JPCERT コーディネーションセンター

Weekly Report 2018-01-17号

JPCERT-WR-2018-0201
JPCERT/CC
2018-01-17

<<< JPCERT/CC WEEKLY REPORT 2018-01-17 >>>

■01/07(日)〜01/13(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】Adobe Flash Player に情報漏えいの脆弱性

【3】複数の Juniper 製品に脆弱性

【4】複数の VMware 製品に脆弱性

【5】複数の Apple 製品に脆弱性

【6】Lhaplus に検証不備の脆弱性

【今週のひとくちメモ】Wi-Fi Alliance が WPA3 の概要を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr180201.txt
https://www.jpcert.or.jp/wr/2018/wr180201.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases January 2018 Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/01/09/Microsoft-Releases-January-2018-Security-Updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office and Microsoft Office Services および Web Apps
- SQL Server
- ChakraCore
- .NET Framework
- .NET Core
- ASP.NET Core

この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで解
決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC
2018年 1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180002.html

マイクロソフト株式会社
2018 年 1 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/858123b8-25ca-e711-a957-000d3a33cf99

【2】Adobe Flash Player に情報漏えいの脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Flash Player
https://www.us-cert.gov/ncas/current-activity/2018/01/09/Adobe-Releases-Security-Updates-Flash-Player

概要

Adobe Flash Player には、情報漏えいの脆弱性があります。結果として、遠隔
の第三者が情報を取得する可能性があります。

対象となるバージョンは次のとおりです。

- Adobe Flash Player デスクトップランタイム 28.0.0.126 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
- Google Chrome 用の Adobe Flash Player 28.0.0.126 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版)
- Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 28.0.0.126 およびそれ以前 (Windows 10 版、8.1 版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC
Adobe Flash Player の脆弱性 (APSB18-01) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180001.html

Adobe
Flash Player 用のセキュリティアップデート公開 | APSB18-01
https://helpx.adobe.com/jp/security/products/flash-player/apsb18-01.html

【3】複数の Juniper 製品に脆弱性

情報源

US-CERT Current Activity
Juniper Networks Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/01/11/Juniper-Networks-Releases-Security-Updates

概要

複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可
能性があります。

対象となる製品は次のとおりです。

- ScreenOS
- Junos Space Security Director and Log Collector
- CTPView
- Junos Space
- Junos OS
- SRX シリーズ

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Juniper が提供する情報を参照してください。

関連文書 (英語)

Juniper Networks
2018-01 Security Bulletin: ScreenOS: Etherleak vulnerability found on ScreenOS device (CVE-2018-0014)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10841

Juniper Networks
2018-01 Security Bulletin: Junos Space Security Director and Log Collector: Multiple vulnerabilities resolved in 17.2R1 release
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10840

Juniper Networks
2018-01 Security Bulletin: CTPView: Multiple Linux kernel vulnerabilities.
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10839

Juniper Networks
2018-01 Security Bulletin: Junos Space: Multiple vulnerabilities resolved in 17.2R1 release
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10838

Juniper Networks
2018-01 Security Bulletin: Junos OS: OpenSSH Memory exhaustion due to unregistered KEXINIT handler (CVE-2016-8858)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10837

Juniper Networks
SRX Series: Firewall bypass vulnerability when UUID with leading zeros is configured. (CVE-2018-0009)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10836

Juniper Networks
2018-01 Security Bulletin: Junos: commit script may allow unauthenticated root login upon reboot (CVE-2018-0008)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10835

Juniper Networks
2018-01 Security Bulletin: Junos: bbe-smgd process denial of service while processing VLAN authentication requests/rejects (CVE-2018-0006)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10834

Juniper Networks
2018-01 Security Bulletin: Junos OS: MAC move limit configured to drop traffic may forward traffic. (CVE-2018-0005)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10833

Juniper Networks
2018-01 Security Bulletin: Junos OS: Kernel Denial of Service Vulnerability (CVE-2018-0004)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10832

Juniper Networks
2018-01 Security Bulletin: Junos OS: A crafted MPLS packet may lead to a kernel crash (CVE-2018-0003)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10831

Juniper Networks
2018-01 Security Bulletin: Junos OS: Malicious LLDP crafted packet leads to privilege escalation, denial of service. (CVE-2018-0007)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10830

Juniper Networks
2018-01 Security Bulletin: MX series, SRX series: Junos OS: Denial of service vulnerability in Flowd on devices with ALG enabled. (CVE-2018-0002)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10829

