-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-2001 JPCERT/CC 2018-05-30 <<< JPCERT/CC WEEKLY REPORT 2018-05-30 >>> ―――――――――――――――――――――――――――――――――――――― ■05/20(日)〜05/26(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の VMware 製品に脆弱性 【2】サイボウズ Office およびサイボウズ メールワイズに複数の脆弱性 【3】投機的実行機能を持つ CPU に対するキャッシュサイドチャネル攻撃 【4】strongSwan VPN charon サーバにバッファアンダーフローの脆弱性 【5】Nessus にクロスサイトスクリプティングの脆弱性 【6】baserCMS に複数の脆弱性 【7】Windows版 PlayMemories Home のインストーラに DLL 読み込みに関する脆弱性 【8】Susie プラグイン axpdfium に DLL 読み込みに関する脆弱性 【今週のひとくちメモ】GDPR (一般データ保護規則) が施行 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr182001.html https://www.jpcert.or.jp/wr/2018/wr182001.xml ============================================================================ 【1】複数の VMware 製品に脆弱性 情報源 VMware Security Advisories VMSA-2018-0013 https://www.vmware.com/security/advisories/VMSA-2018-0013.html 概要 複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware Workstation Pro / Player 14.1.2 より前のバージョン - VMware Fusion Pro / Fusion 10.1.2 より前のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。 【2】サイボウズ Office およびサイボウズ メールワイズに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#51737843 サイボウズ Office における複数の脆弱性 https://jvn.jp/jp/JVN51737843/ Japan Vulnerability Notes JVN#52319657 サイボウズ メールワイズにおける複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN52319657/ 概要 サイボウズ Office およびサイボウズ メールワイズには、複数の脆弱性があ ります。結果として、当該製品のユーザがサービス運用妨害 (DoS) 攻撃を行っ たり、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行したりす る可能性があります。 対象となるバージョンは次のとおりです。 - サイボウズ Office 10.0.0 から 10.8.0 まで - サイボウズ メールワイズ 5.0.0 から 5.4.1 まで この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を 参照してください。 関連文書 (日本語) サイボウズ株式会社 サイボウズ Office 10 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2018/006561.html サイボウズ株式会社 サイボウズ メールワイズ 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2018/006573.html 【3】投機的実行機能を持つ CPU に対するキャッシュサイドチャネル攻撃 情報源 US-CERT Alert (TA18-141A) Side-Channel Vulnerability Variants 3a and 4 https://www.us-cert.gov/ncas/alerts/TA18-141A CERT/CC Vulnerability Note VU#180049 CPU hardware utilizing speculative execution may be vulnerable to cache side-channel attacks https://www.kb.cert.org/vuls/id/180049 Japan Vulnerability Notes JVNVU#97971879 投機的実行機能を持つ CPU に対するキャッシュサイドチャネル攻撃 https://jvn.jp/vu/JVNVU97971879/ 概要 投機的実行機能を持つ CPU には、キャッシュサイドチャネル攻撃に対する脆 弱性があります。結果として、システムにログイン可能なユーザが、システム レジスタ値などの機密情報を取得する可能性があります。 対象となる製品は次のとおりです。 - 投機的実行機能を持つ CPU この問題に対して、複数のベンダから対策に関する情報が公表されています。 使用しているシステムのベンダや配布元などの情報を確認し、対策の施された バージョンが公開されている場合は適用することをおすすめします。 また、主要なブラウザでは、ブラウザの機能を悪用したサイドチャネル攻撃の 実行を難しくする緩和策が適用されています。使用しているブラウザのベンダ や配布元などの情報を確認し、最新版へアップデートすることもおすすめしま す。 関連文書 (英語) Intel INTEL-SA-00115 https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html Intel Side Channel Methods - Analysis, News and Updates https://www.intel.com/content/www/us/en/architecture-and-technology/facts-about-side-channel-analysis-and-intel-products.html ARM Speculative Processor Vulnerability https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability 【4】strongSwan VPN charon サーバにバッファアンダーフローの脆弱性 情報源 CERT/CC Vulnerability Note VU#338343 strongSwan VPN charon server vulnerable to buffer underflow https://www.kb.cert.org/vuls/id/338343 Japan Vulnerability Notes JVNVU#92725946 strongSwan VPN charon サーバにバッファアンダーフローの脆弱性 https://jvn.jp/vu/JVNVU92725946/ 概要 strongSwan VPN charon サーバ には、バッファアンダーフローの脆弱性があ ります。結果として、当該製品が待ち受けしているソケットにアクセスできる ローカルユーザが、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - strongSwan version 5.6.3rc1 より前のバージョン この問題は、strongSwan を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) strongSwan strongswan-5.6.3rc1 https://download.strongswan.org/CHANGES5rc.txt 【5】Nessus にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#96954395 Nessus におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN96954395/ 概要 Nessus には、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは次のとおりです。 - Nessus 7.0.3 およびそれ以前 この問題は、Nessus を Tenable が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Tenable が提供する情報を参照してください。 関連文書 (英語) Tenable [R1] Nessus 7.1.0 Fixes Multiple Vulnerabilities https://www.tenable.com/security/tns-2018-05 【6】baserCMS に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#67881316 baserCMS における複数の脆弱性 https://jvn.jp/jp/JVN67881316/ 概要 baserCMS には、複数の脆弱性があります。結果として、遠隔の第三者が、運 営管理者の権限で任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - baserCMS 4.1.0.1 およびそれ以前 - baserCMS 3.0.15 およびそれ以前 この問題は、baserCMS を baserCMSユーザー会が提供する修正済みのバージョン に更新するか、提供されている修正パッチを適用することで解決します。詳細 は、baserCMSユーザー会が提供する情報を参照してください。 関連文書 (日本語) baserCMSユーザー会 コードインジェクションをはじめとする複数の脆弱性 https://basercms.net/security/JVN67881316 【7】Windows版 PlayMemories Home のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#13940333 Windows版 PlayMemories Home のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN13940333/ 概要 Windows版 PlayMemories Home のインストーラには、DLL 読み込みに関する脆 弱性があります。結果として、第三者が任意のコードを実行する可能性があり ます。 対象となる製品およびバージョンは次のとおりです。 - Windows版 PlayMemories Home ver.5.5.01 およびそれ以前 2018年5月29日現在、この問題に対する解決策は提供されていません。なお、 すでに該当する製品をインストールしている場合には、この問題の影響はあり ません。次の回避策を適用することで、本脆弱性の影響を軽減することが可能 です。 - インストーラを実行する際には、インストーラと同じディレクトリに不審なファイルがないことを確認する 詳細はソニー株式会社が提供する情報を参照してください。 関連文書 (日本語) ソニー株式会社 PlayMemories Home https://support.d-imaging.sony.co.jp/www/disoft/int/download/playmemories-home/win/ja/index.html 【8】Susie プラグイン axpdfium に DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#79301396 Susie プラグイン axpdfium における DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN79301396/ 概要 Susie プラグイン axpdfium には、DLL 読み込みに関する脆弱性があります。 結果として、第三者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - axpdfium v0.01 この問題は、Susie プラグイン axpdfium を開発者が提供する修正済みのバー ジョンに更新することで解決します。詳細は、開発者が提供する情報を参照し てください。 関連文書 (日本語) yak1ex Susieプラグイン「axpdfium.spi」における任意の DLL 読み込みに関する脆弱性 https://github.com/yak1ex/axpdfium/wiki/JVN%2379301396 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○GDPR (一般データ保護規則) が施行 2018年5月25日、GDPR (General Data Protection Regulation 一般データ保護 規則) が施行されました。GDPR は、欧州連合 (EU) が EU域内の個人に関する データを保護する法律として 2016年に制定され、EU 域内の個人に関するデー タを取り扱う日本の組織は、企業のみならず公的機関や非営利法人なども対応 を検討することが求められています。 個人情報保護委員会や日本貿易振興機構は、GDPR に関するガイドラインや実 務ハンドブックを提供しています。自組織内での課題の整理や対応を検討する うえで、ぜひご一読ください。 参考文献 (日本語) 個人情報保護委員会 GDPR(General Data Protection Regulation:一般データ保護規則) https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/ 日本貿易振興機構 EU 一般データ保護規則(GDPR)について https://www.jetro.go.jp/world/europe/eu/gdpr/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJbDexNAAoJEDF9l6Rp7OBIXn0IAJcxfMa8WORoZIWWYSlBiJEH 3w/Yd+qBfhxMbkBulHdqYah1hSrhxZQAnYre/MGQGAudEWsSb4rmaQEMIhtvD7Cg 4aRBeGo8nWtTKkS/fNzKGLDTpX7OXRCSq2wTy2uD+tX7sCj6TBzMdOjKR5x05CE+ Nnj7kdpJQ/TXRwfLQhJEGI/FwfO76Iiirb62giPofowUGT+51ygpgYpIVHm4nPhx hC4sc82zFl1un0PdtW21mCC28P6dna7aktUe1WlqqYTXLI7LSkGeCdBB3uCJCZpK zqvAs+K3zK81yafTChBQyRR970gtQIrRKtsm+eR9EybQ47Q9WrF4kUdspWcwlas= =TsOQ -----END PGP SIGNATURE-----