-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-0201 JPCERT/CC 2018-01-17 <<< JPCERT/CC WEEKLY REPORT 2018-01-17 >>> ―――――――――――――――――――――――――――――――――――――― ■01/07(日)〜01/13(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】Adobe Flash Player に情報漏えいの脆弱性 【3】複数の Juniper 製品に脆弱性 【4】複数の VMware 製品に脆弱性 【5】複数の Apple 製品に脆弱性 【6】Lhaplus に検証不備の脆弱性 【今週のひとくちメモ】Wi-Fi Alliance が WPA3 の概要を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr180201.html https://www.jpcert.or.jp/wr/2018/wr180201.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases January 2018 Security Updates https://www.us-cert.gov/ncas/current-activity/2018/01/09/Microsoft-Releases-January-2018-Security-Updates 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office and Microsoft Office Services および Web Apps - SQL Server - ChakraCore - .NET Framework - .NET Core - ASP.NET Core この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで解 決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 2018年 1月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2018/at180002.html マイクロソフト株式会社 2018 年 1 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/858123b8-25ca-e711-a957-000d3a33cf99 【2】Adobe Flash Player に情報漏えいの脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player https://www.us-cert.gov/ncas/current-activity/2018/01/09/Adobe-Releases-Security-Updates-Flash-Player 概要 Adobe Flash Player には、情報漏えいの脆弱性があります。結果として、遠隔 の第三者が情報を取得する可能性があります。 対象となるバージョンは次のとおりです。 - Adobe Flash Player デスクトップランタイム 28.0.0.126 およびそれ以前 (Windows 版、Macintosh 版、Linux 版) - Google Chrome 用の Adobe Flash Player 28.0.0.126 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版) - Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 28.0.0.126 およびそれ以前 (Windows 10 版、8.1 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Adobe Flash Player の脆弱性 (APSB18-01) に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180001.html Adobe Flash Player 用のセキュリティアップデート公開 | APSB18-01 https://helpx.adobe.com/jp/security/products/flash-player/apsb18-01.html 【3】複数の Juniper 製品に脆弱性 情報源 US-CERT Current Activity Juniper Networks Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/01/11/Juniper-Networks-Releases-Security-Updates 概要 複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可 能性があります。 対象となる製品は次のとおりです。 - ScreenOS - Junos Space Security Director and Log Collector - CTPView - Junos Space - Junos OS - SRX シリーズ この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Juniper が提供する情報を参照してください。 関連文書 (英語) Juniper Networks 2018-01 Security Bulletin: ScreenOS: Etherleak vulnerability found on ScreenOS device (CVE-2018-0014) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10841 Juniper Networks 2018-01 Security Bulletin: Junos Space Security Director and Log Collector: Multiple vulnerabilities resolved in 17.2R1 release https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10840 Juniper Networks 2018-01 Security Bulletin: CTPView: Multiple Linux kernel vulnerabilities. https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10839 Juniper Networks 2018-01 Security Bulletin: Junos Space: Multiple vulnerabilities resolved in 17.2R1 release https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10838 Juniper Networks 2018-01 Security Bulletin: Junos OS: OpenSSH Memory exhaustion due to unregistered KEXINIT handler (CVE-2016-8858) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10837 Juniper Networks SRX Series: Firewall bypass vulnerability when UUID with leading zeros is configured. (CVE-2018-0009) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10836 Juniper Networks 2018-01 Security Bulletin: Junos: commit script may allow unauthenticated root login upon reboot (CVE-2018-0008) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10835 Juniper Networks 2018-01 Security Bulletin: Junos: bbe-smgd process denial of service while processing VLAN authentication requests/rejects (CVE-2018-0006) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10834 Juniper Networks 2018-01 Security Bulletin: Junos OS: MAC move limit configured to drop traffic may forward traffic. (CVE-2018-0005) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10833 Juniper Networks 2018-01 Security Bulletin: Junos OS: Kernel Denial of Service Vulnerability (CVE-2018-0004) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10832 Juniper Networks 2018-01 Security Bulletin: Junos OS: A crafted MPLS packet may lead to a kernel crash (CVE-2018-0003) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10831 Juniper Networks 2018-01 Security Bulletin: Junos OS: Malicious LLDP crafted packet leads to privilege escalation, denial of service. (CVE-2018-0007) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10830 Juniper Networks 2018-01 Security Bulletin: MX series, SRX series: Junos OS: Denial of service vulnerability in Flowd on devices with ALG enabled. (CVE-2018-0002) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10829 Juniper Networks 2018-01 Security Bulletin: Junos: Unauthenticated Remote Code Execution through J-Web interface (CVE-2018-0001) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10828 【4】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/01/10/VMware-Releases-Security-Updates US-CERT Current Activity VMware Releases Security Updates for Workstation, Fusion https://www.us-cert.gov/ncas/current-activity/2018/01/11/VMware-Releases-Security-Updates-Workstation-Fusion 概要 複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユーザ がホスト OS 上で任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware vCenter Server 6.5 U1e より前のバージョン - VMware vCenter Server 6.0 U3d より前のバージョン - VMware vCenter Server 5.5 U3g より前のバージョン - VMware vSphere ESXi 6.5 系のバージョン - VMware vSphere ESXi 6.0 系のバージョン - VMware vSphere ESXi 5.5 系のバージョン - VMware Workstation Pro / Player 14.1.1 より前のバージョン - VMware Workstation Pro / Player 12.5.9 より前のバージョン - VMware Fusion Pro / Fusion 10.1.1 より前のバージョン - VMware Fusion Pro / Fusion 8.5.10 より前のバージョン VMSA-2018-0005 の問題は、該当する製品を VMware が提供する修正済みのバー ジョンに更新することで解決します。また、VMSA-2018-0004.2 の問題 (CPU に 対するサイドチャネル攻撃の問題) は、対策の施されたバージョンを適用するこ とで影響が緩和されます。詳細は、VMware が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93823979 CPU に対するサイドチャネル攻撃 https://jvn.jp/vu/JVNVU93823979/ 関連文書 (英語) VMware Security Advisories VMSA-2018-0004.2 https://www.vmware.com/security/advisories/VMSA-2018-0004.html VMware Security Advisories VMSA-2018-0005 https://www.vmware.com/security/advisories/VMSA-2018-0005.html 【5】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Multiple Security Updates https://www.us-cert.gov/ncas/current-activity/2018/01/08/Apple-Releases-Multiple-Security-Updates 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が情報を 取得する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - macOS High Sierra 10.13.2 - Safari 11.0.2 およびそれ以前 - iOS 11.2.2 より前のバージョン この問題 (CPU に対するサイドチャネル攻撃の問題) は、該当する製品に Apple が提供する対策の施されたバージョンを適用することで影響が緩和されます。詳 細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Apple macOS High Sierra 10.13.2 追加アップデートのセキュリティコンテンツについて https://support.apple.com/ja-jp/HT208397 Apple Safari 11.0.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT208403 Apple iOS 11.2.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT208401 Japan Vulnerability Notes JVNVU#94630516 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU94630516/ Japan Vulnerability Notes JVNVU#93823979 CPU に対するサイドチャネル攻撃 https://jvn.jp/vu/JVNVU93823979/ 【6】Lhaplus に検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#57842148 Lhaplus の ZIP64 形式のファイル展開における検証不備の脆弱性 https://jvn.jp/jp/JVN57842148/ 概要 Lhaplus には、ZIP64 形式のファイル展開における検証不備の脆弱性があります。 結果として、第三者が、細工した ZIP64 形式のファイルを展開させることで、ユー ザの意図しないファイルを生成する可能性があります。 対象となるバージョンは次のとおりです。 - Lhaplus Version 1.73 およびそれ以前 この問題は、Lhaplus を開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Schezo Lhaplus における異なる内容で展開される脆弱性 http://www7a.biglobe.ne.jp/~schezo/JVN57842148.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Wi-Fi Alliance が WPA3 の概要を公開 2018年1月8日 (米国時間)、Wi-Fi Alliance は新たな Wi-Fi 規格である WPA3 に関する情報を公開しました。これによると、WPA3 では新たに次のセキュリティ 対策が予定されています。 - 複雑性を欠いたパスワードが設定されている場合の保護を強化する機能 - ディスプレイのない機器などに対する Wi-Fi セキュリティ設定の容易化 - 個別のデータ暗号化によるオープンネットワークでの通信の保護 - 暗号規格「CNSA (Commercial National Security Algorithm) Suite」に準拠した暗号アルゴリズムの採用 なお、Wi-Fi Alliance によると、WPA3 に関する詳細情報を 2018年の後半に公 開する予定とのことです。 参考文献 (英語) Wi-Fi Alliance Wi-Fi Alliance introduces security enhancements https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements Wi-Fi Alliance Security https://www.wi-fi.org/discover-wi-fi/security ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJaXpRGAAoJEDF9l6Rp7OBIDqIH/279JSxKiRnT/pmEY0MGmDdp nS+P9iJLOiiFNuMKo8MXkNe0QsLXLQdQjEY/dLjl0gq1etO4TU5ecZU0OXea9CGG 8njz+KAmgvlV7DNCNRbyXH0m/2m4hM4XaWPi+4JFXdt47SndqR+3tyoPP48gfbGJ TMAATXZUnEPXtjupGXLf0CCM7BwlaAPIBSu5og00R7yM26Qe+IcnisUv3zNUDh6i GdrFi6TYZedzbKmd33wFn02pCY6icmR1PFlTn+1RV97l8CBn0hoExMIULcwrrm3c 631Rf7VpeK9XeB/6PkQ0U6HdvJat5k/ULt/hkRYEk/atMtogMxv1M9yIWXRf50Q= =xj4K -----END PGP SIGNATURE-----