<<< JPCERT/CC WEEKLY REPORT 2020-03-11 >>>

■03/01(日)〜03/07(土) のセキュリティ関連情報

目　次

【1】Google Chrome に脆弱性

【2】複数の Cisco 製品に脆弱性

【3】pppd にバッファオーバーフローの脆弱性

【4】オムロン製 PLC CJ シリーズにリソース枯渇の脆弱性

【5】GRANDIT にセッション管理不備の脆弱性

【6】OpenBlocks IoT VX2 に複数の脆弱性

【7】ManageEngine Desktop Central に任意のコード実行の脆弱性

【今週のひとくちメモ】NISC が「サイバーセキュリティ関係法令Q&Aハンドブック」を公開

【1】Google Chrome に脆弱性

情報源

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/03/04/google-releases-security-updates-chrome

概要

Google Chrome には、脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 80.0.3987.132 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/03/stable-channel-update-for-desktop.html

【2】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/03/05/cisco-releases-security-updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

影響度 High の脆弱性情報の対象となる製品は次のとおりです。

- Cisco Intelligent Proximity application
- Cisco Jabber
- Cisco Webex Teams
- Cisco Meeting App
- Cisco Webex Meetings
- Cisco Webex Meetings Online
- Cisco Webex Meetings Server 
- Cisco Prime Network Registrar

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、
  影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が
  提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す
る情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Intelligent Proximity SSL Certificate Validation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-proximity-ssl-cert-gBBu3RB

Cisco Security Advisory
Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player

Cisco Security Advisory
Cisco Prime Network Registrar Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cpnr-csrf-WWTrDkyL

【3】pppd にバッファオーバーフローの脆弱性

情報源

Vulnerability Note VU#782301
pppd vulnerable to buffer overflow due to a flaw in EAP packet processing
https://www.kb.cert.org/vuls/id/782301/

概要

pppd (Point to Point Protocol Daemon) には、バッファオーバーフローの脆
弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは次のとおりです。

- pppd 2.4.2 から 2.4.8 までのバージョン

この問題は、pppd を開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99700555
pppd におけるバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU99700555/

関連文書 (英語)

US-CERT Current Activity
Point-to-Point Protocol Daemon Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/03/05/point-point-protocol-daemon-vulnerability

paulusmack/ppp
pppd: Fix bounds check in EAP code
https://github.com/paulusmack/ppp/commit/8d7970b8f3db727fe798b65f3377fe6787575426

lwIP
PPP, EAP: fix bounds check in EAP code
https://git.savannah.nongnu.org/cgit/lwip.git/commit/src/netif/ppp/eap.c?id=2ee3cbe69c6d2805e64e7cac2a1c1706e49ffd86

【4】オムロン製 PLC CJ シリーズにリソース枯渇の脆弱性

情報源

ICS Advisory (ICSA-20-063-03)
Omron PLC CJ Series
https://www.us-cert.gov/ics/advisories/icsa-20-063-03

Japan Vulnerability Notes JVNVU#91000130
オムロン製 PLC CJ シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU91000130/

概要

オムロン株式会社が提供する PLC CJ シリーズには、リソース枯渇の脆弱性が
あります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う
可能性があります。

対象となるバージョンは次のとおりです。

- Omron PLC CJ シリーズの全てのバージョン

2020年3月11日現在、この問題に対する修正済みのバージョンは提供されてい
ません。PLC CJ シリーズに回避策を適用することで影響を軽減できます。詳
細は、オムロン株式会社が提供する情報を参照してください。

関連文書 (日本語)

オムロン株式会社
弊社PLC(CJシリーズCPU)に対する外部機関からの脆弱性指摘について
http://www.omron-cxone.com/security/2020-02-28_PLC_JP.pdf

【5】GRANDIT にセッション管理不備の脆弱性

情報源

Japan Vulnerability Notes JVN#73472345
GRANDIT におけるセッション管理不備の脆弱性
http://jvn.jp/jp/JVN73472345/

概要

GRANDIT株式会社が提供する GRANDIT には、セッション管理不備の脆弱性があ
ります。結果として、遠隔の第三者が、情報を窃取したり、情報を改ざんした
りするなどの可能性があります。

対象となるバージョンは次のとおりです。

- GRANDIT Ver.3.0
- GRANDIT Ver.2.3
- GRANDIT Ver.2.2
- GRANDIT Ver.2.1
- GRANDIT Ver.2.0
- GRANDIT Ver.1.6

この問題は、GRANDIT を GRANDIT株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、GRANDIT 株式会社が提供する情報を参照
してください。

関連文書 (日本語)

GRANDIT株式会社
GRANDITにおけるセッション管理不備の脆弱性について
https://www.grandit.jp/etc/20200228_letter.pdf

【6】OpenBlocks IoT VX2 に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#19666251
OpenBlocks IoT VX2 における複数の脆弱性
https://jvn.jp/jp/JVN19666251/

概要

OpenBlocks IoT VX2 には、複数の脆弱性があります。結果として、第三者が、
機器を初期化したり、任意のコマンドを実行したりするなどの可能性がありま
す。

対象となるバージョンは次のとおりです。

- OpenBlocks IoT VX2 Ver.4.0.0 より前のバージョン

この問題は、OpenBlocks IoT VX2 をぷらっとホーム株式会社が提供する修正
済みのバージョンに更新することで解決します。詳細は、ぷらっとホーム株式
会社が提供する情報を参照してください。

関連文書 (日本語)

ぷらっとホーム株式会社
OpenBlocks IoT VX2　ソフトウェアリリース情報｜FW4.0.0
https://www.plathome.co.jp/software/vx2-v4-0-0/

【7】ManageEngine Desktop Central に任意のコード実行の脆弱性

情報源

US-CERT Current Activity
Zoho Releases Security Update on ManageEngine Desktop Central
https://www.us-cert.gov/ncas/current-activity/2020/03/06/zoho-releases-security-update-manageengine-desktop-central

概要

ManageEngine Desktop Central には、遠隔の第三者が任意のコードを実行可
能な脆弱性があります。

対象となるバージョンは次のとおりです。

- ManageEngine Desktop Central 10.0.473 およびそれ以前

この問題は、ManageEngine Desktop Central を Zoho が提供する修正済みの
バージョンに更新することで解決します。詳細は、Zoho が提供する情報を参
照してください。

関連文書 (英語)

Zoho
ManageEngine Desktop Central remote code execution vulnerability (CVE-2020-10189)
https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.html

■今週のひとくちメモ

○NISC が「サイバーセキュリティ関係法令Q&Aハンドブック」を公開

2020年3月2日、内閣サイバーセキュリティセンター (NISC) は、サイバーセキュ
リティ対策において参照すべき関係法令を解説する「サイバーセキュリティ関
係法令Q&Aハンドブック」を公開しました。企業におけるサイバーセキュリティ
対策やインシデント対応に関する法令上の事項や、情報の取扱いに関する法的
課題等をわかりやすくまとめたとのことです。法令上の課題解決や疑問点の解
消にご活用ください。

参考文献 (日本語)

内閣サイバーセキュリティセンター (NISC)
「サイバーセキュリティ関係法令Q＆Aハンドブック 」について
https://www.nisc.go.jp/security-site/law_handbook/

■JPCERT/CC からのお願い