JPCERT-WR-2020-0501

JPCERT/CC

2020-02-05

<<< JPCERT/CC WEEKLY REPORT 2020-02-05 >>>

■01/26(日)〜02/01(土) のセキュリティ関連情報

目　次

【1】複数の Apple 製品に脆弱性

【2】Magento に複数の脆弱性

【3】複数の Cisco 製品に脆弱性

【4】複数の Intel 製品に脆弱性

【5】OpenSMTPD に権限昇格と任意コード実行の脆弱性

【6】Android アプリ「MyPallete」にサーバ証明書検証不備の脆弱性

【7】スマートフォンアプリ「AWMS Mobile」にサーバ証明書の検証不備の脆弱性

【今週のひとくちメモ】警察庁が「複数のIoT機器等の脆弱性を標的としたアクセスの増加等について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr200501.txt
https://www.jpcert.or.jp/wr/2020/wr200501.xml

【1】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/28/apple-releases-multiple-security-updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- macOS Catalina 10.15.3 より前のバージョン
- macOS Mojave 10.14.6 (Security Update 2020-001 未適用)
- macOS High Sierra 10.13.6 (Security Update 2020-001 未適用)
- iOS 13.3.1 より前のバージョン
- iPadOS 13.3.1 より前のバージョン
- Safari 13.0.5 より前のバージョン
- tvOS 13.3.1 より前のバージョン
- iTunes 12.10.4 for Windows より前のバージョン
- watchOS 6.1.2 より前のバージョン
- iCloud for Windows 10.9.2 より前のバージョン
- iCloud for Windows 7.17 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

【2】Magento に複数の脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Magento
https://www.us-cert.gov/ncas/current-activity/2020/01/31/adobe-releases-security-updates-magento

概要

Magento には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
のコードを実行したり、情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Magento Commerce 2.3.3 およびそれ以前のバージョン
- Magento Commerce 2.2.10 およびそれ以前のバージョン
- Magento Open Source 2.3.3 およびそれ以前のバージョン
- Magento Open Source 2.2.10 およびそれ以前のバージョン
- Magento Enterprise Edition 1.14.4.3 およびそれ以前のバージョン
- Magento Community Edition 1.9.4.3 およびそれ以前のバージョン

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

【3】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/01/24/cisco-releases-security-updates

US-CERT Current Activity
Cisco Releases Security Updates for Cisco Small Business Switches
https://www.us-cert.gov/ncas/current-activity/2020/01/30/cisco-releases-security-updates-cisco-small-business-switches

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が情
報を窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Webex Meetings Suite sites 40.1.3 より前のバージョン
- Cisco Webex Meetings Suite sites 39.11.5 より前のバージョン
- Cisco Webex Meetings Online sites 40.1.3 より前のバージョン
- Cisco Webex Meetings Online sites 39.11.5 より前のバージョン
2.5.0.92 より前のファームウエアが稼働する次の製品
- 250 Series Smart Switches
- 350 Series Managed Switches
- 350X Series Stackable Managed Switches
- 550X Series Stackable Managed Switches
1.4.11.4 より前のファームウエアが稼働する次の製品
- 200 Series Smart Switches
- 300 Series Managed Switches
- 500 Series Stackable Managed Switches
1.3.7.18 より前のファームウエアが稼働する次の製品
- 200 Series Smart Switches
- 300 Series Managed Switches
- 500 Series Stackable Managed Switches

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

【4】複数の Intel 製品に脆弱性

情報源

Japan Vulnerability Notes JVNVU#97139173
Intel 製 CPU の投機的実行機能に対するサイドチャネル攻撃 (Vector Register Sampling、L1D Eviction Sampling)
https://jvn.jp/vu/JVNVU97139173/

概要

複数の Intel 製品には、脆弱性があります。結果として、第三者がサイドチャ
ネル攻撃によってベクトルレジスタ値や L1 データキャッシュの値を推測する
可能性があります。

影響を受ける製品は多岐に渡ります。対象製品の詳細は、Intel が提供するア
ドバイザリ情報を参照してください。

【5】OpenSMTPD に権限昇格と任意コード実行の脆弱性

情報源

CERT/CC Vulnerability Note VU#390745
OpenSMTPD vulnerable to local privilege escalation and remote code execution
https://kb.cert.org/vuls/id/390745/

概要

OpenSMTPD には、脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- OpenSMTPD 6.4.0 から 6.6.1 までのバージョン

この問題は、OpenSMTPD を開発者が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、開発者が提供する情報を参照してください。

【6】Android アプリ「MyPallete」にサーバ証明書検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#28845872
Android アプリ「MyPallete」におけるサーバ証明書検証不備の脆弱性
https://jvn.jp/jp/JVN28845872/

概要

株式会社 NTTデータが提供する Android アプリ「MyPallete」には、サーバ証
明書の検証不備の脆弱性があります。結果として、遠隔の第三者が中間者攻撃
によって暗号通信の盗聴を行うなどの可能性があります。

対象となる製品は次のとおりです。

- Android アプリ「MyPallete」
- 「MyPallete」を使用して作成されている一部の金融機関の Android アプリ

この問題は、該当する製品を株式会社 NTTデータや各金融機関が提供する修正
済みのバージョンに更新することで解決します。詳細は、株式会社 NTTデータ
や各金融機関が提供する情報を参照してください。

【7】スマートフォンアプリ「AWMS Mobile」にサーバ証明書の検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#00014057
スマートフォンアプリ「AWMS Mobile」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN00014057/

概要

富士ゼロックス株式会社が提供するスマートフォンアプリ「AWMS Mobile」に
は、サーバ証明書の検証不備の脆弱性があります。結果として、遠隔の第三者
が中間者攻撃によって暗号通信の盗聴を行うなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS アプリ「AWMS Mobile」 2.0.0 から 2.0.8 までのバージョン
- Android アプリ「AWMS Mobile」 2.0.0 から 2.0.5 までのバージョン

この問題は、該当する製品を富士ゼロックス株式会社が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、富士ゼロックス株式会社が提供
する情報を参照してください。

■今週のひとくちメモ

○警察庁が「複数のIoT機器等の脆弱性を標的としたアクセスの増加等について」を公開

警察庁は 2020年1月30日、「複数のIoT機器等の脆弱性を標的としたアクセス
の増加等について」と題したレポートを公開しました。2019年11月以降から、
複数の IoT 機器の脆弱性を標的としたアクセスの増加が観測されており、Mirai
亜種の感染を狙った11種類のアクセスなどの観測状況をまとめています。

参考文献 (日本語)

警察庁
複数のIoT機器等の脆弱性を標的としたアクセスの増加等について
https://www.npa.go.jp/cyberpolice/detect/pdf/20200130.pdf

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2020-02-05号

<<< JPCERT/CC WEEKLY REPORT 2020-02-05 >>>

■01/26(日)〜02/01(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○警察庁が「複数のIoT機器等の脆弱性を標的としたアクセスの増加等について」を公開

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次