-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-0102 JPCERT/CC 2018-01-11 <<< JPCERT/CC WEEKLY REPORT 2018-01-11 >>> ―――――――――――――――――――――――――――――――――――――― ■12/24(日)〜01/06(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】PHP に複数の脆弱性 【2】複数の VMware 製品に脆弱性 【3】複数の Mozilla 製品に脆弱性 【4】InterScan Messaging Security Virtual Appliance に複数の脆弱性 【5】MQTT.js における PUBLISH パケットの扱いに関する問題 【6】CPU に対するサイドチャネル攻撃 【今週のひとくちメモ】担当者が選ぶ 2017年重大ニュース ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr180102.html https://www.jpcert.or.jp/wr/2018/wr180102.xml ============================================================================ 【1】PHP に複数の脆弱性 情報源 The PHP Group PHP 7.2.1 Released https://secure.php.net/archive/2018.php#id2018-01-04-2 The PHP Group PHP 7.1.13 Released https://secure.php.net/archive/2018.php#id2018-01-04-3 The PHP Group PHP 7.0.27 Released https://secure.php.net/archive/2018.php#id2018-01-04-1 The PHP Group PHP 5.6.33 Released https://secure.php.net/archive/2018.php#id2018-01-04-4 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運 用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - PHP 7.2.1 より前のバージョン - PHP 7.1.13 より前のバージョン - PHP 7.0.27 より前のバージョン - PHP 5.6.33 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。 関連文書 (英語) The PHP Group PHP 7 ChangeLog Version 7.2.1 http://www.php.net/ChangeLog-7.php#7.2.1 The PHP Group PHP 7 ChangeLog Version 7.1.13 http://www.php.net/ChangeLog-7.php#7.1.13 The PHP Group PHP 7 ChangeLog Version 7.0.27 http://www.php.net/ChangeLog-7.php#7.0.27 The PHP Group PHP 5 ChangeLog Version 5.6.33 http://www.php.net/ChangeLog-5.php#5.6.33 【2】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/01/02/VMware-Releases-Security-Updates US-CERT Current Activity VMware Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/01/05/VMware-Releases-Security-Updates VMware Security Advisories VMSA-2018-0002.1 https://www.vmware.com/security/advisories/VMSA-2018-0002.html 概要 複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行したり、第三者が情報を取得したりするなどの可能性があり ます。 対象となる製品およびバージョンは次のとおりです。 - vSphere Data Protection 6.1.6 より前のバージョン - vSphere Data Protection 6.0.7 より前のバージョン - vRealize Operations for Horizon 6.5.1 より前のバージョン - vRealize Operations for Published Applications 6.5.1 より前のバージョン - VMware Workstation Pro / Player 14.1.0 より前のバージョン - VMware Workstation Pro / Player 12 系のバージョン - VMware Fusion Pro / Fusion 8 系、10 系のバージョン - Horizon View Client for Windows 4.7.0 より前のバージョン - VMware vSphere ESXi ESXi650-201712101-SG より前のバージョン - VMware vSphere ESXi ESXi600-201711101-SG より前のバージョン - VMware vSphere ESXi ESXi550-201801401-BG より前のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。 なお、VMSA-2018-0002.1 では、今号【6】で取り上げている CPU に対するサ イドチャネル攻撃への対策が施されているとのことです。これらの問題につい ては、VMware が提供する情報を参照し、適切な対策をとることをおすすめし ます。 関連文書 (日本語) VMware Workstation Pro サポート センター https://www.vmware.com/jp/support/workstation.html VMware Fusion サポート センター https://www.vmware.com/jp/support/fusion.html 関連文書 (英語) VMware Security Advisories VMSA-2018-0001 https://www.vmware.com/security/advisories/VMSA-2018-0001.html VMware Security Advisories VMSA-2018-0003 https://www.vmware.com/security/advisories/VMSA-2018-0003.html 【3】複数の Mozilla 製品に脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Update for Thunderbird https://www.us-cert.gov/ncas/current-activity/2017/12/25/Mozilla-Releases-Security-Update-Thunderbird US-CERT Current Activity Mozilla Releases Security Update https://www.us-cert.gov/ncas/current-activity/2018/01/04/Mozilla-Releases-Security-Update 概要 複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が サービス運用妨害 (DoS) 攻撃を行ったり、第三者が情報を取得したりするな どの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Thunderbird 52.5.2 より前のバージョン - Mozilla Firefox 57.0.4 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。なお、Mozilla Foundation Security Advisory 2018-01 では、今号【6】 で取り上げている CPU に対するサイドチャネル攻撃への対策が施されている とのことです。これらの問題については、Mozilla が提供する情報を参照し、 適切な対策をとることをおすすめします。 