-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-3401 JPCERT/CC 2017-09-06 <<< JPCERT/CC WEEKLY REPORT 2017-09-06 >>> ―――――――――――――――――――――――――――――――――――――― ■08/27(日)〜09/02(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】RubyGems に複数の脆弱性 【2】Rufus に任意のコードが実行可能な脆弱性 【3】富士ゼロックス株式会社製の複数の製品に DLL 読み込みに関する脆弱性 【4】リモートサポートツール(遠隔サポートツール)のインストーラに DLL 読み込みに関する脆弱性 【今週のひとくちメモ】JIPDEC が「(平成28年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr173401.html https://www.jpcert.or.jp/wr/2017/wr173401.xml ============================================================================ 【1】RubyGems に複数の脆弱性 情報源 Ruby RubyGems の複数の脆弱性について https://www.ruby-lang.org/ja/news/2017/08/29/multiple-vulnerabilities-in-rubygems/ 概要 RubyGems には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなど の可能性があります。 対象となるバージョンは次のとおりです。 - Ruby 2.2.7 およびそれ以前の 2.2 系のバージョン - Ruby 2.3.4 およびそれ以前の 2.3 系のバージョン - Ruby 2.4.1 およびそれ以前の 2.4 系のバージョン - revision 59672 より前の開発版 この問題は、RubyGems を RubyGems が提供する修正済みのバージョンに更新 することで解決します。詳細は、RubyGems が提供する情報を参照してくださ い。 関連文書 (英語) RubyGems 2.6.13 Released http://blog.rubygems.org/2017/08/27/2.6.13-released.html 【2】Rufus に任意のコードが実行可能な脆弱性 情報源 CERT/CC Vulnerability Note VU#403768 Akeo Consulting Rufus fails to update itself securely https://www.kb.cert.org/vuls/id/403768 概要 Rufus には、任意のコードが実行可能な脆弱性があります。結果として、遠隔 の第三者が、中間者攻撃によって任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Akeo Consulting Rufus 2.16 2017年9月6日現在、対策済みのバージョンは公開されていません。次の回避策を 適用することで、本脆弱性の影響を軽減することが可能です。 - 当該製品のアップデート機能を使わずに、ウェブブラウザを使って手動でベン ダサイトより更新データを取得してアップデートを行う 詳細は、Akeo Consulting が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98866977 Rufus に更新がセキュアに行われない脆弱性 https://jvn.jp/vu/JVNVU98866977/ 関連文書 (英語) Rufus ER: Avoid prompts that users may not properly intepret on update signature validation #1009 https://github.com/pbatard/rufus/issues/1009 【3】富士ゼロックス株式会社製の複数の製品に DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#09769017 富士ゼロックス株式会社製の複数の製品における DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN09769017/ 概要 富士ゼロックス株式会社製の複数の製品には、DLL 読み込みに関する脆弱性が あります。結果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - DocuWorks 8.0.7 およびそれ以前のインストーラ - DocuWorks 8.0.7 およびそれ以前により生成された自己解凍文書 - DocuWorks Viewer Light インストーラ 登録日2017年7月以前のパッケージ - ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271、DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け ART EX ドライバーのインストーラ (デジタル署名のタイムスタンプが日本時間 2017年4月12日 11:04 以前) - ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271、DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け PostScript ドライバー Microsoft Pscript用 + 機能追加PlugIn + PPDファイル インストーラ (デジタル署名のタイムスタンプが日本時間 2017年4月12日 11:10 以前) - ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271、DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け XPS 対応ドライバーのインストーラ (デジタル署名のタイムスタンプが日本時間 2016年11月4日 08:48 以前) - ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271、DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け ART EXダイレクトファクスドライバーのインストーラ (デジタル署名のタイムスタンプが日本時間 2017年5月26日 16:44 以前) - ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271、DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け設定復元ツールのインストーラ (デジタル署名のタイムスタンプが日本時間 2015年8月25日 17:51 以前) - ContentsBridge Utility for Windows 7.4.0 およびそれ以前のインストーラ インストーラの問題は、富士ゼロックス株式会社が提供する最新のインストー ラでは解決しています。なお、すでに該当する製品をインストールしている場 合には、この問題の影響はありません。 DocuWorks で生成された自己解凍文書を利用する場合は、空の新規フォルダを 作成し、その中に DocuWorks 自己解凍文書を格納してから起動することで、 本脆弱性を回避することができます。 なお、開発元からは、自己解凍文書作成機能を停止したインストーラが公開さ れています。詳細は、富士ゼロックス株式会社が提供する情報を参照してくだ さい。 関連文書 (日本語) 富士ゼロックス株式会社 弊社提供ソフトウェアにおけるDLL読込みに関する脆弱性について https://www.fujixerox.co.jp/company/news/notice/2017/0831_rectification_work.html 富士ゼロックス株式会社 DocuWorks自己解凍文書の任意DLL読み込みに関する脆弱性について https://www.fujixerox.co.jp/company/news/notice/2017/0831_rectification_work_2.html 【4】リモートサポートツール(遠隔サポートツール)のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#26115441 「リモートサポートツール(遠隔サポートツール)」のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN26115441/ 概要 「リモートサポートツール(遠隔サポートツール)」のインストーラには、 DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコードを 実行する可能性があります。 対象となるバージョンは次のとおりです。 - リモートサポートツール(遠隔サポートツール) の平成29年8月10日以前にウェブ上に掲載されていた版すべて この問題は、東日本電信電話株式会社または西日本電信電話株式会社が提供す る最新のインストーラでは解決しています。なお、すでにリモートサポートツー ル(遠隔サポートツール)をインストールしている場合には、この問題の影響 はありません。詳細は、東日本電信電話株式会社または西日本電信電話株式会 社が提供する情報を参照してください。 関連文書 (日本語) 東日本電信電話株式会社 重要:リモートサポートツール(遠隔サポートツール)をご利用のお客さまへ https://flets.com/osa/remote/pc_tool.html 西日本電信電話株式会社 「Windows用<リモートサポートツール>」における脆弱性について https://flets-w.com/topics/remote_support_vulnerability/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JIPDEC が「(平成28年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」」を公開 2017年8月28日、日本情報経済社会推進協会 (JIPDEC) は、「(平成28年度) 「個人情報の取扱いにおける事故報告にみる傾向と注意点」」を公開しました。 この文書は、プライバシーマーク付与事業者の個人情報の取扱いにおける過去 数年の事故の傾向と、IT 関連、対面・電話等、盗難・紛失の 3種類の事故の 注意事項についてまとめられたものです。 参考文献 (日本語) 日本情報経済社会推進協会 (JIPDEC) (平成28年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」について https://privacymark.jp/news/2017/0828/index.html 日本情報経済社会推進協会 (JIPDEC) (平成28年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」 https://privacymark.jp/reference/pdf/H28JikoHoukoku_170828.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJZrzo7AAoJEDF9l6Rp7OBIOjQH/AhSzTtdwRGhuWO+lHrjOWjv LQY9VUocIcKQrPIA35eapg06tI/QJH9uhQ9jI0ktrqwOiZI7a2iqbEmTduYLal0r ELL+u+G9RwqhXPNB387+JavHyOny12CnubfgmJK58Btz5rMRX9vvWm+ZGCOiZ9Xw nQIhMB8lHos80KBYQJniYF64aeVGCLDWc9uF3SJ2Q7cRMCaiUVpIDjLgKYrgHaRE wxTjGYCTp59lGgmnC3EGCOttgYR/XXRm5ThDk81Xw7cE571Pb0rmzHkbSQILfZ2Z xgDQ995AXSxyYTtzZ/x7x9xfpYdCPoTTmj1BhvJ1J0IAnhRECtJI0IuZdnslrmE= =oxFs -----END PGP SIGNATURE-----