JPCERT コーディネーションセンター

Weekly Report 2019-05-15号

JPCERT-WR-2019-1801
JPCERT/CC
2019-05-15

<<< JPCERT/CC WEEKLY REPORT 2019-05-15 >>>

■05/05(日)〜05/11(土) のセキュリティ関連情報

目 次

【1】Cisco Elastic Services Controller に認証回避の脆弱性

【2】Drupal にパストラバーサルの脆弱性

【3】電子申請・届出アプリケーション オンライン版のインストーラおよびオフライン版に DLL 読み込みの脆弱性

【4】Android アプリ「クリエイトSD公式アプリ」にアクセス制限不備の脆弱性

【今週のひとくちメモ】APCERT Annual Report 2018 公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191801.txt
https://www.jpcert.or.jp/wr/2019/wr191801.xml

【1】Cisco Elastic Services Controller に認証回避の脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Update for Elastic Services Controller
https://www.us-cert.gov/ncas/current-activity/2019/05/07/Cisco-Releases-Security-Update-Elastic-Services-Controller

概要

Cisco Elastic Services Controller には、認証回避の脆弱性があります。結
果として、遠隔の第三者が、管理者権限で任意の操作を実行する可能性があり
ます。

対象となるバージョンは次のとおりです。

- REST API が有効になっている Cisco Elastic Services Controller 4.1、4.2、4.3、4.4

この問題は、Cisco Elastic Services Controller を、Cisco が提供する修正
済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情
報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Elastic Services Controller REST API Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190507-esc-authbypass

【2】Drupal にパストラバーサルの脆弱性

情報源

US-CERT Current Activity
Drupal Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/05/09/Drupal-Releases-Security-Update

概要

Drupal には、パストラバーサルの脆弱性があります。 結果として、遠隔の第
三者がセキュリティ機能を回避し、任意のパスにアクセスする可能性がありま
す。

対象となるバージョンは次のとおりです。

- Drupal 8.7.1 より前の 8.7 系
- Drupal 8.6.16 より前の 8.6 系
- Drupal 7.67 より前の 7 系

なお、Drupal 8.6 系より前の 8 系のバージョンは、サポートが終了していま
す。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2019-007
https://www.drupal.org/sa-core-2019-007

【3】電子申請・届出アプリケーション オンライン版のインストーラおよびオフライン版に DLL 読み込みの脆弱性

情報源

Japan Vulnerability Notes JVN#91361851
電子申請・届出アプリケーション オンライン版のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN91361851/

Japan Vulnerability Notes JVN#69903953
電子申請・届出アプリケーション オフライン版における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN69903953/

概要

電子申請・届出アプリケーション オンライン版のインストーラおよびオフラ
イン版には、DLL 読み込みに関する脆弱性があります。結果として、第三者が
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- 電子申請・届出アプリケーション オンライン版 1.0.9.0 およびそれ以前
- 電子申請・届出アプリケーション オフライン版 1.0.9.0 およびそれ以前

この問題は、電子申請・届出アプリケーション オフライン版については、総
務省が提供する修正済みのバージョンに更新することで解決します。また、オン
ライン版については、総務省が提供する最新のインストーラを使用することで
解決します。詳細は、総務省が提供する情報を参照してください。

関連文書 (日本語)

総務省
総務省 電波利用 電子申請・届出システム | オンライン版インストーラのダウンロード
https://www.denpa.soumu.go.jp/public/prog/onlineInstaller_download.html

総務省
総務省 電波利用 電子申請・届出システム | オフライン版インストーラのダウンロード
https://www.denpa.soumu.go.jp/public/prog/offlineInstaller_download.html

【4】Android アプリ「クリエイトSD公式アプリ」にアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#87655507
Android アプリ「クリエイトSD公式アプリ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN87655507/

概要

Android アプリ「クリエイトSD公式アプリ」には、アクセス制限不備の脆弱
性があります。結果として、遠隔の第三者が、当該製品のユーザを任意のウェ
ブサイトにアクセスさせる可能性があります。

対象となるバージョンは次のとおりです。

- クリエイトSD公式アプリ バージョン 1.0.2 およびそれ以前

この問題は、クリエイトSD公式アプリを株式会社クリエイトエス・ディーが
提供する修正済みのバージョンに更新することで解決します。詳細は、株式会
社クリエイトエス・ディーが提供する情報を参照してください。

関連文書 (日本語)

株式会社クリエイトエス・ディー
「クリエイトSD公式アプリ」脆弱性に関するお知らせ
https://www.create-sd.co.jp/Portals/0/pdf/appsec.pdf

■今週のひとくちメモ

○APCERT Annual Report 2018 公開

2019年5月9日、アジア太平洋地域の国や地域の窓口 CSIRT を中心とした集ま
りである APCERT は、2018年の活動をまとめた「APCERT Annual Report 2018」
を公開しました。

アジア太平洋地域の CSIRT がそれぞれどのような活動をしているか、また、
チーム間でどのような連携活動を行っているかを知るための資料としてご参照
ください。

参考文献 (英語)

APCERT
APCERT Annual Report 2018
https://www.apcert.org/documents/pdf/APCERT_Annual_Report_2018.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter