-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-1501 JPCERT/CC 2018-04-18 <<< JPCERT/CC WEEKLY REPORT 2018-04-18 >>> ―――――――――――――――――――――――――――――――――――――― ■04/08(日)〜04/14(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】複数の Juniper 製品に脆弱性 【4】Microsoft Outlook に情報漏えいの問題 【5】サイボウズ Garoon に複数の脆弱性 【6】vRealize Automation に複数の脆弱性 【7】オムロン製 CX-One に含まれるアプリケーションに複数の脆弱性 【8】PhishWall クライアント Internet Explorer版のインストーラに DLL 読み込みに関する脆弱性 【9】Tenable Appliance にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】テレワークセキュリティガイドライン(第4版)の公表 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr181501.html https://www.jpcert.or.jp/wr/2018/wr181501.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases April 2018 Security Updates https://www.us-cert.gov/ncas/current-activity/2018/04/10/Microsoft-Releases-April-2018-Security-Updates 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office、Microsoft Office Services および Web Apps - ChakraCore - Microsoft Malware Protection Engine - Microsoft Visual Studio この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2018 年 4 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/abf77563-8612-e811-a966-000d3a33a34d JPCERT/CC Alert 2018-04-11 2018年 4月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2018/at180016.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/04/10/Adobe-Releases-Security-Updates 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Flash Player デスクトップランタイム 29.0.0.113 およびそれ以前 (Windows 版、Macintosh 版、Linux 版) - Google Chrome 用の Adobe Flash Player 29.0.0.113 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版) - Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 29.0.0.113 およびそれ以前 (Windows 10 版、8.1 版) - Adobe Experience Manager 6.0 から 6.3 - Adobe InDesign CC 13.0 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Digital Editions 4.5.7 およびそれ以前 (Windows 版、Macintosh 版、iOS 版、Android 版) - Adobe PhoneGap Push プラグイン 1.8.0 およびそれ以前 この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe Flash Player 用のセキュリティアップデート公開 | APSB18-08 https://helpx.adobe.com/jp/security/products/flash-player/apsb18-08.html Adobe Adobe Experience Manager に関するセキュリティアップデート公開 | APSB18-10 https://helpx.adobe.com/jp/security/products/experience-manager/apsb18-10.html Adobe InDesign を対象としたセキュリティアップデート公開 | APSB18-11 https://helpx.adobe.com/jp/security/products/indesign/apsb18-11.html Adobe Adobe Digital Editions に関するセキュリティアップデート公開 | APSB18-13 https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb18-13.html Adobe Adobe PhoneGap Push Plugin に関するセキュリティアップデート公開 | APSB18-15 https://helpx.adobe.com/jp/security/products/phonegap/apsb18-15.html JPCERT/CC Alert 2018-04-11 Adobe Flash Player の脆弱性 (APSB18-08) に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180015.html 【3】複数の Juniper 製品に脆弱性 情報源 US-CERT Current Activity Juniper Networks Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/04/12/Juniper-Networks-Releases-Security-Updates 概要 複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品は次のとおりです。 - Junos OS - SRX シリーズ - Steel-Belted Radius Carrier - NorthStar Controller - Network and Security Manager Appliance - Junos Snapshot Administrator この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更 新することで解決します。詳細は、Juniper が提供する情報を参照してくださ い。 