-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-3701 JPCERT/CC 2017-09-27 <<< JPCERT/CC WEEKLY REPORT 2017-09-27 >>> ―――――――――――――――――――――――――――――――――――――― ■09/17(日)〜09/23(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apache Tomcat に複数の脆弱性 【2】複数の Apple 製品に脆弱性 【3】WordPress に複数の脆弱性 【4】Samba に複数の脆弱性 【5】速やかに CCleaner のアップデートを 【6】複数の Cisco 製品に脆弱性 【7】Joomla! に複数の脆弱性 【8】InterScan Web Security シリーズの複数製品にコードインジェクションの脆弱性 【今週のひとくちメモ】NISC が「政府のサイバーセキュリティに関する予算」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr173701.html https://www.jpcert.or.jp/wr/2017/wr173701.xml ============================================================================ 【1】Apache Tomcat に複数の脆弱性 情報源 US-CERT Current Activity Apache Releases Security Updates for Apache Tomcat https://www.us-cert.gov/ncas/current-activity/2017/09/19/Apache-Releases-Security-Updates-Apache-Tomcat 概要 Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 7.0.0 から 7.0.80 まで この問題は、Apache Tomcat を The Apache Software Foundation が提供する 修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99259676 Apache Tomcat の複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU99259676/ JPCERT/CC Alert 2017-09-20 Apache Tomcat における脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170038.html 関連文書 (英語) Apache Tomcat Fixed in Apache Tomcat 7.0.81 https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81 【2】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/09/19/Apple-Releases-Security-Updates 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS 11 より前のバージョン - Safari 11 より前のバージョン - tvOS 11 より前のバージョン - watchOS 4 より前のバージョン - Xcode 9 より前のバージョン - iTunes 12.7 より前のバージョン - iTunes 12.7 for Windows より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99806334 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU99806334/ 関連文書 (英語) Apple About the security content of iOS 11 https://support.apple.com/en-us/HT208112 Apple About the security content of Safari 11 https://support.apple.com/en-us/HT208116 Apple About the security content of tvOS 11 https://support.apple.com/en-us/HT208113 Apple About the security content of watchOS 4 https://support.apple.com/en-us/HT208115 Apple About the security content of Xcode 9 https://support.apple.com/en-us/HT208103 Apple About the security content of iTunes 12.7 https://support.apple.com/ja-jp/HT208140 Apple About the security content of iTunes 12.7 for Windows https://support.apple.com/ja-jp/HT208141 【3】WordPress に複数の脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/09/20/WordPress-Releases-Security-Update 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意の SQL 文を実行したり、ユーザのブラウザ上で任意のスクリプトを実行し たりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - WordPress 4.8.2 より前のバージョン この問題は、WordPress を WordPress が提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 関連文書 (英語) WordPress WordPress 4.8.2 Security and Maintenance Release https://wordpress.org/news/2017/09/wordpress-4-8-2-security-and-maintenance-release/ 【4】Samba に複数の脆弱性 情報源 US-CERT Current Activity Samba Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/09/20/Samba-Releases-Security-Updates 概要 Samba には、複数の脆弱性があります。結果として、遠隔の第三者が、中間者 攻撃によってユーザの意図しない操作を行ったり、情報を取得したりするなど の可能性があります。 対象となる製品は次のとおりです。 - Samba この問題は、Samba に The Samba Team が提供するパッチを適用することで解 決します。また、次の回避策を適用することで、本脆弱性の影響を軽減するこ とが可能です。 - コマンドラインで Samba を実行する際には「--signing=required」というオプションを指定する。または smb.conf の [global] セクションに「client signing = required」というパラメータを追加する - smb.conf の [global] セクションに「client max protocol = NT1」というパラメータを追加する - smb.conf の [global] セクションに「server min protocol = SMB2_02」というパラメータを追加する 詳細は、The Samba Team が提供する情報を参照してください。 関連文書 (英語) The Samba Team SMB1/2/3 connections may not require signing where they should https://www.samba.org/samba/security/CVE-2017-12150.html The Samba Team SMB3 connections don't keep encryption across DFS redirects https://www.samba.org/samba/security/CVE-2017-12151.html The Samba Team Server memory information leak over SMB1 https://www.samba.org/samba/security/CVE-2017-12163.html 【5】速やかに CCleaner のアップデートを 情報源 US-CERT Current Activity Avast’s Piriform Releases Security Update for CCleaner https://www.us-cert.gov/ncas/current-activity/2017/09/19/Avast%E2%80%99s-Piriform-Releases-Security-Update-CCleaner 概要 2017年9月18日、Piriform は、CCleaner の特定のバージョンにマルウエアが 含まれていることを発表しました。結果として、遠隔の第三者が情報を取得す るなどの可能性があります。 対象となるバージョンは次のとおりです。 - CCleaner version 5.33.6162 - CCleaner Cloud version 1.07.3191 この問題は、CCleaner を Piriform が提供する修正済みのバージョンに更新 することで解決します。詳細は、Piriform が提供する情報を参照してくださ い。 関連文書 (英語) Piriform Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users https://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users 【6】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/09/20/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cisco Unified Customer Voice Portal (CVP) 10.5 - Cisco Unified Customer Voice Portal (CVP) 11.0 - Cisco Unified Customer Voice Portal (CVP) 11.5 - Cisco Email Security Appliance (ESA) 向けの Cisco AsyncOS 9.8.1 より前の 9 系のバージョン - Cisco Email Security Appliance (ESA) 向けの Cisco AsyncOS 10.0.2-020 より前の 10 系のバージョン - SSH が有効な Cisco Small Business 300 Series Managed Switches - SSH が有効な Cisco Small Business 500 Series Stackable Managed Switches - SSH が有効な Cisco 350 Series Managed Switches - SSH が有効な Cisco 350X Series Stackable Managed Switches - SSH が有効な Cisco 550X Series Stackable Managed Switches - SSH が有効な Cisco ESW2 Series Advanced Switches この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Unified Customer Voice Portal Operations Console Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170920-cvp Cisco Security Advisory Cisco Email Security Appliance Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170920-esa Cisco Security Advisory Cisco Small Business Managed Switches Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170920-sbms 【7】Joomla! に複数の脆弱性 情報源 US-CERT Current Activity Joomla! Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/09/21/Joomla-Releases-Security-Update 概要 Joomla! には、脆弱性があります。結果として、遠隔の第三者が認証情報を取 得するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Joomla! 1.5.0 から 3.7.5 まで この問題は、Joomla! を Joomla! が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Joomla! が提供する情報を参照してください。 関連文書 (英語) Joomla! Joomla! 3.8.0 Release https://www.joomla.org/announcements/release-news/5713-joomla-3-8-0-release.html 【8】InterScan Web Security シリーズの複数製品にコードインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVNVU#90447827 InterScan Web Security シリーズの複数製品におけるコードインジェクションの脆弱性 https://jvn.jp/vu/JVNVU90447827/ 概要 InterScan Web Security シリーズの複数製品には、コードインジェクション の脆弱性があります。結果として、当該製品の管理画面にログイン可能なユー ザが任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - InterScan Web Security Virtual Appliance 6.5 ServicePack 2 - InterScan Web Security Virtual Appliance 6.5 - InterScan Web Security Suite 5.6 Linux版 この問題は、該当する製品にトレンドマイクロ株式会社が提供するパッチを適 用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報 を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ : InterScan Web Security シリーズ に関する「静的ルート」設定画面における脆弱性について https://esupport.trendmicro.com/solution/ja-jp/1117422.aspx ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NISC が「政府のサイバーセキュリティに関する予算」を公開 2017年9月20日、内閣サイバーセキュリティセンター (NISC) は、「政府のサ イバーセキュリティに関する予算」を公開しました。この文書は、平成30年度 予算概算要求額 727.5億円の内訳について書かれたもので、内閣官房、警察 庁、経済産業省など、各省のサイバーセキュリティに関する施策例がまとめら れています。 参考文献 (日本語) 内閣サイバーセキュリティセンター (NISC) 政府のサイバーセキュリティに関する予算 https://www.nisc.go.jp/active/kihon/pdf/yosan2018.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJZyui6AAoJEDF9l6Rp7OBIeIwIAJ+/3k5lXlJhEG7YUohCmUEX /lYJ1y5anXU7yJ0Wgw9X43gjxV13deYJenauOVtIDTEzE9tmpwxYpND4Qirt/NNe TFD5nBGfLr87dNBIur2MxyNUfX+Nbw3d49isZvZSgbJxsAbBo465h5onzMJ6uwUq 2ioK9Fe+ulEdWD1QbfbEpXzE6S9qqD5me8rTuo82I6IB5xlSxaVOqq8Qs0X57ilc a/yDHPhPfANtAmKRbZ092HOGr1v7QNju/XN6a+phBfw+c+ZFZ2jwvI33ioh/iGEw w/b0873P3LHSvpNO9hQevAkW4IYApRREZ6Pp0hVTWxsB8Gw52Ia0l7qOBeZgtvA= =M+n8 -----END PGP SIGNATURE-----