関連文書 (英語) Mozilla Mozilla Foundation Security Advisory 2017-30 https://www.mozilla.org/en-US/security/advisories/mfsa2017-30/ Mozilla Mozilla Foundation Security Advisory 2018-01 Speculative execution side-channel attack ("Spectre") https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/ 【4】InterScan Messaging Security Virtual Appliance に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#98736894 InterScan Messaging Security Virtual Appliance における複数の脆弱性 https://jvn.jp/vu/JVNVU98736894/ 概要 InterScan Messaging Security Virtual Appliance には、複数の脆弱性があ ります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性が あります。 対象となるバージョンは次のとおりです。 - InterScan Messaging Security Virtual Appliance 9.0 - InterScan Messaging Security Virtual Appliance 9.1 この問題は、InterScan Messaging Security Virtual Appliance をトレンド マイクロ株式会社が提供する修正済みのバージョンに更新することで解決しま す。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。 関連文書 (日本語) トレンドマイクロ株式会社 アラート/アドバイザリ : InterScan Messaging Security Virtual Appliance に関するCVE-2017-1000367他複数の脆弱性について https://esupport.trendmicro.com/solution/ja-JP/1117750.aspx 【5】MQTT.js における PUBLISH パケットの扱いに関する問題 情報源 Japan Vulnerability Notes JVN#45494523 MQTT.js における PUBLISH パケットの扱いに関する問題 https://jvn.jp/jp/JVN45494523/ 概要 MQTT.js には、PUBLISH パケットの扱いに関する問題が存在します。結果とし て、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - MQTT.js 2.15.0 より前の 2 系 この問題は、MQTT.js を MQTT.js が提供する修正済みのバージョンに更新す ることで解決します。詳細は、MQTT.js が提供する情報を参照してください。 関連文書 (英語) mqttjs/MQTT.js v2.15.0 https://github.com/mqttjs/MQTT.js/releases/tag/v2.15.0 【6】CPU に対するサイドチャネル攻撃 情報源 CERT/CC Vulnerability Note VU#584653 CPU hardware vulnerable to side-channel attacks https://www.kb.cert.org/vuls/id/584653 US-CERT Current Activity Meltdown and Spectre Side-Channel Vulnerabilities https://www.us-cert.gov/ncas/current-activity/2018/01/03/Meltdown-and-Spectre-Side-Channel-Vulnerabilities 概要 投機的実行機能やアウトオブオーダー実行機能を持つ CPU に対してサイドチャ ネル攻撃を行う手法が複数の研究者から報告されています。この手法を悪用さ れた場合に、ユーザ権限で実行中のプロセスから、機密情報を取得される可能 性があります。この問題は、該当する機能を有する CPU 上で動作する OS を はじめ、ソフトウエアに広く影響します。この問題に対しては、いくつかのベン ダから対策に関する情報が公表されています (例えば、今号の【2】【3】でと り上げた情報にも含まれています)。使用している各ソフトウエアのベンダや 配布元などの情報を確認し、対策の施されたバージョンが公開されている場合 は速やかに適用することをおすすめします。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93823979 CPU に対するサイドチャネル攻撃 https://jvn.jp/vu/JVNVU93823979/ トレンドマイクロ株式会社 投機的実行に関する脆弱性「Meltdown」と「Spectre」について解説 http://blog.trendmicro.co.jp/archives/16735 関連文書 (英語) Google Project Zero Reading privileged memory with a side-channel https://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memory-with-side.html Graz University of Technology Meltdown and Spectre https://meltdownattack.com/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○担当者が選ぶ 2017年重大ニュース - 国内で「Mirai」の亜種の感染活動を観測 2017年11月頃から、国内において Mirai の亜種による感染活動が定点観測 システム TSUBAME で確認されました。一般家庭にもあるブロードバンドルー タ等への感染拡大の可能性が高いと判断し、機器の製造元や関係機関と連携 し、注意喚起を行いました。 JPCERT/CC Mirai 亜種の感染活動に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170049.html - ランサムウエアの感染被害を広く確認 2017年は、国内においてランサムウエアによる被害が広く確認されました。 中でも「WannaCrypt」は、5月12日に世界規模で感染が確認されて以降、 Windows の「MS17-010」の脆弱性を悪用して感染が拡大しました。また、 「NotPetya」や「Bad Rabbit」等のランサムウエアによる被害も海外で確認 されました。 JPCERT/CC ランサムウエア "WannaCrypt" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170020.html JPCERT/CC ランサムウエア対策特設サイト https://www.jpcert.or.jp/magazine/security/nomore-ransom.html - JPCERT/CC がインシデント調査に活用できる調査報告書やツールを公開 JPCERT/CC では、インシデントの調査時に活用できる調査報告書やツールを 公開しました。組織に侵入した攻撃者が使用するツールとその実行時の痕跡 を調査した報告書 (第2版) や、イベントログの分析をサポートするツール として「LogonTracer」を公開しています。この機会に各情報を参照いただ き、インシデント対応への活用などご検討ください。 インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 https://www.jpcert.or.jp/research/ir_research.html イベントログを可視化して不正使用されたアカウントを調査 LogonTracer(2017-11-28) https://www.jpcert.or.jp/magazine/acreport.html JPCERTCC/LogonTracer https://github.com/JPCERTCC/LogonTracer jpcertcc/docker-logontracer https://hub.docker.com/r/jpcertcc/docker-logontracer/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJaWIeLAAoJEDF9l6Rp7OBIZIsIAJhp/0kMrRWH6CMj4IJ4YWNT 7eLaD3G90o0ez6THoGF0O+CPeyijp6o77D37iMlydlYdNskHi914I65UbICoOZgs 0HoLXxnovQ0tGhnVZW+bytdTmL88W/ks9yLWpTKvs5dNXdWIwNjFDc1wQId5vQ1l dC72SwLYCuOAT/nMa7l4B4DUDZv5WhPgd5+UqDxj5IzZfhBVNOF8kCWVrNoR2GpT rrQvCcKcNLqoAlzUO3LcmUVJXubY3KHwDWmjzpvM92XAvb1G8b9MiespD8dQSxcL KkDxBicRocZqXuvTVGmmSg2dOnU1TEo51cq9+M2zoF5mwvl9obBzdXLCpqPxuZQ= =arYu -----END PGP SIGNATURE-----