<<< JPCERT/CC WEEKLY REPORT 2018-04-04 >>>

■03/25(日)〜03/31(土) のセキュリティ関連情報

目　次

【1】複数の Cisco 製品に脆弱性

【2】複数の Apple 製品に脆弱性

【3】Drupal に任意のコードが実行可能な脆弱性

【4】OpenSSL に複数の脆弱性

【5】Mozilla Firefox に解放済みメモリ使用 (use-after-free) の脆弱性

【6】Windows 7 x64 および Windows Server 2008 R2 x64 に脆弱性

【7】Apache Struts 2 にサービス運用妨害 (DoS) の脆弱性

【8】Ruby に複数の脆弱性

【9】PHP に複数の脆弱性

【10】WZR-1750DHP2 に複数の脆弱性

【今週のひとくちメモ】IPA が「サイバーレスキュー隊（J-CRAT）技術レポート2017」を公開

【1】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/03/28/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりするなどの
可能性があります。

対象となる製品は次のとおりです。

- Cisco IOS ソフトウェア
- Cisco IOS XE ソフトウェア
- Cisco IOS XR ソフトウェア

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Event Response: March 2018 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication
https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-66682

【2】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/03/29/Apple-Releases-Multiple-Security-Updates

Japan Vulnerability Notes JVN#92378299
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92378299/

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなど
の可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iCloud for Windows 7.4 より前のバージョン
- Safari 11.1 より前のバージョン
- macOS High Sierra 10.13.4 より前のバージョン
- macOS Sierra (Security Update 2018-002 未適用)
- OS X El Capitan (Security Update 2018-002 未適用)
- iTunes 12.7.4 for Windows より前のバージョン
- Xcode 9.3 より前のバージョン
- tvOS 11.3 より前のバージョン
- watchOS 4.3 より前のバージョン
- iOS 11.3 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (英語)

Apple
About the security content of iCloud for Windows 7.4
https://support.apple.com/en-us/HT208697

Apple
About the security content of Safari 11.1
https://support.apple.com/en-us/HT208695

Apple
About the security content of macOS High Sierra 10.13.4, Security Update 2018-002 Sierra, and Security Update 2018-002 El Capitan
https://support.apple.com/en-us/HT208692

Apple
About the security content of iTunes 12.7.4 for Windows
https://support.apple.com/en-us/HT208694

Apple
About the security content of Xcode 9.3
https://support.apple.com/en-us/HT208699

Apple
About the security content of tvOS 11.3
https://support.apple.com/en-us/HT208698

Apple
About the security content of watchOS 4.3
https://support.apple.com/en-us/HT208696

Apple
About the security content of iOS 11.3
https://support.apple.com/en-us/HT208693

【3】Drupal に任意のコードが実行可能な脆弱性

情報源

US-CERT Current Activity
Drupal Releases Critical Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/03/28/Drupal-Releases-Critical-Security-Updates

概要

Drupal には、任意のコードが実行可能な脆弱性があります。結果として、遠
隔の第三者が、細工したリクエストを送信することで、任意のコードを実行す
る可能性があります。

対象となるバージョンは次のとおりです。

- Drupal 8.5.1 より前のバージョン
- Drupal 7.58 より前のバージョン

なお、すでにサポートが終了している Drupal 6 系や Drupal 8.4 系以前につ
いても、本脆弱性の影響を受けるとのことです。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC Alert 2018-03-29
Drupal の脆弱性 (CVE-2018-7600) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180012.html

関連文書 (英語)

Drupal
Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002
https://www.drupal.org/sa-core-2018-002

【4】OpenSSL に複数の脆弱性

情報源

US-CERT Current Activity
OpenSSL Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/03/27/OpenSSL-Releases-Security-Updates

概要

OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者がサービ
ス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.1.0h より前の 1.1.0 系列のバージョン
- OpenSSL 1.0.2o より前の 1.0.2 系列のバージョン

この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン
に更新することで解決します。詳細は、OpenSSL Project が提供する情報を参
照してください。

関連文書 (日本語)

JPCERT/CC
OpenSSL のアップデートについて
https://www.jpcert.or.jp/newsflash/2018032802.html

Japan Vulnerability Notes JVN#93502675
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU93502675/

関連文書 (英語)

OpenSSL Project
OpenSSL Security Advisory [27 Mar 2018]
https://www.openssl.org/news/secadv/20180327.txt

【5】Mozilla Firefox に解放済みメモリ使用 (use-after-free) の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2018/03/27/Mozilla-Releases-Security-Updates-Firefox

概要

Mozilla Firefox には、解放済みメモリ使用の脆弱性があります。結果として、
遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 59.0.2 より前のバージョン
- Mozilla Firefox ESR 52.7.3 より前のバージョン

この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (英語)

Mozilla
Use-after-free in compositor
https://www.mozilla.org/en-US/security/advisories/mfsa2018-10/

【6】Windows 7 x64 および Windows Server 2008 R2 x64 に脆弱性

情報源

US-CERT Current Activity
Microsoft Release Patch for Windows 7 and Windows Server 2008 R2 Systems
https://www.us-cert.gov/ncas/current-activity/2018/03/29/Microsoft-Release-Patch-Windows-7-and-Windows-Server-2008-R2

CERT/CC Vulnerability Note VU#277400
Windows 7 and Windows Server 2008 R2 x64 fail to protect kernel memory when the Microsoft update for meltdown is installed
https://www.kb.cert.org/vuls/id/277400

Japan Vulnerability Notes JVN#97712677
Meltdown 向けパッチが適用された Windows 7 x64 および Windows Server 2008 R2 x64 でカーネルメモリが適切に保護されない脆弱性
https://jvn.jp/vu/JVNVU97712677/

概要

2018年1月に Microsoft がリリースしたパッチをインストールした Windows 7
x64 および Windows Server 2008 R2 x64 には、脆弱性があります。結果とし
て、当該製品にログイン可能なユーザがシステムメモリ上の全てのコンテンツ
を読み出したり、書き込んだりする可能性があります。

対象となる製品は次のとおりです。

- Windows 7 x64
- Windows Server 2008 R2 x64

この問題は、該当する製品を Microsoft が提供する更新プログラムを適用す
ることで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
CVE-2018-1038 | Windows カーネルの特権の昇格の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1038

マイクロソフト株式会社
CVE-2018-1038 の Windows カーネルの更新プログラム
https://support.microsoft.com/ja-jp/help/4100480/windows-kernel-update-for-cve-2018-1038

【7】Apache Struts 2 にサービス運用妨害 (DoS) の脆弱性

情報源

US-CERT Current Activity
Apache Software Foundation Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2018/03/29/Apache-Software-Foundation-Releases-Security-Update

概要

Apache Struts 2 には、Struts REST Plugin が使う XStream ライブラリの処
理に脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS)
攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- Apache Struts 2.1.1 から 2.5.14.1 まで

この問題は、Apache Struts 2 を Apache Software Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は、Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC
Apache Struts 2 の脆弱性 (S2-056 / CVE-2018-1327) について
https://www.jpcert.or.jp/newsflash/2018032801.html

関連文書 (英語)

Apache Struts 2 Documentation
S2-056
https://cwiki.apache.org/confluence/display/WW/S2-056

【8】Ruby に複数の脆弱性

情報源

Ruby
Ruby 2.2.10 リリース
https://www.ruby-lang.org/ja/news/2018/03/28/ruby-2-2-10-released/

Ruby
Ruby 2.3.7 リリース
https://www.ruby-lang.org/ja/news/2018/03/28/ruby-2-3-7-released/

Ruby
Ruby 2.4.4 リリース
https://www.ruby-lang.org/ja/news/2018/03/28/ruby-2-4-4-released/

Ruby
Ruby 2.5.1 リリース
https://www.ruby-lang.org/ja/news/2018/03/28/ruby-2-5-1-released/

概要

Ruby には、複数の脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Ruby 2.2.10 より前の 2.2 系のバージョン
- Ruby 2.3.7 より前の 2.3 系のバージョン
- Ruby 2.4.4 より前の 2.4 系のバージョン
- Ruby 2.5.1 より前の 2.5 系のバージョン

この問題は、Ruby を Ruby が提供する修正済みのバージョンに更新すること
で解決します。詳細は、Ruby が提供する情報を参照してください。

関連文書 (日本語)

Ruby
CVE-2017-17742: WEBrick における HTTP レスポンス偽装の脆弱性について
https://www.ruby-lang.org/ja/news/2018/03/28/http-response-splitting-in-webrick-cve-2017-17742/

Ruby
CVE-2018-6914: Tempfile および Tmpdir でのディレクトリトラバーサルを伴う意図しないファイルまたはディレクトリ作成の脆弱性について
https://www.ruby-lang.org/ja/news/2018/03/28/unintentional-file-and-directory-creation-with-directory-traversal-cve-2018-6914/

Ruby
CVE-2018-8777: WEBrick における巨大リクエストにともなう DoS 脆弱性について
https://www.ruby-lang.org/ja/news/2018/03/28/large-request-dos-in-webrick-cve-2018-8777/

Ruby
CVE-2018-8778: String#unpack における範囲外読み込みの脆弱性について
https://www.ruby-lang.org/ja/news/2018/03/28/buffer-under-read-unpack-cve-2018-8778/

Ruby
CVE-2018-8779: UNIX ドメインソケットにおいて NUL 文字挿入により意図しないソケットにアクセスされうる脆弱性について
https://www.ruby-lang.org/ja/news/2018/03/28/poisoned-nul-byte-unixsocket-cve-2018-8779/

Ruby
CVE-2018-8780: Dir において NUL 文字挿入により意図しないディレクトリにアクセスされうる脆弱性について
https://www.ruby-lang.org/ja/news/2018/03/28/poisoned-nul-byte-dir-cve-2018-8780/

Ruby
RubyGems の複数の脆弱性について
https://www.ruby-lang.org/ja/news/2018/02/17/multiple-vulnerabilities-in-rubygems/

【9】PHP に複数の脆弱性

情報源

The PHP Group
PHP 7.2.4 Released
https://secure.php.net/archive/2018.php#id2018-03-29-2

The PHP Group
PHP 7.1.16 Released
https://secure.php.net/archive/2018.php#id2018-03-30-2

The PHP Group
PHP 7.0.29 Released
https://secure.php.net/archive/2018.php#id2018-03-29-1

The PHP Group
PHP 5.6.35 Released
https://secure.php.net/archive/2018.php#id2018-03-29-3

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運
用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.2.4 より前のバージョン
- PHP 7.1.16 より前のバージョン
- PHP 7.0.29 より前のバージョン
- PHP 5.6.35 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)

The PHP Group
PHP 7 ChangeLog Version 7.2.4
http://www.php.net/ChangeLog-7.php#7.2.4

The PHP Group
PHP 7 ChangeLog Version 7.1.16
http://www.php.net/ChangeLog-7.php#7.1.16

The PHP Group
PHP 7 ChangeLog Version 7.0.29
http://www.php.net/ChangeLog-7.php#7.0.29

The PHP Group
PHP 5 ChangeLog Version 5.6.35
http://www.php.net/ChangeLog-5.php#5.6.35

【10】WZR-1750DHP2 に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#93397125
WZR-1750DHP2 における複数の脆弱性
https://jvn.jp/jp/JVN93397125/

概要

バッファロー製の WZR-1750DHP2 には、複数の脆弱性があります。結果として、
当該製品が接続しているネットワークにアクセス可能な第三者が、当該製品上
で任意のコマンドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- WZR-1750DHP2 ファームウエア Ver.2.30 およびそれ以前

この問題は、WZR-1750DHP2 を株式会社バッファローが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社バッファローが提供す
る情報を参照してください。

関連文書 (日本語)

株式会社バッファロー
WZR-1750DHP2における複数の脆弱性
http://buffalo.jp/support_s/s20180328.html

■今週のひとくちメモ

○IPA が「サイバーレスキュー隊（J-CRAT）技術レポート2017」を公開

2018年3月29日、IPA は「サイバーレスキュー隊（J-CRAT）技術レポート2017」
を公開しました。このレポートでは、インシデントの初期段階で、システム管
理者が実施するべき具体的な手順を解説しています。組織内のインシデント発
生時の切り分けなどにぜひご活用ください。

参考文献 (日本語)

IPA
「サイバーレスキュー隊（J-CRAT）技術レポート2017」を公開
https://www.ipa.go.jp/security/J-CRAT/report/20180329.html

■JPCERT/CC からのお願い