-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-5001 JPCERT/CC 2017-12-27 <<< JPCERT/CC WEEKLY REPORT 2017-12-27 >>> ―――――――――――――――――――――――――――――――――――――― ■12/17(日)〜12/23(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】H2O に複数の脆弱性 【2】OneThird CMS にディレクトリトラバーサルの脆弱性 【3】Music Center for PC のインストーラに DLL 読み込みに関する脆弱性 【4】コンテンツ管理アシスタント for PlayStation のインストーラに DLL 読み込みに関する脆弱性 【今週のひとくちメモ】Mirai 亜種の感染活動に関する注意喚起 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr175001.html https://www.jpcert.or.jp/wr/2017/wr175001.xml ============================================================================ 【1】H2O に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#84182676 H2O における複数の脆弱性 https://jvn.jp/jp/JVN84182676/ 概要 H2O には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運 用妨害 (DoS) 攻撃を実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - H2O version 2.2.3 およびそれ以前 この問題は、H2O を H2O が提供する更新プログラムを適用することで解決します。 詳細は、H2O が提供する情報を参照してください。 関連文書 (英語) H2O fix crash when receiving request with invalid framing (CVE-2017-10868) #1459 https://github.com/h2o/h2o/issues/1459 H2O fix stack overflow when sending huge request body to upstream (CVE-2017-10869) #1460 https://github.com/h2o/h2o/issues/1460 H2O fix crash when logging TLS 1.3 properties (CVE-2017-10872) #1543 https://github.com/h2o/h2o/issues/1543 H2O fix crash when handling malformed HTTP/2 request (CVE-2017-10908) #1544 https://github.com/h2o/h2o/issues/1544 【2】OneThird CMS にディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#93333702 OneThird CMS におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN93333702/ 概要 OneThird CMS には、ディレクトリトラバーサルの脆弱性があります。結果と して、当該製品に編集権限でログイン可能なユーザが、サーバ内の任意のファ イルを削除する可能性があります。 対象となるバージョンは次のとおりです。 - OneThird CMS Show Off v1.85 およびそれ以前 - OneThird CMS Show Off v1.85 en およびそれ以前 この問題は、該当する製品を SpiQeソフトウェアが提供する最新バージョンに 更新することで解決します。詳細は、SpiQeソフトウェアが提供する情報を参 照してください。 関連文書 (日本語) SpiQeソフトウェア Lightweight CMS for Small website, Web application framework. https://onethird.net/ 【3】Music Center for PC のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#60695371 Music Center for PC のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN60695371/ 概要 Music Center for PC のインストーラには、DLL 読み込みに関する脆弱性があ ります。Windows 7 環境下でインストーラを実行した場合、結果として、第三 者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Music Center for PC バージョン 1.0.01 およびそれ以前 この問題は、ソニービデオ&サウンドプロダクツ株式会社が提供する最新のイン ストーラでは解決しています。なお、すでに Music Center for PC をインス トールしている場合には、この問題の影響はありません。詳細は、ソニービデ オ&サウンドプロダクツ株式会社が提供する情報を参照してください。 関連文書 (日本語) ソニービデオ&サウンドプロダクツ株式会社 Music Center for PC https://musiccenter.sony.net/ja/?j-short=smc4pc 【4】コンテンツ管理アシスタント for PlayStation のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#95423049 コンテンツ管理アシスタント for PlayStation のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN95423049/ 概要 コンテンツ管理アシスタント for PlayStation のインストーラには、DLL 読 み込みに関する脆弱性があります。結果として、第三者が任意のコードを実行 する可能性があります。 対象となるバージョンは次のとおりです。 - コンテンツ管理アシスタント for PlayStation バージョン 3.55.7671.0901 およびそれ以前 この問題は、株式会社ソニー・インタラクティブエンタテインメントが提供す る最新のインストーラでは解決しています。なお、すでにコンテンツ管理アシ スタント for PlayStation をインストールしている場合には、この問題の影 響はありません。詳細は、株式会社ソニー・インタラクティブエンタテインメン トが提供する情報を参照してください。 関連文書 (日本語) 株式会社ソニー・インタラクティブエンタテインメント Content Manager Assistant for Playstation http://cma.dl.playstation.net/cma/win/jp/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Mirai 亜種の感染活動に関する注意喚起 2017年12月19日、JPCERT/CC は「Mirai 亜種の感染活動に関する注意喚起」を 公開しました。JPCERT/CC では、2017年11月ごろから、23/TCP と 2323/TCP に対するスキャンの増加を観測しており、これを国内における Mirai 亜種に よる感染活動の拡大によるものと判断しています。この注意喚起では、感染拡 大に利用されている通信機器を具体的に示し、適切な対策を施すよう呼びかけ ています。広く使用されているブロードバンドルータが対象となっていますの で、今一度ご確認ください。 参考文献 (日本語) JPCERT/CC Mirai 亜種の感染活動に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170049.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJaQu5OAAoJEDF9l6Rp7OBI7aEH/iRwSK/IjkhpMf1xdKhe2cvm ZFUzdIEpcFmjvq1XP9Xu1NyJYEZhYfp+rpRphJ0yAkvHPYXw2G/m8D9f6MUyH+fC 6LafHm+tTB+lymcn5rmsiUbW1i6vgG6gCtWyhJ5qfnJjPr21U1lo1tCemLFpm/q0 38T3YYGC7b/GnexbKUZmYa/elXDsmovnBTC0lfe2UVd2r4MXdXzX4aQPSqsuumWU dniBROS7WcEvMvMl0jain6pTuxi56ZxmxRYW1LS9sCxg1vB2CKR4l3hEcEcxlaku RETb/A/khILZQxlvD/H2lFJW1HRAAXRQVZyyhr71sVmqbCf/zaYk8o//UNZLjgs= =Ab4i -----END PGP SIGNATURE-----