-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-4601 JPCERT/CC 2017-11-29 <<< JPCERT/CC WEEKLY REPORT 2017-11-29 >>> ―――――――――――――――――――――――――――――――――――――― ■11/19(日)〜11/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Intel 製品に脆弱性 【2】複数の Symantec 製品に脆弱性 【3】PWR-Q200 に DNS キャッシュポイズニングの脆弱性 【4】Media Go および Music Center for PC のインストーラに DLL 読み込みに関する脆弱性 【今週のひとくちメモ】CSA ジャパンが「クラウドコンピューティングのためのセキュリティガイダンス v4.0」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr174601.html https://www.jpcert.or.jp/wr/2017/wr174601.xml ============================================================================ 【1】複数の Intel 製品に脆弱性 情報源 US-CERT Current Activity Intel Firmware Vulnerability https://www.us-cert.gov/ncas/current-activity/2017/11/21/Intel-Firmware-Vulnerability 概要 複数の Intel 製品には、脆弱性があります。結果として、第三者が、任意の コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可 能性があります。 対象となる製品は次のとおりです。 - 第 6、第 7、第 8 世代 Intel(R) Core(TM) プロセッサー・ファミリー - Intel(R) Xeon(R) プロセッサー E3-1200 v5 および v6 製品ファミリー - Intel(R) Xeon(R) プロセッサー・スケーラブル・ファミリー - Intel(R) Xeon(R) プロセッサー W ファミリー - Intel(R) Atom(R) C3000 プロセッサー・ファミリー - Apollo Lake Intel(R) Atom プロセッサー E3900 シリーズ - Apollo Lake Intel(R) Pentium(TM) - Celeron(TM) プロセッサー N および J シリーズ この問題は、該当する製品のファームウエアをベンダや配布元が提供する修正 済みのバージョンに更新することで解決します。詳細は、Intel が提供する情 報を参照してください。 関連文書 (英語) Intel Intel(R) Management Engine Critical Firmware Update (Intel-SA-00086) https://www.intel.com/content/www/us/en/support/articles/000025619/software.html Intel Intel Q3' 17 ME 11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr 【2】複数の Symantec 製品に脆弱性 情報源 US-CERT Current Activity Symantec Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/11/21/Symantec-Releases-Security-Update CERT/CC Vulnerability Note VU#681983 Install Norton Security for Mac does not verify SSL certificates https://www.kb.cert.org/vuls/id/681983 概要 複数の Symantec 製品には、脆弱性があります。結果として、遠隔の第三者が 中間者攻撃によって通信内容を偽装する可能性があります。 対象となるバージョンは次のとおりです。 - Symantec Management Console ITMS 8.1 RU4 より前のバージョン - Install Norton Security for Mac バージョン 7.6 より前のバージョン この問題は、該当する製品を Symantec が提供する修正済みのバージョンに更 新することで解決します。詳細は、Symantec が提供する情報を参照してくだ さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98606324 Install Norton Security for Mac における SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/vu/JVNVU98606324/ 関連文書 (英語) Symantec Security Advisories Relating to Symantec Products - Symantec Management Console Directory Traversal https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20171120_00 Symantec Security Advisories Relating to Symantec Products - Install Norton Security Certificate Spoof https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20171121_00 【3】PWR-Q200 に DNS キャッシュポイズニングの脆弱性 情報源 Japan Vulnerability Notes JVN#73141967 PWR-Q200 における DNS キャッシュポイズニングの脆弱性 https://jvn.jp/jp/JVN73141967/ 概要 PWR-Q200 には、DNS キャッシュポイズニングの脆弱性があります。結果とし て、遠隔の第三者が DNS レスポンスを偽装することで、LAN 内の端末を悪意 のあるサーバに誘導する可能性があります。 対象となる製品は次のとおりです。 - PWR-Q200 PWR-Q200 のサポートは終了しています。PWR-Q200 の使用を停止してください。 詳細は、東日本電信電話株式会社が提供する情報を参照してください。 関連文書 (日本語) 東日本電信電話株式会社 光ポータブル 「PWR-Q200」 https://web116.jp/shop/hikari_p/q200/q200_00.html 【4】Media Go および Music Center for PC のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#08517069 Media Go および Music Center for PC のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN08517069/ 概要 Media Go および Music Center for PC のインストーラには、DLL 読み込みに 関する脆弱性があります。結果として、第三者が任意のコードを実行する可能 性があります。 対象となる製品およびバージョンは次のとおりです。 - Media Go バージョン 3.2.0.191 およびそれ以前 - Music Center for PC バージョン 1.0.00 2017年11月28日現在、Media Go の問題の対策済みのバージョンは公開されて いません。Media Go は 2017年12月末に配布の終了を予定しています。Media Go はインストールしないでください。Music Center for PC の問題は、ソニー ビデオ&サウンドプロダクツ株式会社が提供する最新のインストーラでは 解決しています。なお、すでに Media Go または Music Center for PC をイン ストールしている場合には、この問題の影響はありません。詳細は、ソニービ デオ&サウンドプロダクツ株式会社が提供する情報を参照してください。 関連文書 (日本語) ソニービデオ&サウンドプロダクツ株式会社 Music Center for PC 1.0.01をリリースしました https://musiccenter.sony.net/ja/downloads/update.php ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○CSA ジャパンが「クラウドコンピューティングのためのセキュリティガイダンス v4.0」を公開 2017年11月27日、日本クラウドセキュリティアライアンス (CSA ジャパン) は、 「クラウドコンピューティングのためのセキュリティガイダンス v4.0」を公 開しました。このガイダンスは、Cloud Security Alliance (CSA) が公開して いる「Security Guidance for the Critical Areas of Focus in Cloud Computing v4.0」の日本語訳で、「仮想化とコンテナ技術」、「データセキュリティと暗 号化」など、セキュアなクラウドコンピューティングを実現するための 14 の 項目がまとめられています。 参考文献 (日本語) 日本クラウドセキュリティアライアンス (CSA ジャパン) ガイダンス4.0(日本語版)を公開いたしました! https://www.cloudsecurityalliance.jp/newsite/?p=3270 日本クラウドセキュリティアライアンス (CSA ジャパン) クラウドコンピューティングのためのセキュリティガイダンス v4.0 https://cloudsecurityalliance.jp/j-docs/CSA_Guidance_V4.0_J_V1.0_clear.pdf 参考文献 (英語) Cloud Security Alliance (CSA) Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 https://cloudsecurityalliance.org/download/security-guidance-v4/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJaHf6sAAoJEDF9l6Rp7OBIztoH/2Yyr/aaIwQJsba7lmSB7DDP vcOexZjzacB2Eu3QrVUcYWV5W+qmRddEHRLagNaFRznidJZJsE/7SIA9nCucOIQ/ ZBNpbRwfyqejCz9ap+GZnoZxpbR8p0r59DL/gHI7oi6WlH5MvtzBnm5rWDkT948k zrNwEB1BQ9q0WOlUKpyVgwb2KaZ/222MkuahwRpsg6wX0OitdX27QyHEj1z4Bm9f zUxZhE5bE8XokSScnpu3Ue9l1/9zcmpV93KWxUfmTqyLodgBe18Yq9mr/por8YxH MRjodm6lDBBm0vwRFdnSgI3/kP3jTvasFHyeOsbMriW3TNB2GpitU0PMGNaHGq4= =st6H -----END PGP SIGNATURE-----