関連文書 (英語) Juniper Networks 2018-04 Security Bulletin: Junos OS: Kernel crash upon receipt of crafted CLNP packets (CVE-2018-0016) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10844 Juniper Networks 2018-04 Security Bulletin: SRX Series: Denial of service vulnerability in flowd daemon on devices configured with NAT-PT (CVE-2018-0017) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10845 Juniper Networks 2018-04 Security Bulletin: SRX Series: A crafted packet may lead to information disclosure and firewall rule bypass during compilation of IDP policies. (CVE-2018-0018) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10846 Juniper Networks 2018-04 Security Bulletin: Junos: Denial of service vulnerability in SNMP MIB-II subagent daemon (mib2d) (CVE-2018-0019) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10847 Juniper Networks 2018-04 Security Bulletin: Junos OS: rpd daemon cores due to malformed BGP UPDATE packet (CVE-2018-0020) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10848 Juniper Networks 2018-04 Security Bulletin: Steel-Belted Radius (SBR) Carrier: Eclipse Jetty information disclosure vulnerability (CVE-2015-2080) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10849 Juniper Networks 2018-04 Security Bulletin: NorthStar: Return Of Bleichenbacher's Oracle Threat (ROBOT) RSA SSL attack (CVE-2017-1000385) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10850 Juniper Networks 2018-04 Security Bulletin: OpenSSL Security Advisory [07 Dec 2017] https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10851 Juniper Networks 2018-04 Security Bulletin: Junos OS: Multiple vulnerabilities in stunnel https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10852 Juniper Networks 2018-04 Security Bulletin: NSM Appliance: Multiple vulnerabilities resolved in CentOS 6.5-based 2012.2R12 release https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10853 Juniper Networks 2018-04 Security Bulletin: Junos OS: Short MacSec keys may allow man-in-the-middle attacks. (CVE-2018-0021) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10854 Juniper Networks 2018-04 Security Bulletin: Junos OS: Mbuf leak due to processing MPLS packets in VPLS network (CVE-2018-0022). https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10855 Juniper Networks 2018-04 Security Bulletin: Junos Snapshot Administrator (JSNAPy) world writeable default configuration file permission (CVE-2018-0023) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10856 【4】Microsoft Outlook に情報漏えいの問題 情報源 Japan Vulnerability Notes JVNVU#95312708 Microsoft Outlook の OLE コンテンツ取得における問題 https://jvn.jp/vu/JVNVU95312708/ 概要 Microsoft Outlook には、情報漏えいの問題があります。結果として、遠隔の 第三者が、細工したメッセージをユーザに閲覧させることで、メールの認証情 報などを取得する可能性があります。 対象となる製品は次のとおりです。 - Microsoft Outlook この問題は、Microsoft Outlook に Microsoft が提供する更新プログラムを 適用することで解決します。詳細は、Microsoft が提供する情報を参照してく ださい。 関連文書 (日本語) マイクロソフト株式会社 CVE-2018-0950 | Microsoft Office の情報漏えいの脆弱性 https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2018-0950 【5】サイボウズ Garoon に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#65268217 サイボウズ Garoon における複数の脆弱性 https://jvn.jp/jp/JVN65268217 概要 サイボウズ Garoon には、複数の脆弱性があります。結果として、当該製品に ログイン可能なユーザが、閲覧権限のない情報を取得するなどの可能性があり ます。 対象となるバージョンは次のとおりです。 - サイボウズ Garoon 3.0.0 から 4.6.1 まで この問題は、サイボウズ Garoon をサイボウズ株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供 する情報を参照してください。 関連文書 (日本語) サイボウズ株式会社 パッケージ版 Garoon 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2018/006562.html 【6】vRealize Automation に複数の脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/04/13/VMware-Releases-Security-Updates 概要 vRealize Automation には、複数の脆弱性があります。結果として、遠隔の第 三者が、ユーザのブラウザ上で任意のスクリプトを実行するなどの可能性があ ります。 対象となるバージョンは次のとおりです。 - vRealize Automation 7.4.0 より前の 7 系 この問題は、vRealize Automation を、VMWare が提供する修正済みのバージョン に更新することで解決します。詳細は、VMWare が提供する情報を参照してく ださい。 関連文書 (英語) VMware Security Advisories VMSA-2018-0009 https://www.vmware.com/security/advisories/VMSA-2018-0009.html 【7】オムロン製 CX-One に含まれるアプリケーションに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#95484528 オムロン製 CX-One に含まれるアプリケーションにおける複数の脆弱性 https://jvn.jp/vu/JVNVU95484528/ 概要 オムロン株式会社が提供する CX-One に含まれるアプリケーションには、複数 の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可 能性があります。 対象となるバージョンは次のとおりです。 - CX-One Version 4.4.2 およびそれ以前に含まれる次のアプリケーション CX-FLnet Version 1.00 およびそれ以前 CX-Protocol Version 1.992 およびそれ以前 CX-Programmer Version 9.65 およびそれ以前 CX-Server Version 5.0.22 およびそれ以前 Network Configurator Version 3.63 およびそれ以前 Switch Box Utility Version 1.68 およびそれ以前 この問題は、CX-One および CX-One に含まれるアプリケーションをオムロン 株式会社が提供する修正済みのバージョンに更新することで解決します。詳細 は、オムロン株式会社が提供する情報を参照してください。 関連文書 (日本語) オムロン株式会社 CX-One バージョンアップ プログラム ダウンロード https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html 【8】PhishWall クライアント Internet Explorer版のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#92220486 PhishWall クライアント Internet Explorer版のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN92220486 概要 PhishWall クライアント Internet Explorer版のインストーラには、DLL 読み 込みに関する脆弱性があります。結果として、第三者が任意のコードを実行す る可能性があります。 対象となるバージョンは次のとおりです。 - PhishWall クライアント Internet Explorer版 Ver. 3.7.15 およびそれ以前のインストーラ この問題は、株式会社セキュアブレインが提供する最新のインストーラでは解 決しています。なお、すでに PhishWall クライアント Internet Explorer版 をインストールしている場合には、この問題の影響はありません。詳細は、株 式会社セキュアブレインが提供する情報を参照してください。 関連文書 (日本語) 株式会社セキュアブレイン PhishWallクライアントInternet Explorer版のインストーラにおけるDLL読み込みに関する脆弱性と修正完了に関するお知らせ https://www.securebrain.co.jp/about/news/2018/04/180411.html 【9】Tenable Appliance にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#71255137 Tenable Appliance におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN71255137/ 概要 Tenable Appliance には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となるバージョンは次のとおりです。 - Tenable Appliance 4.6.1 およびそれ以前 この問題は、Tenable Appliance を Tenable が提供する修正済みのバージョン に更新することで解決します。詳細は、Tenable が提供する情報を参照してく ださい。 関連文書 (英語) Tenable [R1] Tenable Appliance 4.7.0 Fixes One Vulnerability https://www.tenable.com/security/tns-2018-02 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○テレワークセキュリティガイドライン(第4版)の公表 2018年4月13日、総務省は、「テレワークセキュリティガイドライン(第4版)」 を公表しました。本ガイドラインでは、経営者やシステム管理者、テレワーク 勤務者といった立場ごとに、実施すべきセキュリティ対策のポイントや解説を まとめたものです。既にテレワークを実施している組織や、これから導入を検 討されている組織は、ぜひ参考にしてください。 参考文献 (日本語) 総務省 「テレワークセキュリティガイドライン(第4版)」(案)に対する意見募集の結果及び当該ガイドラインの公表 http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000200.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJa1ox1AAoJEDF9l6Rp7OBIUqIIAK7HODfw5Z8cP4a1n9/aqXeL V9jSYcjGVagUMNeOgB/2sbJx8DXKbGIT5qXj+NXvTcGT1wGQyVBVAod97u3B8OgL 5snEPQphIyEsJCsYigcMpQYOLO2KINAM20Aao4k2lYnf9NwM7oKDYy7Z6WxG6WEN IYefqID7Da2Do+jf9eOkzbAgm6/qi81CsZLc3pzb2e7vj7E7PqkIoDy8pN/YxNs4 ZGssNt7OqpA79gFrbdOOjCkXmo3OsBOTdr+wuiUNDaAx+6VtT+/5IqkGHvO9Ys33 bqzcRQTkggLtrtFaaXmWh9m4uQoOZRNxRuXosucfGazz7CFhJ0rV3A/EaiK8uEw= =GKj1 -----END PGP SIGNATURE-----