-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-3301 JPCERT/CC 2018-08-29 <<< JPCERT/CC WEEKLY REPORT 2018-08-29 >>> ―――――――――――――――――――――――――――――――――――――― ■08/19(日)〜08/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apache Struts2 に任意のコードが実行可能な脆弱性 【2】Ghostscript に -dSAFER オプションによる保護が回避される脆弱性 【3】Adobe Photoshop CC にメモリ破損の脆弱性 【4】Digital Paper App のインストーラに DLL 読み込みに関する脆弱性 【今週のひとくちメモ】仮想通貨を要求する不審な脅迫メールにご注意を ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr183301.html https://www.jpcert.or.jp/wr/2018/wr183301.xml ============================================================================ 【1】Apache Struts2 に任意のコードが実行可能な脆弱性 情報源 US-CERT Current Activity Apache Releases Security Update for Apache Struts 2 https://www.us-cert.gov/ncas/current-activity/2018/08/22/Apache-Releases-Security-Update-Apache-Struts Japan Vulnerability Notes JVNVU#93295516 Apache Struts2 に任意のコードが実行可能な脆弱性 https://jvn.jp/vu/JVNVU93295516/ 概要 Apache Struts2 には、任意のコードが実行可能な脆弱性があります。結果と して、遠隔の第三者が細工したリクエストを送信することで、アプリケーション の権限で任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Apache Struts 2.3.35 より前の 2.3 系のバージョン - Apache Struts 2.5.17 より前の 2.5 系のバージョン この問題は、Apache Struts2 を Apache Software Foundation が提供する修 正済みのバージョンに更新することで解決します。詳細は、Apache Software Foundation が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Alert 2018-08-23 Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180036.html 関連文書 (英語) Apache Software Foundation S2-057 https://cwiki.apache.org/confluence/display/WW/S2-057 【2】Ghostscript に -dSAFER オプションによる保護が回避される脆弱性 情報源 US-CERT Current Activity Ghostscript Vulnerability https://www.us-cert.gov/ncas/current-activity/2018/08/21/Ghostscript-Vulnerability CERT/CC Vulnerability Note VU#332928 Ghostscript contains multiple -dSAFER sandbox bypass vulnerabilities https://www.kb.cert.org/vuls/id/332928 Japan Vulnerability Notes JVNVU#90390242 Ghostscript に -dSAFER オプションによる保護が回避される複数の脆弱性 https://jvn.jp/vu/JVNVU90390242/ 概要 Ghostscript および Ghostscript を使用するアプリケーションには、-dSAFER オプションによる保護が回避される脆弱性があります。結果として、遠隔の第 三者が Ghostscript の権限で任意のコマンドを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Ghostscript 9.23 およびそれ以前 - Ghostscript 9.23 およびそれ以前を使用するアプリケーション 2018年8月28日現在、この問題に対する解決策は提供されていませんが、 Ghostscript を提供する Artifex Software 社によると、9月後半には修正済 みバージョンをリリース予定とのことです。なお、Ghostscript をデフォルト で使用する ImageMagick においては、次の回避策を適用することで、本脆弱 性の影響を軽減することが可能です。 - ImageMagick の policy.xml で PS, EPS, PDF, XPS を無効にする 詳細は、開発元などが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Alert 2018-08-22 Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180035.html 【3】Adobe Photoshop CC にメモリ破損の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/08/22/Adobe-Releases-Security-Updates 概要 Adobe Photoshop CC には、メモリ破損の脆弱性があります。結果として、遠 隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Adobe Photoshop CC 2018 19.1.5 およびそれ以前 (Windows 版 および macOS 版) - Adobe Photoshop CC 2017 18.1.5 およびそれ以前 (Windows 版 および macOS 版) この問題は、Adobe Photoshop CC を Adobe が提供する修正済みのバージョン に更新することで解決します。詳細は、Adobe が提供する情報を参照してくだ さい。 関連文書 (日本語) Adobe Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB18-28 https://helpx.adobe.com/jp/security/products/photoshop/apsb18-28.html 【4】Digital Paper App のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#75700242 Digital Paper App のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN75700242/ 概要 Digital Paper App のインストーラには、DLL 読み込みに関する脆弱性があり ます。結果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Digital Paper App バージョン 1.4.0.16050 およびそれ以前 この問題は、ソニー株式会社が提供する最新のインストーラでは解決していま す。なお、すでに該当製品をインストールしている場合には、この問題の影響 はありません。詳細は、ソニー株式会社が提供する情報を参照してください。 関連文書 (日本語) ソニー株式会社 Digital Paper App https://www.sony.jp/digital-paper/apl/dpa.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○仮想通貨を要求する不審な脅迫メールにご注意を 2018年7月下旬より、JPCERT/CC は、仮想通貨を要求する不審な脅迫メールを 確認しております。メールには金銭を支払うよう脅迫する内容が含まれており、 特徴として、メール受信者が実際に使用しているパスワードが本文に記述され ていました。このような脅迫メールについて、セキュリティベンダや海外の National CSIRT なども同様に注意喚起を行っており、2018年8月21日には、米 連邦取引委員会 (FTC:Federal Trade Commission) も注意を呼び掛けていま す。 このようなメールを受信した場合は攻撃者の要求には応じず、参考文献のペー ジを参考に冷静に対応を行ってください。また、パスワードの使い回しをしな いことや、ウイルス対策ソフトの利用など、普段からの対策を徹底していくこ とが不可欠です。 参考文献 (日本語) JPCERT/CC 仮想通貨を要求する不審な脅迫メールについて https://www.jpcert.or.jp/newsflash/2018080201.html JPCERT/CC STOP! パスワード使い回し!キャンペーン2018 https://www.jpcert.or.jp/pr/2018/stop-password2018.html 参考文献 (英語) US-CERT FTC Issues Alert on Bitcoin Blackmail Scams https://www.us-cert.gov/ncas/current-activity/2018/08/22/FTC-Issues-Alert-Bitcoin-Blackmail-Scams FTC (Federal Trade Commission) How to avoid a Bitcoin blackmail scam https://www.consumer.ftc.gov/blog/2018/08/how-avoid-bitcoin-blackmail-scam ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJbheLCAAoJEDF9l6Rp7OBImNgIAI8HqS4imv7lnVU6JzzX2uzQ wgbCDYXfz5P70eC1mcZfi+Hnd7MzyrOZTtErhucehL3Wbw+fPcBeXORRardLmtAF QhsaBhSjYRJhrywMWun/EiQEbvUQ0dyO+OeCN0eG75zwjThB/egCzL/2ygo4M2lM NeMqRmDmCxsALrPxJNK3yrU13RFzXDYXF9gOR9IiHtxYQGo2tWLAJqJdjYPWk1tv Jw9vR2iFk5j9L4SLrN8HN0U8oATZr8UY38aon/NbT5iWfXKZyppnSHVQeVI7iVa/ IpaaHV3QHwXKhExCID6W7as8reK5B0W4fnOHr3L3VmLqFVJz5cU+CnB6s7c2DOU= =omzy -----END PGP SIGNATURE-----