<<< JPCERT/CC WEEKLY REPORT 2019-12-25 >>>
■12/15(日)〜12/21(土) のセキュリティ関連情報
目 次
【1】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性
【2】Drupal に複数の脆弱性
【3】Apache Tomcat に複数の脆弱性
【4】サイボウズ Office に複数の脆弱性
【5】複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
【6】a-blog cms に複数の脆弱性
【7】Android アプリ「日テレニュース24」に SSL サーバ証明書の検証不備の脆弱性
【8】Telos 製 Automated Message Handling System に複数の脆弱性
【今週のひとくちメモ】一般社団法人デジタルライフ推進協会が「ご家庭で、Wi-Fiルーターをより安全にお使い頂くために」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr195001.txt
https://www.jpcert.or.jp/wr/2019/wr195001.xml
【1】Google Chrome に解放済みメモリ使用 (use-after-free) の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome for Windows, Mac, and Linux
https://www.us-cert.gov/ncas/current-activity/2019/12/18/google-releases-security-updates-chrome-windows-mac-and-linux
概要
Google Chrome には、解放済みメモリの使用に関する脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 79.0.3945.88 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/12/stable-channel-update-for-desktop_17.html
【2】Drupal に複数の脆弱性
情報源
US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/12/19/drupal-releases-security-updates
概要
Drupal には、複数の脆弱性があります。 結果として、遠隔の第三者がサービ ス運用妨害 (DoS) 攻撃などを行う可能性があります。 対象となるバージョンは次のとおりです。 - Drupal 8.8.1 より前の 8.8 系のバージョン - Drupal 8.7.11 より前の 8.7 系のバージョン - Drupal 7.69 より前の 7 系のバージョン なお、Drupal 8.7 系より前の 8 系のバージョンは、サポートが終了しており、 今回のセキュリティに関する情報は提供されていません。 この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Drupal が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal core - Moderately critical - Denial of Service - SA-CORE-2019-009
https://www.drupal.org/sa-core-2019-009Drupal
Drupal core - Moderately critical - Multiple vulnerabilities - SA-CORE-2019-010
https://www.drupal.org/sa-core-2019-010Drupal
Drupal core - Moderately critical - Access bypass - SA-CORE-2019-011
https://www.drupal.org/sa-core-2019-011Drupal
Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2019-012
https://www.drupal.org/sa-core-2019-012
【3】Apache Tomcat に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#98104709
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98104709/
概要
Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が 中間者攻撃によって通信内容を窃取するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 9.0.0.M1 から 9.0.29 までのバージョン - Apache Tomcat 8.5.0 から 8.5.49 までのバージョン - Apache Tomcat 7.0.0 から 7.0.98 までのバージョン この問題は、Apache Tomcat を The Apache Software Foundation が提供する 修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。
関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 9.0.30
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.30The Apache Software Foundation
Fixed in Apache Tomcat 8.5.50
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.50The Apache Software Foundation
Fixed in Apache Tomcat 7.0.99
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.99
【4】サイボウズ Office に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#79854355
サイボウズ Office における複数の脆弱性
https://jvn.jp/jp/JVN79854355/
概要
サイボウズ Office には、複数の脆弱性があります。結果として、カスタムア プリ機能を使用可能なユーザがサーバ内の任意のファイルを書き換えるなどの 可能性があります。 対象となるバージョンは次のとおりです。 - サイボウズ Office 10.0.0 から 10.8.3 までのバージョン この問題は、サイボウズ Office をサイボウズ株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供 する情報を参照してください。
関連文書 (日本語)
サイボウズ株式会社
サイボウズ Office 10 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2019/006976.html
【5】複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
情報源
Japan Vulnerability Notes JVNVU#95417700
複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU95417700/
概要
複数の Apple 製品で使用している SecureROM には、解放済みメモリ使用の脆 弱性があります。結果として、製品に物理的にアクセス可能な第三者が任意の コードを実行するなどの可能性があります。 対象となる製品は次の通りです。 プロセッサチップ A5 から A11 を搭載する製品 - iPhones 4s から iPhone X まで - iPad 第 2 世代から 第 7 世代まで - iPad Mini 第 2 世代および 第 3 世代 - iPad Air および iPad Air 2 - iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代 - Apple Watch Series 1 から Series 3 まで - Apple TV 第 3 世代 および 4k - iPod Touch 第 5 世代 から 第 7 世代 なお、脆弱性に該当するプロセッサチップを使用している製品であれば、上記 以外の製品も影響を受けます。 この問題は、読み取り専用の SecureROM にあるため、対策方法はありません。 脆弱性を含まない製品への移行を検討してください。
関連文書 (英語)
CERT/CC Vulnerability Note VU#941987
Apple devices vulnerable to arbitrary code execution in SecureROM
https://www.kb.cert.org/vuls/id/941987/
【6】a-blog cms に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#10377257
a-blog cms における複数の脆弱性
https://jvn.jp/jp/JVN10377257/
概要
有限会社アップルップルが提供する a-blog cms には、複数の脆弱性がありま す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実 行する可能性があります。 対象となるバージョンは次のとおりです。 - a-blog cms Ver.2.10.23 より前の 2.10 系のバージョン - a-blog cms Ver.2.9.26 より前の 2.9 系のバージョン - a-blog cms Ver.2.8.64 より前の 2.8 系のバージョン この問題は、a-blog cms を有限会社アップルップルが提供する修正済みのバー ジョンに更新することで解決します。詳細は、有限会社アップルップルが提供 する情報を参照してください。
関連文書 (日本語)
有限会社アップルップル
a-blog cms Ver. 2.11.0 リリースしました!
https://developer.a-blogcms.jp/blog/changelog/release211.html有限会社アップルップル
過去バージョンのダウンロード
https://developer.a-blogcms.jp/download/legacy.html
【7】Android アプリ「日テレニュース24」に SSL サーバ証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#01236065
Android アプリ「日テレニュース24」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN01236065/
概要
日本テレビ放送網株式会社が提供する Android アプリ「日テレニュース24」 には、SSL サーバ証明書の検証不備の脆弱性があります。結果として、遠隔の 第三者が、中間者攻撃によって通信内容を窃取したり、改ざんしたりするなど の可能性があります。 対象となるバージョンは次の通りです。 - Android アプリ「日テレニュース24」 Ver3.0.0 より前のバージョン この問題は、Android アプリ「日テレニュース24」 を 日本テレビ放送網株式 会社が提供する修正済みのバージョンに更新することで解決します。詳細は、 日本テレビ放送網株式会社が提供する情報を参照してください。
関連文書 (日本語)
日本テレビ放送網株式会社
日テレニュース24 - Google Play の Android アプリ
https://play.google.com/store/apps/details?id=jp.co.ntv.news24&hl=ja
【8】Telos 製 Automated Message Handling System に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#92353788
Telos 製 Automated Message Handling System に複数の脆弱性
https://jvn.jp/vu/JVNVU92353788/
概要
Telos 製 Automated Message Handling System には複数の脆弱性があります。 結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行す るなどの可能性があります。 対象となるバージョンは次のとおりです。 - Automated Message Handling System version 4.1.5.5 より前のバージョン この問題は、Automated Message Handling System を Telos Corporation が 提供する修正済みのバージョンに更新することで解決します。詳細は、Telos Corporation が提供する情報を参照してください。
関連文書 (英語)
CERT/CC Vulnerability Note VU#873161
Telos Automated Message Handling System contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/873161/Telos Corporation
Telos Automated Message Handling System (AMHS) Standard Maintenance Agreement
https://www.telos.com/enterprise/organizational-messaging/support/
■今週のひとくちメモ
○一般社団法人デジタルライフ推進協会が「ご家庭で、Wi-Fiルーターをより安全にお使い頂くために」を公開
2019年12月18日、一般社団法人デジタルライフ推進協会から「ご家庭で、Wi-Fi ルーターをより安全にお使い頂くために」が公開されました。本資料では、 Wi-Fiルータを安全に使う上での注意点がまとめれらています。 一般社団法人デジタルライフ推進協会様の名称を誤って記載しておりました。 訂正するとともに深くお詫び申し上げます。
参考文献 (日本語)
一般社団法人デジタルライフ推進協会
ご家庭でWi-Fi ルーターをより安全にお使い頂くために
https://dlpa.jp/pdf/dlpa_pr_20191218.pdfJPCERT/CC
Wi-Fi ルータを安全に使う上での注意
https://www.jpcert.or.jp/newsflash/2019121801.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/