<<< JPCERT/CC WEEKLY REPORT 2018-08-01 >>>

■07/22(日)〜07/28(土) のセキュリティ関連情報

目　次

【1】複数の Apache Tomcat 製品に脆弱性

【2】Google Chrome に複数の脆弱性

【3】Android 版 LINE MUSIC にSSL サーバ証明書の検証不備の脆弱性

【4】Bluetooth 実装の楕円曲線ディフィー・ヘルマン鍵共有に公開鍵を適切に検証していない問題

【5】キヤノンITソリューションズ株式会社製の複数製品のインストーラに DLL 読み込みに関する脆弱性

【6】チャットワーク デスクトップ版アプリ (Windows 版) のインストーラに DLL 読み込みに関する脆弱性

【今週のひとくちメモ】「サイバーセキュリティ戦略」が閣議決定

【1】複数の Apache Tomcat 製品に脆弱性

情報源

Japan Vulnerability Notes JVNVU#90416738
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90416738

Japan Vulnerability Notes JVNVU#99687822
Apache Tomcat Native Connector の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99687822

概要

複数の Apache Tomcat 製品には、脆弱性があります。結果として、遠隔の第
三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 9.0.0.M1 から 9.0.9 まで
- Apache Tomcat 8.5.0 から 8.5.31 まで
- Apache Tomcat 8.0.0.RC1 から 8.0.52 まで
- Apache Tomcat 7.0.28 から 7.0.88 まで
- Apache Tomcat Native Connector 1.2.0 から 1.2.16 まで
- Apache Tomcat Native Connector 1.1.23 から 1.1.34 まで

この問題は、該当する製品を The Apache Software Foundation が提供する修
正済みのバージョンに更新することで解決します。詳細は、The Apache
Software Foundation が提供する情報を参照してください。

関連文書 (英語)

Apache Tomcat
Fixed in Apache Tomcat 9.0.10
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.10

Apache Tomcat
Fixed in Apache Tomcat 8.5.32
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.32

Apache Tomcat
Fixed in Apache Tomcat 8.0.53
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.53

Apache Tomcat
Fixed in Apache Tomcat 7.0.90
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.90

Apache Tomcat
Fixed in Apache Tomcat Native Connector 1.2.17
https://tomcat.apache.org/security-native.html#Fixed_in_Apache_Tomcat_Native_Connector_1.2.17

US-CERT Current Activity
Apache Releases Security Updates for Apache Tomcat
https://www.us-cert.gov/ncas/current-activity/2018/07/23/Apache-Releases-Security-Updates-Apache-Tomcat

【2】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2018/07/24/Google-Releases-Security-Update-Chrome

概要

Google Chrome には、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 68.0.3440.75 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2018/07/stable-channel-update-for-desktop.html

【3】Android 版 LINE MUSIC にSSL サーバ証明書の検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#16933564
Android 版 LINE MUSIC における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN16933564/

概要

LINE MUSIC株式会社が提供する Android 版 LINE MUSIC には、SSL サーバ証
明書の検証不備の脆弱性があります。結果として、遠隔の第三者が、中間者攻
撃によって暗号通信を盗聴するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Android 版 LINE MUSIC バージョン 3.1.0 およびそれ以降かつ 3.6.5 より前のバージョン

この問題は、Android 版 LINE MUSIC を LINE MUSIC株式会社が提供する修正
済みのバージョンに更新することで解決します。詳細は、LINE MUSIC株式会社
が提供する情報を参照してください。

関連文書 (日本語)

LINE MUSIC株式会社
【脆弱性情報】「LINE MUSIC」Android版における SSL サーバ証明書の検証不備の脆弱性に関するお知らせ
https://linecorp.com/ja/security/article/181

【4】Bluetooth 実装の楕円曲線ディフィー・ヘルマン鍵共有に公開鍵を適切に検証していない問題

情報源

CERT/CC Vulnerability Note VU#304725
Bluetooth implementations may not sufficiently validate elliptic curve parameters during Diffie-Hellman key exchange
https://www.kb.cert.org/vuls/id/304725

概要

一部の Bluetooth デバイスのファームウエアや OS のドライバには、ディフィー・
ヘルマン鍵共有において公開鍵を適切に検証していない問題があります。結果
として、遠隔の第三者が通信内容を取得するなどの可能性があります。

対象となるシステムは次のとおりです。

- Bluetooth を実装するシステム

この問題は、Bluetooth を実装するシステムを各ベンダが提供する修正済みの
バージョンに更新することで解決します。詳細は、各ベンダが提供する情報を
参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92767028
Bluetooth 実装の楕円曲線ディフィー・ヘルマン鍵共有において公開鍵を適切に検証していない問題
https://jvn.jp/vu/JVNVU92767028/

関連文書 (英語)

US-CERT Current Activity
Bluetooth Vulnerability
https://www.us-cert.gov/ncas/current-activity/2018/07/23/Bluetooth-Vulnerability

【5】キヤノンITソリューションズ株式会社製の複数製品のインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#41452671
キヤノンITソリューションズ株式会社製の複数製品のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN41452671/

概要

キヤノンITソリューションズ株式会社が提供する複数の製品のインストーラに
は、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコー
ドを実行する可能性があります。

対象となる製品は次のとおりです。

- ESET Smart Security Premium
- ESET Internet Security
- ESET Smart Security
- ESET NOD32アンチウイルス
- DESlock+ Pro
- CompuSec (パッケージ製品以外の全プログラム)

いずれもデジタル署名のタイムスタンプの日付が「2018年7月10日」以前となっ
ているインストーラが対象です。

この問題は、キヤノンITソリューションズ株式会社が提供する最新のインストー
ラでは解決しています。なお、すでに該当の製品をインストールしている場合
には、この問題の影響はありません。詳細は、キヤノンITソリューションズ株
式会社が提供する情報を参照してください。

関連文書 (日本語)

キヤノンITソリューションズ株式会社
Windows向けプログラムのインストーラーにおけるDLL読み込みに関する脆弱性への対応について（JVN#41452671）
https://eset-support.canon-its.jp/faq/show/10720?site_domain=default

【6】チャットワーク デスクトップ版アプリ (Windows 版) のインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#39171169
チャットワーク デスクトップ版アプリ (Windows 版) のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN39171169/

概要

ChatWork株式会社が提供するチャットワークのインストーラには、DLL 読み込
みに関する脆弱性があります。結果として、第三者が任意のコードを実行する
可能性があります。

対象となる製品およびバージョンは次のとおりです。

- チャットワーク デスクトップ版アプリ (Windows 版) 2.3.0 およびそれ以前

この問題は、ChatWork株式会社が提供する最新のインストーラでは解決してい
ます。なお、すでに該当の製品をインストールしている場合には、この問題の
影響はありません。詳細は、ChatWork株式会社が提供する情報を参照してくだ
さい。

関連文書 (日本語)

ChatWork株式会社
ダウンロード | チャットワーク（ChatWork）
https://go.chatwork.com/ja/download/

■今週のひとくちメモ

○「サイバーセキュリティ戦略」が閣議決定

2018年7月25日にサイバーセキュリティ戦略本部会合が開催され、その後「サ
イバーセキュリティ戦略」が閣議決定されました。同戦略は各省庁のサイバー
セキュリティ関連政策に係る今後3年間の施策の目標や実施方針についてとり
まとめたもので、内閣サイバーセキュリティセンター (NISC) のウェブサイト
上で、同戦略に関する資料が公開されています。

参考文献 (日本語)

内閣サイバーセキュリティセンター (NISC)
サイバーセキュリティ戦略の変更について
https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2018-kakugikettei.pdf

内閣サイバーセキュリティセンター (NISC)
サイバーセキュリティ戦略本部第19回会合の開催について
https://www.nisc.go.jp/conference/cs/index.html

■JPCERT/CC からのお願い