JPCERT コーディネーションセンター

Weekly Report 2019-03-27号

JPCERT-WR-2019-1201
JPCERT/CC
2019-03-27

<<< JPCERT/CC WEEKLY REPORT 2019-03-27 >>>

■03/17(日)〜03/23(土) のセキュリティ関連情報

目 次

【1】Mozilla Firefox に複数の脆弱性

【2】Drupal にクロスサイトスクリプティングの脆弱性

【3】複数の Cisco 製品に脆弱性

【4】iOS アプリ「an」にディレクトリトラバーサルの脆弱性

【今週のひとくちメモ】IPA が「中小企業の情報セキュリティ対策ガイドライン」の第3版を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191201.txt
https://www.jpcert.or.jp/wr/2019/wr191201.xml

【1】Mozilla Firefox に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/03/22/Mozilla-Releases-Security-Updates-Firefox

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/03/19/Mozilla-Releases-Security-Updates-Firefox

概要

Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 66.0.1 より前のバージョン
- Mozilla Firefox ESR 60.6.1 より前のバージョン

この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (英語)

Mozilla
Security vulnerabilities fixed in Firefox 66
https://www.mozilla.org/en-US/security/advisories/mfsa2019-07/

Mozilla
Security vulnerabilities fixed in Firefox 66.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-09/

Mozilla
Security vulnerabilities fixed in Firefox ESR 60.6
https://www.mozilla.org/en-US/security/advisories/mfsa2019-08/

Mozilla
Security vulnerabilities fixed in Firefox 60.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-10/

【2】Drupal にクロスサイトスクリプティングの脆弱性

情報源

US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/20/Drupal-Releases-Security-Updates

概要

Drupal には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者がユーザのブラウザ上で任意のコードを実行する可能性があ
ります。

対象となるバージョンは次のとおりです。

- Drupal 8.6.13 より前の 8.6 系のバージョン
- Drupal 8.5.14 より前の 8.5 系のバージョン
- Drupal 7.65 より前の 7 系のバージョン

なお、Drupal 8.5 系より前の 8 系のバージョンは、サポートが終了しており、
セキュリティに関する情報は提供されません。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-004
https://www.drupal.org/sa-core-2019-004

【3】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Advisories for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/03/20/Cisco-Releases-Security-Advisories-Multiple-Products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Wireless IP Phone 8821 上で稼働している SIP ソフトウエア 11.0(5) より前のバージョン
- Cisco Wireless IP Phone 8821-EX 上で稼働している SIP ソフトウエア 11.0(5) より前のバージョン
- Cisco IP Conference Phone 8832 上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン
- Cisco Unified IP Conference Phone 8831 上で稼働している SIP ソフトウエア 10.3(1)SR5 より前のバージョン
- その他 Cisco IP Phone 7800 シリーズ上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン
- その他 Cisco IP Phone 8800 シリーズ上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco IP Phone 8800 Series Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipptv

Cisco Security Advisory
Cisco IP Phone 8800 Series File Upload Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipfudos

Cisco Security Advisory
Cisco IP Phone 8800 Series Authorization Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipab

Cisco Security Advisory
Cisco IP Phone 7800 Series and 8800 Series Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce

Cisco Security Advisory
Cisco IP Phone 8800 Series Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-csrf

【4】iOS アプリ「an」にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#60497148
iOS アプリ「an」におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN60497148/

概要

iOS アプリ「an」には、ディレクトリトラバーサルの脆弱性があります。結果
として、遠隔の第三者が情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- iOS アプリ「an」 バージョン 3.2.0 およびそれ以前

この問題は、iOS アプリ「an」をパーソルキャリア株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、パーソルキャリア株式
会社が提供する情報を参照してください。

関連文書 (日本語)

パーソルキャリア株式会社
「an」公式アプリ
https://weban.jp/contents/c/smartphone_apri/

■今週のひとくちメモ

○IPA が「中小企業の情報セキュリティ対策ガイドライン」の第3版を公開

2019年3月19日、情報処理推進機構 (IPA) は、「中小企業の情報セキュリティ
対策ガイドライン」の第3版を公開しました。本ガイドラインは、個人事業主、
小規模事業者を含む中小企業での利用を想定したもので、情報セキュリティ対
策に取り組む際の、(1) 経営者が認識し実施すべき指針、(2) 社内において
対策を実践する際の手順や手法をまとめたものです。

第3版は、第2版 (2016年11月公開) から 2年4か月ぶりの大幅改訂で、サイバー
セキュリティ経営ガイドラインの改訂内容なども反映されているとのことです。
また、専門用語などをなるべく排した説明となるような見直しも行われていま
す。

参考文献 (日本語)

情報処理推進機構 (IPA)
中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter