JPCERT コーディネーションセンター

Weekly Report 2018-07-11号

JPCERT-WR-2018-2601
JPCERT/CC
2018-07-11

<<< JPCERT/CC WEEKLY REPORT 2018-07-11 >>>

■07/01(日)〜07/07(土) のセキュリティ関連情報

目 次

【1】Mozilla Thunderbird に複数の脆弱性

【2】Wordpress に任意のファイルが削除可能な問題

【3】Apple Boot Camp の Wi-Fi 機能に脆弱性

【4】サイボウズ Garoon に SQL インジェクションの脆弱性

【5】コルソス CSDX および CSDJ シリーズ製品に複数の脆弱性

【6】複数のロジクール製ソフトウェアのインストーラに DLL 読み込みに関する脆弱性

【7】Glary Utilities のインストーラに DLL 読み込みに関する脆弱性

【8】Android アプリ「DHCオンラインショップ」に SSL サーバ証明書の検証不備の脆弱性

【今週のひとくちメモ】総務省が IoT 機器に関する脆弱性調査等の実施結果を公表

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr182601.txt
https://www.jpcert.or.jp/wr/2018/wr182601.xml

【1】Mozilla Thunderbird に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2018/07/03/Mozilla-Releases-Security-Update-Thunderbird

概要

Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第
三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った
りするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Thunderbird 52.9 より前のバージョン

この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (英語)

Mozilla
Security vulnerabilities fixed in Thunderbird 52.9
https://www.mozilla.org/en-US/security/advisories/mfsa2018-18/

【2】Wordpress に任意のファイルが削除可能な問題

情報源

WordPress
WordPress 4.9.7 Security and Maintenance Release
https://wordpress.org/news/2018/07/wordpress-4-9-7-security-and-maintenance-release/

概要

WordPress には、任意のファイルが削除可能な問題があります。結果として、
特定の権限を持つユーザがファイルを削除する可能性があります。

対象となるバージョンは次のとおりです。

- WordPress 4.9.7 より前のバージョン

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。

【3】Apple Boot Camp の Wi-Fi 機能に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Update for Boot Camp
https://www.us-cert.gov/ncas/current-activity/2018/07/06/Apple-Releases-Security-Update-Boot-Camp

概要

複数の Apple 製品における Boot Camp の Wi-Fi 機能には、脆弱性がありま
す。結果として、遠隔の第三者が、中間者攻撃によって暗号通信を盗聴するな
どの可能性があります。

対象となる製品は次のとおりです。

- MacBook (Late 2009 およびそれ以降のモデル)
- MacBook Pro (Mid 2010 およびそれ以降のモデル)
- MacBook Air (Late 2010 およびそれ以降のモデル)
- Mac mini (Mid 2010 およびそれ以降のモデル)
- iMac (Late 2009 およびそれ以降のモデル)
- Mac Pro (Mid 2010 およびそれ以降のモデル)

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#94846424
Apple Boot Camp の Wi-Fi 機能に対するアップデート
https://jvn.jp/vu/JVNVU94846424/

関連文書 (英語)

Apple
About the security content of Wi-Fi Update for Boot Camp 6.4.0
https://support.apple.com/en-us/HT208847

【4】サイボウズ Garoon に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#13415512
サイボウズ Garoon における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN13415512/

概要

サイボウズ Garoon には、SQL インジェクションの脆弱性があります。結果と
して、当該製品にログインしたユーザが任意の SQL コマンドを実行する可能
性があります。

対象となるバージョンは次のとおりです。

- サイボウズ Garoon 3.5.0 から 4.6.2 まで

この問題は、サイボウズ Garoon をサイボウズ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供
する情報を参照してください。

関連文書 (日本語)

サイボウズ株式会社
パッケージ版 Garoon 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2018/006604.html

【5】コルソス CSDX および CSDJ シリーズ製品に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#63895206
コルソス CSDX および CSDJ シリーズ製品における複数の脆弱性
https://jvn.jp/jp/JVN63895206/

概要

コルソス CSDX および CSDJ シリーズ製品には、複数の脆弱性があります。結
果として、ユーザ権限でログインしたユーザが任意の管理者権限操作を実行す
るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- CSDX 1.37210411 およびそれ以前
- CSDX(P) 4.37210411 およびそれ以前
- CSDX(D) 3.37210411 およびそれ以前
- CSDX(S) 2.37210411 およびそれ以前
- CSDJ-B 01.03.00 およびそれ以前
- CSDJ-H 01.03.00 およびそれ以前
- CSDJ-D 01.03.00 およびそれ以前
- CSDJ-A 03.00.00

この問題は、該当する製品を NECプラットフォームズ株式会社が提供する修正
済みのバージョンに更新することで解決します。詳細は、NECプラットフォー
ムズ株式会社が提供する情報を参照してください。

関連文書 (日本語)

NECプラットフォームズ株式会社
ブラウザアクセスに関する脆弱性について
https://www.necplatforms.co.jp/product/enkaku/info180702.html

【6】複数のロジクール製ソフトウェアのインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#52574492
複数のロジクール製ソフトウェアのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN52574492/

概要

複数のロジクール製ソフトウェアのインストーラには、DLL 読み込みに関する
脆弱性があります。結果として、第三者が任意のコードを実行する可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- ロジクール ゲームソフトウェア バージョン 8.87.116 より前のバージョン
- ロジクール接続ユーティリティソフトウェア バージョン 2.30.9 より前のバージョン

この問題は、株式会社ロジクールが提供する最新のインストーラでは解決して
います。なお、すでに該当する製品をインストールしている場合には、この問
題の影響はありません。詳細は、株式会社ロジクールが提供する情報を参照し
てください。

【7】Glary Utilities のインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#84967039
Glary Utilities のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN84967039/

概要

Glary Utilities のインストーラには、DLL 読み込みに関する脆弱性がありま
す。結果として、第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Glary Utilities 5.99 およびそれ以前
- Glary Utilities Pro 5.99 およびそれ以前

この問題は、Glarysoft が提供する最新のインストーラでは解決しています。
なお、すでに該当する製品をインストールしている場合には、この問題の影響
はありません。詳細は、Glarysoft が提供する情報を参照してください。

関連文書 (英語)

Glarysoft
Glary Utilities
https://www.glarysoft.com/

【8】Android アプリ「DHCオンラインショップ」に SSL サーバ証明書の検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#77409513
Android アプリ「DHCオンラインショップ」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN77409513/

概要

Android アプリ「DHCオンラインショップ」には、SSL サーバ証明書の検証不
備の脆弱性があります。結果として、遠隔の第三者が、中間者攻撃によって暗
号通信の盗聴などを行う可能性があります。

対象となるバージョンは次のとおりです。

- Android アプリ「DHCオンラインショップ」 バージョン 3.2.0 およびそれ以前

この問題は、Android アプリ「DHCオンラインショップ」を株式会社ディーエ
イチシーが提供する修正済みのバージョンに更新することで解決します。詳細
は、株式会社ディーエイチシーが提供する情報を参照してください。

関連文書 (日本語)

株式会社ディーエイチシー
DHCオンラインショップアプリ
https://top.dhc.co.jp/contents/all/sph/app/

■今週のひとくちメモ

○総務省が IoT 機器に関する脆弱性調査等の実施結果を公表

2018年7月2日、総務省は、IoT 機器に関する脆弱性調査等の実施結果を公表し
ました。本調査は、2017年9月から 2018年3月までの間、サイバー攻撃の対象
になりやすい脆弱な IoT 機器の実態を、サイバー攻撃観測網やネットワーク
スキャンを活用して調査したものです。重要インフラ等で利用される IoT 機
器と、家庭用ルータや防犯カメラ等の一般利用者向けの機器の 2種類に分けて
調査を実施し、その結果について概要をとりまとめています。

参考文献 (日本語)

総務省
IoT機器に関する脆弱性調査等の実施結果の公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000154.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter