JPCERT コーディネーションセンター

Weekly Report 2019-02-14号

JPCERT-WR-2019-0601
JPCERT/CC
2019-02-14

<<< JPCERT/CC WEEKLY REPORT 2019-02-14 >>>

■02/03(日)〜02/09(土) のセキュリティ関連情報

目 次

【1】複数の Apple 製品に脆弱性

【2】POWER EGG に任意の EL 式を実行される脆弱性

【3】OpenAM (オープンソース版) にオープンリダイレクトの脆弱性

【4】Marvell 製 Avastar ワイヤレス SoC に複数の脆弱性

【今週のひとくちメモ】Japan Security Analyst Conference 2019 開催レポートを公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr190601.txt
https://www.jpcert.or.jp/wr/2019/wr190601.xml

【1】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/07/Apple-Releases-Multiple-Security-Updates

概要

複数の Apple 製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 12.1.4 より前のバージョン
- macOS Mojave 10.14.3 ビルド 18D109 より前のバージョン
- Shortcuts 2.1.3 for iOS より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98819755
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98819755/

関連文書 (英語)

Apple
About the security content of iOS 12.1.4
https://support.apple.com/en-us/HT209520

Apple
About the security content of macOS Mojave 10.14.3 Supplemental Update
https://support.apple.com/en-us/HT209521

Apple
About the security content of Shortcuts 2.1.3 for iOS
https://support.apple.com/en-us/HT209522

Apple
Find out which macOS your Mac is using
https://support.apple.com/en-us/HT201260

【2】POWER EGG に任意の EL 式を実行される脆弱性

情報源

Japan Vulnerability Notes JVN#63860183
POWER EGG において任意の EL 式を実行される脆弱性
https://jvn.jp/jp/JVN63860183/

概要

ディサークル株式会社が提供する POWER EGG には、任意の EL 式を実行可能
となる脆弱性があります。結果として、遠隔の第三者が、当該製品が動作して
いるサーバ上で任意のコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- POWER EGG2.0 Ver2.0.1
- POWER EGG2.0 Ver2.02 修正パッチ3 およびそれ以前
- POWER EGG2.0 Ver2.1 修正パッチ4 およびそれ以前
- POWER EGG2.0 Ver2.2 修正パッチ7 およびそれ以前
- POWER EGG2.0 Ver2.3 修正パッチ9 およびそれ以前
- POWER EGG2.0 Ver2.4 修正パッチ13 およびそれ以前
- POWER EGG2.0 Ver2.5 修正パッチ12 およびそれ以前
- POWER EGG2.0 Ver2.6 修正パッチ8 およびそれ以前
- POWER EGG2.0 Ver2.7 修正パッチ6 およびそれ以前
- POWER EGG2.0 Ver2.7 自治体版 修正パッチ7 およびそれ以前
- POWER EGG2.0 Ver2.8 修正パッチ6 およびそれ以前
- POWER EGG2.0 Ver2.8c 修正パッチ5 およびそれ以前
- POWER EGG2.0 Ver2.9 修正パッチ4 およびそれ以前

なお、POWER EGG2.0 Ver2.10c、POWER EGG2.0 Ver2.11c および POWER EGG3.0
は、本脆弱性の影響を受けないとのことです。

この問題は、該当する製品をディサークル株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、ディサークル株式会社が提供す
る情報を参照してください。

関連文書 (日本語)

ディサークル株式会社
POWER EGG2.0製品における任意のコード実行の脆弱性につきまして
https://poweregg.d-circle.com/support/package/important/20190204_000780/

【3】OpenAM (オープンソース版) にオープンリダイレクトの脆弱性

情報源

Japan Vulnerability Notes JVN#43193964
OpenAM (オープンソース版) におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN43193964/

概要

OpenAM (オープンソース版) には、オープンリダイレクトの脆弱性があります。
結果として、遠隔の第三者が、細工したページにユーザをアクセスさせること
で、当該製品が設置されたサーバを経由してユーザをフィッシングサイトなど
にリダイレクトさせる可能性があります。

対象となるバージョンは次のとおりです。

- OpenAM (オープンソース版) 13.0

オープンソース・ソリューション・テクノロジ株式会社によると、OpenAM (オー
プンソース版) 9 および 11 は、本脆弱性の影響を受けないことを確認済みで
あるとのことです。

この問題は、OpenAM コンソーシアムが提供するパッチを適用することで解決
します。詳細は、OpenAM コンソーシアムなどが提供する情報を参照してくだ
さい。

関連文書 (日本語)

オープンソース・ソリューション・テクノロジ株式会社
OpenAMのセキュリティに関する脆弱性と製品アップデートのお知らせ[AM20190206-1]
https://www.osstech.co.jp/support/am2019-1-1

【4】Marvell 製 Avastar ワイヤレス SoC に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#730261
Marvell Avastar wireless SoCs have multiple vulnerabilities
https://kb.cert.org/vuls/id/730261/

Japan Vulnerability Notes JVNVU#92674930
Marvell 製 Avastar ワイヤレス SoC における複数の脆弱性
https://jvn.jp/vu/JVNVU92674930/

概要

複数の Marvell 製 Avastar ワイヤレス SoC モデルには、複数の脆弱性があ
ります。結果として、Wi-Fi の電波が届く範囲にいる未認証の第三者が、特別
に細工した Wi-Fi フレームを利用して、Marvell SoC を搭載したシステム上
で任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Avastar 88W8787
- Avastar 88W8797
- Avastar 88W8801
- Avastar 88W8897
- Avastar 88W8997

この問題について、Marvell は顧客に対し、販売代理店に連絡するよう勧めて
います。使用しているシステムのベンダなどの情報を確認し、対策の施された
バージョンが公開されている場合は適用することをおすすめします。なお、
Microsoft は、複数の Surface 製品向けのアップデートを公開しています。

また、次のワークアラウンドの実施を検討してください。

- 物理的なアクセスを制限する
  本脆弱性を悪用するためには、攻撃者は Wi-Fi の電波が届く範囲にいる必要があります。
  脆弱な機器の周囲への侵入を物理的に制限することで、本脆弱性の影響を軽減することが可能です。

- Wi-Fi 機能を無効化する
  システムに有線接続など他の接続オプションがある場合、Wi-Fi 機能を無効化することで、本脆弱性の影響を軽減することが可能です。

関連文書 (英語)

Marvell
WiFi CVE-2019-6496 Marvell's Statement
https://ja.scribd.com/document/398350818/WiFi-CVE-2019-6496-Marvell-s-Statement

■今週のひとくちメモ

○Japan Security Analyst Conference 2019 開催レポートを公開

JPCERT/CC は、2019年1月18日に御茶ノ水ソラシティカンファレンスセンター
にて開催された Japan Security Analyst Conference 2019 (JSAC2019)の開
催レポートを公開しました。本カンファレンスは、日々セキュリティインシデン
トに対応する現場のセキュリティアナリストを対象とし、高度化するサイバー
攻撃に対抗するための技術情報を共有することを目的に開催しております。

開催レポートでは、JSAC2019 の講演の様子を、前半と後半の 2回に分けて紹
介しています。講演資料も Web サイトで公開しています。(一部非公開)

参考文献 (日本語)

JPCERT/CC
Japan Security Analyst Conference 2019開催レポート〜前編〜
https://blogs.jpcert.or.jp/ja/2019/01/jsac2019report1.html

JPCERT/CC
Japan Security Analyst Conference 2019開催レポート〜後編〜
https://blogs.jpcert.or.jp/ja/2019/02/jsac2019report2.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter