JPCERT コーディネーションセンター

Weekly Report 2018-10-03号

JPCERT-WR-2018-3801
JPCERT/CC
2018-10-03

<<< JPCERT/CC WEEKLY REPORT 2018-10-03 >>>

■09/23(日)〜09/29(土) のセキュリティ関連情報

目 次

【1】Apple macOS に複数の脆弱性

【2】複数の Cisco 製品に脆弱性

【3】スマートフォンアプリ「+メッセージ(プラスメッセージ)」に SSL サーバ証明書の検証不備の脆弱性

【4】TP-Link EAP Controller に安全でないデシリアライゼーションの問題

【5】Internet Week 2018 のお知らせ

【6】(再掲) 「フィッシング対策セミナー 2018」開催のお知らせ

【今週のひとくちメモ】ルートゾーン KSK ロールオーバーの鍵更新作業日時が決定

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr183801.txt
https://www.jpcert.or.jp/wr/2018/wr183801.xml

【1】Apple macOS に複数の脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Update for macOS Mojave
https://www.us-cert.gov/ncas/current-activity/2018/09/24/Apple-Releases-Security-Update-macOS-Mojave

Japan Vulnerability Notes JVNVU#99356481
Apple macOS における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99356481/

概要

Apple macOS には、複数の脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- macOS Mojave 10.14 より前のバージョン

この問題は、Apple macOS を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Apple
macOS Mojave 10.14 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT209139

【2】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2018/09/26/Cisco-Releases-Security-Updates-Multiple-Products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となる製品は次のとおりです。

- Cisco IOS ソフトウェア
- Cisco IOS XE ソフトウェア
- Cisco ASA ソフトウェア
- Cisco Firepower Threat Defense ソフトウェア

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Blogs
September 2018 Cisco IOS and IOS XE Software Bundled Publication
https://blogs.cisco.com/security/cisco-ios-ios-xe-bundled-publication-sept-2018

Cisco Event Response Page
Cisco Event Response: September 2018 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication
https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-69981

【3】スマートフォンアプリ「+メッセージ(プラスメッセージ)」に SSL サーバ証明書の検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#37288228
スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN37288228/

概要

スマートフォンアプリ「+メッセージ(プラスメッセージ)」には、SSL サー
バ証明書の検証不備の脆弱性があります。結果として、遠隔の第三者が、中間
者攻撃によって暗号通信を盗聴するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン (SoftBank)
- Android アプリ「+メッセージ(プラスメッセージ)」 42.40.2800 より前のバージョン (株式会社NTTドコモ)
- Android アプリ「+メッセージ(プラスメッセージ)」 1.0.6 より前のバージョン (KDDI株式会社)
- iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン (SoftBank、株式会社NTTドコモ、KDDI株式会社)

この問題は、スマートフォンアプリ「+メッセージ(プラスメッセージ)」を
各ベンダが提供する修正済みのバージョンに更新することで解決します。詳細
は、各ベンダが提供する情報を参照してください。

関連文書 (日本語)

SoftBank
「+メッセージ」セキュリティ対策のためのアプリアップデートのお願い
https://www.softbank.jp/mobile/info/personal/news/service/20180927a/

株式会社NTTドコモ
「+メッセージ」アプリをご利用のお客さまへ、アップデート実施のお願い
https://www.nttdocomo.co.jp/info/notice/page/180927_00.html

KDDI株式会社
「+メッセージ」アプリをご利用のお客様へ アプリアップデートのお願い
https://www.au.com/information/notice_mobile/service/2018-002/

【4】TP-Link EAP Controller に安全でないデシリアライゼーションの問題

情報源

CERT/CC Vulnerability Note VU#581311
TP-Link EAP Controller lacks RMI authentication and is vulnerable to deserialization attacks
https://www.kb.cert.org/vuls/id/581311

Japan Vulnerability Notes JVNVU#96340370
TP-Link EAP Controller に安全でないデシリアライゼーションの問題
https://jvn.jp/vu/JVNVU96340370/

概要

TP-LINK の Linux 向け EAP Controller には、安全でないデシリアライゼー
ションの問題があります。結果として、遠隔の第三者が EAP Controller サー
バを制御する可能性があります。

対象となるバージョンは次のとおりです。

- TP-LINK EAP Controller v2.5.3 およびそれ以前

2018年10月2日現在、この問題に対する解決策は提供されていません。次の回
避策を適用することで、本問題の影響を軽減することが可能です。

- Apache Commons Collections をアップデートする
- EAP の JRE バージョンをアップデートする

詳細は、情報源を参照してください。

関連文書 (英語)

TP-LINK
Download for EAP220 V1
https://www.tp-link.com/en/download/EAP220.html#Controller_Software

【5】Internet Week 2018 のお知らせ

情報源

一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
Internet Week 2018プログラム公開・参加登録開始のお知らせ
https://www.nic.ad.jp/iw2018/news/#06

概要

2018年11月27日 (火) から 11月30日 (金) まで、浅草橋のヒューリックホー
ル&ヒューリックカンファレンスにおいて JPNIC 主催の「Internet Week
2018 知ればもっと楽しくなる!」が開催されます。JPCERT/CC からも講演に
登壇予定です。

事前申込みの締め切りは 11月16日 (金) 17:00 までとなっております。詳細
は、JPNIC が提供する情報を確認してください。

【6】(再掲) 「フィッシング対策セミナー 2018」開催のお知らせ

情報源

フィッシング対策協議会
フィッシング対策セミナー 2018 開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2018.html

概要

フィッシング対策協議会では、2020年に向けてさらに増加が予測されるフィッ
シング詐欺に対応するため、事業者側の効果的な対策促進をテーマに「フィッ
シング対策セミナー 2018」を開催いたします。今年度のセミナーでは、フィッ
シング詐欺に関連する国内の法執行機関、金融機関、米国のフィッシング対策
組織から有識者をお招きし、フィッシングの最新の傾向とその対応策などをご
紹介いたします。

参加費は無料ですが、事前に参加申込みが必要となります。2018年10月2日よ
り、参加申込みを開始しております。満席になり次第、受付終了とさせていた
だきますので、ご了承ください。

日時および場所:
    2018年11月2日 (金) 13:00 - 18:00 (受付開始 12:15〜)
    大崎ブライトコアホール (JR 大崎駅 新東口)
    〒141-0001 東京都品川区北品川5丁目5番15号 大崎ブライトコア3階
    http://osaki-hall.jp/access/

■今週のひとくちメモ

○ルートゾーン KSK ロールオーバーの鍵更新作業日時が決定

2018年9月、ICANN は、ルートゾーン KSK ロールオーバーにおける KSK の更
新作業を、2018年10月12日 午前1時 (日本時間) に行うことを発表しました。
本更新作業は当初、2017年10月に行う予定が延期されていたものになります。

作業実施を前に、ICANN から、ルートゾーン KSK ロールオーバーにおける注
意事項についての包括的なガイドが発行されています。ガイドには、ロールオー
バーで影響を受けるユーザや、その影響についての説明が記載されています。
自組織で本変更への影響を未確認の場合、ICANN などの情報を参考に、影響を
確認いただくことを推奨いたします。

参考文献 (日本語)

一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
ICANN理事会がルートゾーンKSKロールオーバーの実施を承認
https://www.nic.ad.jp/ja/topics/2018/20180919-01.html

株式会社日本レジストリサービス (JPRS)
ICANNが新KSKでの署名開始の日程を決定
https://jprs.jp/tech/notice/2018-09-19-rootzonekskrollover-update.html

Internet Corporation for Assigned Names and Numbers (ICANN)
ICANN、KSKロールオーバーにおける注意事項についての包括的なガイドを発行
https://www.icann.org/news/announcement-2018-08-27-ja

JPCERT/CC
速やかにキャッシュ DNS サーバの設定の見直しを
https://www.jpcert.or.jp/tips/2017/wr172801.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter