-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-4801 JPCERT/CC 2017-12-13 <<< JPCERT/CC WEEKLY REPORT 2017-12-13 >>> ―――――――――――――――――――――――――――――――――――――― ■12/03(日)〜12/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Apple 製品に脆弱性 【2】Microsoft Malware Protection Engine に複数の脆弱性 【3】Mozilla Firefox に複数の脆弱性 【4】Apache Struts 2 に複数の脆弱性 【5】Google Chrome に複数の脆弱性 【6】Fluentd にエスケープシーケンスインジェクションの脆弱性 【7】Windows 版「公的個人認証サービス 利用者クライアントソフト」のインストーラに DLL 読み込みに関する脆弱性 【今週のひとくちメモ】NICT が実践的サイバー演習「サイバーコロッセオ」の実施を発表 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr174801.html https://www.jpcert.or.jp/wr/2017/wr174801.xml ============================================================================ 【1】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/12/06/Apple-Releases-Security-Updates 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、ユーザの情報を取得したりするなどの可能性があ ります。 対象となる製品およびバージョンは次のとおりです。 - iOS 11.2 より前のバージョン - tvOS 11.2 より前のバージョン - watchOS 4.2 より前のバージョン - macOS High Sierra 10.13.2 より前のバージョン - macOS Sierra - OS X El Capitan この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC macOS High Sierra の設定に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170045.html 関連文書 (英語) Apple About the security content of iOS 11.2 https://support.apple.com/en-us/HT208334 Apple About the security content of tvOS 11.2 https://support.apple.com/en-us/HT208327 Apple About the security content of watchOS 4.2 https://support.apple.com/en-us/HT208325 Apple About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan https://support.apple.com/en-us/HT208331 【2】Microsoft Malware Protection Engine に複数の脆弱性 情報源 US-CERT Current Activity Microsoft Releases Security Updates for its Malware Protection Engine https://www.us-cert.gov/ncas/current-activity/2017/12/07/Microsoft-Releases-Security-Updates-its-Malware-Protection-Engine 概要 Microsoft Malware Protection Engine には、複数の脆弱性があります。結果 として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となる製品は次のとおりです。 - Windows Defender - Windows Intune Endpoint Protection - Microsoft Exchange Server 2016 - Microsoft Exchange Server 2013 - Microsoft Forefront Endpoint Protection 2010 - Microsoft Forefront Endpoint Protection - Microsoft Endpoint Protection - Microsoft Security Essentials この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Microsoft Malware Protection Engine のリモートでコードが実行される脆弱性(CVE-2017-11937)に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170046.html 関連文書 (英語) Microsoft CVE-2017-11937 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-11937 Microsoft CVE-2017-11940 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-11940 【3】Mozilla Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/12/07/Mozilla-Releases-Security-Updates US-CERT Current Activity Mozilla Releases Security Update for Firefox https://www.us-cert.gov/ncas/current-activity/2017/12/04/Mozilla-Releases-Security-Update-Firefox 概要 Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が、ユーザの閲覧履歴情報を取得したり、サービス運用妨害 (DoS) 攻撃を行っ たりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 57.0.2 より前のバージョン - Mozilla Firefox ESR 52.5.2 より前のバージョン この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 関連文書 (英語) Mozilla Mozilla Foundation Security Advisories (December 7, 2017 & November 29, 2017) https://www.mozilla.org/en-US/security/advisories/ 【4】Apache Struts 2 に複数の脆弱性 情報源 US-CERT Current Activity Apache Software Foundation Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/12/04/Apache-Software-Foundation-Releases-Security-Updates 概要 Apache Struts 2 には、複数の脆弱性があります。結果として、遠隔の第三者 がサービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - Apache Struts 2.5 から 2.5.14 まで この問題は、Apache Struts 2 を Apache Software Foundation が提供する修 正済みのバージョンに更新することで解決します。詳細は、Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) The Apache Software Foundation Struts 2.5.14.1 https://struts.apache.org/download.cgi Apache Struts 2 Documentation S2-054 https://cwiki.apache.org/confluence/display/WW/S2-054 Apache Struts 2 Documentation S2-055 https://cwiki.apache.org/confluence/display/WW/S2-055 【5】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Update for Chrome https://www.us-cert.gov/ncas/current-activity/2017/12/06/Google-Releases-Security-Update-Chrome 概要 Google Chrome には複数の脆弱性があります。結果として、遠隔の第三者が情 報を取得するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 63.0.3239.84 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2017/12/stable-channel-update-for-desktop.html 【6】Fluentd にエスケープシーケンスインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVNVU#95124098 Fluentd におけるエスケープシーケンスインジェクションの脆弱性 https://jvn.jp/vu/JVNVU95124098/ 概要 Fluentd には、エスケープシーケンスインジェクションの脆弱性があります。 結果として、遠隔の第三者が、細工したログを Fluentd に受信させることで、 任意のコマンドを実行したりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - Fluentd バージョン 0.12.29 から 0.12.40 まで この問題は、Fluentd を Cloud Native Computing Foundation が提供する修 正済みのバージョンに更新することで解決します。詳細は、Cloud Native Computing Foundation が提供する情報を参照してください。 関連文書 (英語) Cloud Native Computing Foundation Release 0.12.41 - 2017/11/15 https://github.com/fluent/fluentd/blob/v0.12/CHANGELOG.md#release-01241---20171115 【7】Windows 版「公的個人認証サービス 利用者クライアントソフト」のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#30352845 Windows 版 公的個人認証サービス 利用者クライアントソフトのインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN30352845/ 概要 Windows 版「公的個人認証サービス 利用者クライアントソフト」のインストー ラには、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意 のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - 公的個人認証サービス 利用者クライアントソフト Ver3.1 およびそれ以前 この問題は、地方公共団体情報システム機構が提供する最新のインストーラで は解決しています。なお、すでに「公的個人認証サービス 利用者クライアン トソフト」をインストールしている場合には、この問題の影響はありません。 詳細は地方公共団体情報システム機構が提供する情報を参照してください。 関連文書 (日本語) 地方公共団体情報システム機構 Windowsをご利用の方 https://www.jpki.go.jp/download/win.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NICT が実践的サイバー演習「サイバーコロッセオ」の実施を発表 2017年12月7日、情報通信研究機構 (NICT) は、東京2020オリンピック・パラ リンピック競技大会に向けた実践的サイバー演習「サイバーコロッセオ」を、 2018年2月から実施することを発表しました。この演習は、大会関連組織のセ キュリティ担当者を対象としており、高度かつ多様な攻撃に対処可能な能力を 有するサイバーセキュリティ人材を育成していくことを目的としています。大 会開催までの 3年間で行われる演習では、大会開催時に想定されるサイバー攻 撃を再現し、攻撃や防御手法の検証および訓練などの実践的なトレーニングが 行われる予定です。 参考文献 (日本語) 情報通信研究機構 (NICT) 東京2020オリンピック・パラリンピック競技大会に向けた実践的サイバー演習「サイバーコロッセオ」の実施について https://www.nict.go.jp/press/2017/12/07-1.html 情報通信研究機構 (NICT) 攻撃・防御双方の実践的演習「サイバーコロッセオ」 https://colosseo.nict.go.jp/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJaMHOmAAoJEDF9l6Rp7OBIQ+0H/0EKuppAjSukyscWj5SwDTBK zCF3prbtEISJzGk1lHXlicgI2xcFwIEvbeu/Hl4CmuNQ4iz1fjYdN5rRLQss0sKv cUzHXof5KAQx4QBgGaYY0lXJ2vo3rkoHrmKTQpKppDtNZbu38WiN8vimlIkCw2cO oKsFim1XENIA7qxzxXmUgxODHbX5sV/O1tQVzJI6+MGj+HOjmH78flszfzkeeiKW zHZaPYfcmhuj5z/3zwVcuOnofzz4k7oWEuK+JHyL6UM345sAfNi6nS/DxOCix9b6 G2qGU1FYC/xZ0r6TvtsQXcxH0XlNfDEF6NYplfxNQeC1UI+SBaycHUSFWAGt/Wg= =qZdQ -----END PGP SIGNATURE-----