-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-2601 JPCERT/CC 2018-07-11 <<< JPCERT/CC WEEKLY REPORT 2018-07-11 >>> ―――――――――――――――――――――――――――――――――――――― ■07/01(日)〜07/07(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla Thunderbird に複数の脆弱性 【2】Wordpress に任意のファイルが削除可能な問題 【3】Apple Boot Camp の Wi-Fi 機能に脆弱性 【4】サイボウズ Garoon に SQL インジェクションの脆弱性 【5】コルソス CSDX および CSDJ シリーズ製品に複数の脆弱性 【6】複数のロジクール製ソフトウェアのインストーラに DLL 読み込みに関する脆弱性 【7】Glary Utilities のインストーラに DLL 読み込みに関する脆弱性 【8】Android アプリ「DHCオンラインショップ」に SSL サーバ証明書の検証不備の脆弱性 【今週のひとくちメモ】総務省が IoT 機器に関する脆弱性調査等の実施結果を公表 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr182601.html https://www.jpcert.or.jp/wr/2018/wr182601.xml ============================================================================ 【1】Mozilla Thunderbird に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Update for Thunderbird https://www.us-cert.gov/ncas/current-activity/2018/07/03/Mozilla-Releases-Security-Update-Thunderbird 概要 Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第 三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った りするなどの可能性があります。 対象となるバージョンは次のとおりです。 - Mozilla Thunderbird 52.9 より前のバージョン この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 関連文書 (英語) Mozilla Security vulnerabilities fixed in Thunderbird 52.9 https://www.mozilla.org/en-US/security/advisories/mfsa2018-18/ 【2】Wordpress に任意のファイルが削除可能な問題 情報源 WordPress WordPress 4.9.7 Security and Maintenance Release https://wordpress.org/news/2018/07/wordpress-4-9-7-security-and-maintenance-release/ 概要 WordPress には、任意のファイルが削除可能な問題があります。結果として、 特定の権限を持つユーザがファイルを削除する可能性があります。 対象となるバージョンは次のとおりです。 - WordPress 4.9.7 より前のバージョン この問題は、WordPress を WordPress が提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 【3】Apple Boot Camp の Wi-Fi 機能に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Update for Boot Camp https://www.us-cert.gov/ncas/current-activity/2018/07/06/Apple-Releases-Security-Update-Boot-Camp 概要 複数の Apple 製品における Boot Camp の Wi-Fi 機能には、脆弱性がありま す。結果として、遠隔の第三者が、中間者攻撃によって暗号通信を盗聴するな どの可能性があります。 対象となる製品は次のとおりです。 - MacBook (Late 2009 およびそれ以降のモデル) - MacBook Pro (Mid 2010 およびそれ以降のモデル) - MacBook Air (Late 2010 およびそれ以降のモデル) - Mac mini (Mid 2010 およびそれ以降のモデル) - iMac (Late 2009 およびそれ以降のモデル) - Mac Pro (Mid 2010 およびそれ以降のモデル) この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94846424 Apple Boot Camp の Wi-Fi 機能に対するアップデート https://jvn.jp/vu/JVNVU94846424/ 関連文書 (英語) Apple About the security content of Wi-Fi Update for Boot Camp 6.4.0 https://support.apple.com/en-us/HT208847 【4】サイボウズ Garoon に SQL インジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#13415512 サイボウズ Garoon における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN13415512/ 概要 サイボウズ Garoon には、SQL インジェクションの脆弱性があります。結果と して、当該製品にログインしたユーザが任意の SQL コマンドを実行する可能 性があります。 対象となるバージョンは次のとおりです。 - サイボウズ Garoon 3.5.0 から 4.6.2 まで この問題は、サイボウズ Garoon をサイボウズ株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供 する情報を参照してください。 関連文書 (日本語) サイボウズ株式会社 パッケージ版 Garoon 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2018/006604.html 【5】コルソス CSDX および CSDJ シリーズ製品に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#63895206 コルソス CSDX および CSDJ シリーズ製品における複数の脆弱性 https://jvn.jp/jp/JVN63895206/ 概要 コルソス CSDX および CSDJ シリーズ製品には、複数の脆弱性があります。結 果として、ユーザ権限でログインしたユーザが任意の管理者権限操作を実行す るなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - CSDX 1.37210411 およびそれ以前 - CSDX(P) 4.37210411 およびそれ以前 - CSDX(D) 3.37210411 およびそれ以前 - CSDX(S) 2.37210411 およびそれ以前 - CSDJ-B 01.03.00 およびそれ以前 - CSDJ-H 01.03.00 およびそれ以前 - CSDJ-D 01.03.00 およびそれ以前 - CSDJ-A 03.00.00 この問題は、該当する製品を NECプラットフォームズ株式会社が提供する修正 済みのバージョンに更新することで解決します。詳細は、NECプラットフォー ムズ株式会社が提供する情報を参照してください。 関連文書 (日本語) NECプラットフォームズ株式会社 ブラウザアクセスに関する脆弱性について https://www.necplatforms.co.jp/product/enkaku/info180702.html 【6】複数のロジクール製ソフトウェアのインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#52574492 複数のロジクール製ソフトウェアのインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN52574492/ 概要 複数のロジクール製ソフトウェアのインストーラには、DLL 読み込みに関する 脆弱性があります。結果として、第三者が任意のコードを実行する可能性があ ります。 対象となる製品およびバージョンは次のとおりです。 - ロジクール ゲームソフトウェア バージョン 8.87.116 より前のバージョン - ロジクール接続ユーティリティソフトウェア バージョン 2.30.9 より前のバージョン この問題は、株式会社ロジクールが提供する最新のインストーラでは解決して います。なお、すでに該当する製品をインストールしている場合には、この問 題の影響はありません。詳細は、株式会社ロジクールが提供する情報を参照し てください。 【7】Glary Utilities のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#84967039 Glary Utilities のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN84967039/ 概要 Glary Utilities のインストーラには、DLL 読み込みに関する脆弱性がありま す。結果として、第三者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Glary Utilities 5.99 およびそれ以前 - Glary Utilities Pro 5.99 およびそれ以前 この問題は、Glarysoft が提供する最新のインストーラでは解決しています。 なお、すでに該当する製品をインストールしている場合には、この問題の影響 はありません。詳細は、Glarysoft が提供する情報を参照してください。 関連文書 (英語) Glarysoft Glary Utilities https://www.glarysoft.com/ 【8】Android アプリ「DHCオンラインショップ」に SSL サーバ証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#77409513 Android アプリ「DHCオンラインショップ」における SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN77409513/ 概要 Android アプリ「DHCオンラインショップ」には、SSL サーバ証明書の検証不 備の脆弱性があります。結果として、遠隔の第三者が、中間者攻撃によって暗 号通信の盗聴などを行う可能性があります。 対象となるバージョンは次のとおりです。 - Android アプリ「DHCオンラインショップ」 バージョン 3.2.0 およびそれ以前 この問題は、Android アプリ「DHCオンラインショップ」を株式会社ディーエ イチシーが提供する修正済みのバージョンに更新することで解決します。詳細 は、株式会社ディーエイチシーが提供する情報を参照してください。 関連文書 (日本語) 株式会社ディーエイチシー DHCオンラインショップアプリ https://top.dhc.co.jp/contents/all/sph/app/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○総務省が IoT 機器に関する脆弱性調査等の実施結果を公表 2018年7月2日、総務省は、IoT 機器に関する脆弱性調査等の実施結果を公表し ました。本調査は、2017年9月から 2018年3月までの間、サイバー攻撃の対象 になりやすい脆弱な IoT 機器の実態を、サイバー攻撃観測網やネットワーク スキャンを活用して調査したものです。重要インフラ等で利用される IoT 機 器と、家庭用ルータや防犯カメラ等の一般利用者向けの機器の 2種類に分けて 調査を実施し、その結果について概要をとりまとめています。 参考文献 (日本語) 総務省 IoT機器に関する脆弱性調査等の実施結果の公表 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000154.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJbRUnoAAoJEDF9l6Rp7OBI7bAH/3uxKxbb2bx7mqJdQc5FBL78 CalNiwZTtodevrodCJkDzizRYEk1P08zIEy1QvFYjRm00BNJf6/yRRwqlIdEarQ3 k5kJvRGcbXHh0rE3gapxYiRl/PsGSZ0HmNQh0cwT221FIkrSs+RbA0mRYKaH8bmd kwytqqyfGwcg0d629iAPy+3m2/giRcxzpwOysdvQQ6s1sp4oMzTvOJHib/x4Gavf og7W6Zr0yNlmtUxkgujnjO0cLUSmGrW9mtDo+znYCkCzJdJFxY7RZw9f1QvP2Qv8 5iuaKtZhOvvelfBrolbDM66nb2H2aQAiA5pV9rd+dbaxeVaVAPV8DNAiQN/6yL4= =jPBL -----END PGP SIGNATURE-----