Juniper Networks
2018-01 Security Bulletin: Junos: Unauthenticated Remote Code Execution through J-Web interface (CVE-2018-0001)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10828

【4】複数の VMware 製品に脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/01/10/VMware-Releases-Security-Updates

US-CERT Current Activity
VMware Releases Security Updates for Workstation, Fusion
https://www.us-cert.gov/ncas/current-activity/2018/01/11/VMware-Releases-Security-Updates-Workstation-Fusion

概要

複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユーザ
がホスト OS 上で任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware vCenter Server 6.5 U1e より前のバージョン
- VMware vCenter Server 6.0 U3d より前のバージョン
- VMware vCenter Server 5.5 U3g より前のバージョン
- VMware vSphere ESXi 6.5 系のバージョン
- VMware vSphere ESXi 6.0 系のバージョン
- VMware vSphere ESXi 5.5 系のバージョン
- VMware Workstation Pro / Player 14.1.1 より前のバージョン
- VMware Workstation Pro / Player 12.5.9 より前のバージョン
- VMware Fusion Pro / Fusion 10.1.1 より前のバージョン
- VMware Fusion Pro / Fusion 8.5.10 より前のバージョン

VMSA-2018-0005 の問題は、該当する製品を VMware が提供する修正済みのバー
ジョンに更新することで解決します。また、VMSA-2018-0004.2 の問題 (CPU に
対するサイドチャネル攻撃の問題) は、対策の施されたバージョンを適用するこ
とで影響が緩和されます。詳細は、VMware が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#93823979
CPU に対するサイドチャネル攻撃
https://jvn.jp/vu/JVNVU93823979/

関連文書 (英語)

VMware Security Advisories
VMSA-2018-0004.2
https://www.vmware.com/security/advisories/VMSA-2018-0004.html

VMware Security Advisories
VMSA-2018-0005
https://www.vmware.com/security/advisories/VMSA-2018-0005.html

【5】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/01/08/Apple-Releases-Multiple-Security-Updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が情報を
取得する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS High Sierra 10.13.2
- Safari 11.0.2 およびそれ以前
- iOS 11.2.2 より前のバージョン

この問題 (CPU に対するサイドチャネル攻撃の問題) は、該当する製品に Apple
が提供する対策の施されたバージョンを適用することで影響が緩和されます。詳
細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Apple
macOS High Sierra 10.13.2 追加アップデートのセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208397

Apple
Safari 11.0.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208403

Apple
iOS 11.2.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208401

Japan Vulnerability Notes JVNVU#94630516
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94630516/

Japan Vulnerability Notes JVNVU#93823979
CPU に対するサイドチャネル攻撃
https://jvn.jp/vu/JVNVU93823979/

【6】Lhaplus に検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#57842148
Lhaplus の ZIP64 形式のファイル展開における検証不備の脆弱性
https://jvn.jp/jp/JVN57842148/

概要

Lhaplus には、ZIP64 形式のファイル展開における検証不備の脆弱性があります。
結果として、第三者が、細工した ZIP64 形式のファイルを展開させることで、ユー
ザの意図しないファイルを生成する可能性があります。

対象となるバージョンは次のとおりです。

- Lhaplus Version 1.73 およびそれ以前

この問題は、Lhaplus を開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Schezo
Lhaplus における異なる内容で展開される脆弱性
http://www7a.biglobe.ne.jp/~schezo/JVN57842148.html

■今週のひとくちメモ

○Wi-Fi Alliance が WPA3 の概要を公開

2018年1月8日 (米国時間)、Wi-Fi Alliance は新たな Wi-Fi 規格である WPA3
に関する情報を公開しました。これによると、WPA3 では新たに次のセキュリティ
対策が予定されています。

- 複雑性を欠いたパスワードが設定されている場合の保護を強化する機能
- ディスプレイのない機器などに対する Wi-Fi セキュリティ設定の容易化
- 個別のデータ暗号化によるオープンネットワークでの通信の保護
- 暗号規格「CNSA (Commercial National Security Algorithm) Suite」に準拠した暗号アルゴリズムの採用

なお、Wi-Fi Alliance によると、WPA3 に関する詳細情報を 2018年の後半に公
開する予定とのことです。

参考文献 (英語)

Wi-Fi Alliance
Wi-Fi Alliance introduces security enhancements
https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements

Wi-Fi Alliance
Security
https://www.wi-fi.org/discover-wi-fi/security

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter