-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-4201 JPCERT/CC 2018-10-31 <<< JPCERT/CC WEEKLY REPORT 2018-10-31 >>> ―――――――――――――――――――――――――――――――――――――― ■10/21(日)〜10/27(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Cisco Webex Meetings Desktop App および Cisco Webex Productivity Tools にコマンドインジェクションの脆弱性 【2】Mozilla Firefox に複数の脆弱性 【3】SecureCore Standard Edition に認証不備の脆弱性 【4】BlueStacks App Player にアクセス制限不備の脆弱性 【5】OpenDolphin に複数の脆弱性 【今週のひとくちメモ】JPCERT/CC 公式ブログ「JPCERT/CC Eyes」開設 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr184201.html https://www.jpcert.or.jp/wr/2018/wr184201.xml ============================================================================ 【1】Cisco Webex Meetings Desktop App および Cisco Webex Productivity Tools にコマンドインジェクションの脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/10/24/Cisco-Releases-Security-Updates 概要 Cisco Webex Meetings Desktop App および Cisco Webex Productivity Tools には、コマンドインジェクションの脆弱性があります。結果として、ローカル のユーザがシステム権限で任意のコマンドを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cisco Webex Meetings Desktop App 33.5.6 より前 - Cisco Webex Productivity Tools 32.6.0 から 33.0.5 まで (33.0.5 を除く) 本脆弱性は、Windows 上で利用している場合のみ影響を受けるとのことです。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Alert 2018-10-26 Cisco Webex Meetings Desktop App および Cisco Webex Productivity Tools の脆弱性 (CVE-2018-15442) に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180043.html 関連文書 (英語) Cisco Security Advisory Cisco Webex Meetings Desktop App Update Service Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181024-webex-injection 【2】Mozilla Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox https://www.us-cert.gov/ncas/current-activity/2018/10/23/Mozilla-Releases-Security-Updates-Firefox 概要 Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす るなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 63 より前のバージョン - Mozilla Firefox ESR 60.3 より前のバージョン この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 関連文書 (英語) Mozilla Security vulnerabilities fixed in Firefox 63 https://www.mozilla.org/en-US/security/advisories/mfsa2018-26/ Mozilla Security vulnerabilities fixed in Firefox ESR 60.3 https://www.mozilla.org/en-US/security/advisories/mfsa2018-27/ 【3】SecureCore Standard Edition に認証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#21528670 SecureCore Standard Edition における認証不備の脆弱性 https://jvn.jp/jp/JVN21528670/ 概要 SecureCore Standard Edition には、認証不備の脆弱性があります。結果とし て、第三者が当該製品の認証を回避し、Windows PC にログインする可能性が あります。 対象となるバージョンは次のとおりです。 - SecureCore Standard Edition Version 2 系 開発者によると、Windows 8/8.1 の環境下で当該製品を使用する場合のみ、本 脆弱性の影響を受けるとのことです。 この問題は、SecureCore Standard Edition を飛天ジャパン株式会社が提供す る修正済みのバージョンに更新するか、パッチを適用することで解決します。 アップグレードおよびパッチの入手方法については、飛天ジャパン株式会社の Web ページよりお問合せください。 関連文書 (日本語) Japan Vulnerability Notes JVN#21528670 飛天ジャパン株式会社からの情報 https://jvn.jp/jp/JVN21528670/996248/ 【4】BlueStacks App Player にアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#60702986 BlueStacks App Player におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN60702986/ 概要 BlueStacks App Player には、アクセス制限不備の脆弱性があります。結果と して、当該製品が接続しているネットワークにアクセス可能な第三者が、当該 製品に不正にアクセスする可能性があります。 対象となるバージョンは次のとおりです。 - BlueStacks App Player for Windows 3.0.0 から 4.31.55 まで - BlueStacks App Player for macOS 2.0.0 以降 Windows 版のユーザは、BlueStacks が提供する情報をもとに、最新版へアッ プデートしてください。macOS 版のユーザは、次の回避策を実施することで、 本脆弱性の影響を軽減することが可能です。 - BlueStacks App Player がインストールされているマシンをネットワークに接続しない - 外部からの 5555/TCP ポートへのアクセスをブロックする 詳細は、BlueStacks が提供する情報を参照してください。 関連文書 (英語) BlueStacks BlueStacks fails to restrict access permissions https://support.bluestacks.com/hc/en-us/articles/360018274091 【5】OpenDolphin に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#59394343 OpenDolphin における複数の脆弱性 https://jvn.jp/jp/JVN59394343/ 概要 OpenDolphin には、複数の脆弱性があります。結果として、当該製品のユーザ が、管理者権限で任意の操作を実行したり、他のユーザのパスワードなど機微 な情報を取得したりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - OpenDolphin 2.7.0 およびそれ以前 この問題は OpenDolphin をライフサイエンスコンピューティング株式会社が 提供する修正済みのバージョンに更新することで解決します。詳細は、ライフ サイエンスコンピューティング株式会社が提供する情報を参照してください。 関連文書 (日本語) ライフサイエンスコンピューティング株式会社 OpenDolphin における複数の脆弱性 http://www.opendolphin.com/security20181023.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CC 公式ブログ「JPCERT/CC Eyes」開設 2018年10月23日、JPCERT/CC は、公式ブログ「JPCERT/CC Eyes」を開設しまし た。これまでのような JPCERT/CC で分析および調査した内容はもちろん、 TSUBAME(インターネット定点観測システム)で観測された動向や、国内外の イベントやカンファレンスの様子などをいち早くお届けするプラットフォーム としたいと考えております。 また、これまでの「分析センターだより」「インシデントレスポンスだより」 「コラム」の記事は、本ブログに移行しており、引き続きご覧いただけます。 ブログの内容についてご意見やご質問などございましたら、各ブログのフォー ムよりお問い合わせください。 参考文献 (日本語) JPCERT/CC JPCERTコーディネーションセンター公式ブログ 「JPCERT/CC Eyes」を開設しました! https://blogs.jpcert.or.jp/ja/2018/10/open-jpcertcc-eyes.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJb2PG3AAoJEDF9l6Rp7OBIGBAH/jvnlrkxlKfIYH6fUZdH3D/l So2d4FpKfRVGiGkheW1dLv7sI74q5XujtjCNfEcLianUqrQgQjJRpc2hx5LHxz/r +5I5/63Zuln1FfkU3zmKrIvk6iBXo5mTj5AAGy955HjsJlwHb5u/4FzvoJlBOHW+ otHdnYp0N3UHG8q7hRP5U5pN346dVyRvmsGXcOOqG8Tupfzruk5DUIn0jE+yOEQ+ DmoV62ultKOEGwP6ii8uhuHq2gFk+BkVYZ0gMn3eXbvIstX/8JnvDwab6UpFaoUP ZFmY3bxN04kfa4ht9iip14VReo7RhIGZ9eWR3D1fngvEoRya8bv2ZOEVMXa5x0U= =Mvt8 -----END PGP SIGNATURE-----