経済社会推進協会 (JIPDEC)
(平成28年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」について
https://privacymark.jp/news/2017/0828/index.html

日本情報経済社会推進協会 (JIPDEC)
(平成28年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」
https://privacymark.jp/reference/pdf/H28JikoHoukoku_170828.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter