-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-0901 JPCERT/CC 2019-03-06 <<< JPCERT/CC WEEKLY REPORT 2019-03-06 >>> ―――――――――――――――――――――――――――――――――――――― ■02/24(日)〜03/02(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Cisco 製品に脆弱性 【2】OpenSSL にパディングオラクル攻撃の脆弱性 【3】複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性 【4】Nablarch に複数の脆弱性 【今週のひとくちメモ】日本スマートフォンセキュリティ協会、「IoTセキュリティチェックシート 第二版」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr190901.html https://www.jpcert.or.jp/wr/2019/wr190901.xml ============================================================================ 【1】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/02/27/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - RV110W Wireless-N VPN Firewall 1.2.2.1 より前のバージョン - RV130W Wireless-N Multifunction VPN Router 1.0.3.45 より前のバージョン - RV215W Wireless-N VPN Router 1.3.1.1 より前のバージョン - Cisco Webex Meetings Desktop App 33.6.6 より前のバージョン - Cisco Webex Productivity Tools 32.6.0 以降 かつ 33.0.7 より前のバージョン この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco RV110W, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex Cisco Security Advisory Cisco Webex Meetings Desktop App and Cisco Webex Productivity Tools Update Service Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-wmda-cmdinj 【2】OpenSSL にパディングオラクル攻撃の脆弱性 情報源 US-CERT Current Activity OpenSSL Releases Security Update https://www.us-cert.gov/ncas/current-activity/2019/02/26/OpenSSL-Releases-Security-Update 概要 OpenSSL には、パディングオラクル攻撃が可能な脆弱性があります。結果とし て、遠隔の第三者が通信情報を窃取する可能性があります。 対象となるバージョンは次のとおりです。 - OpenSSL 1.0.2 から 1.0.2q まで この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン に更新することで解決します。詳細は、OpenSSL Project が提供する情報を参 照してください。 関連文書 (日本語) JPCERT/CC OpenSSL の脆弱性 (CVE-2019-1559) について https://www.jpcert.or.jp/newsflash/2019022701.html 関連文書 (英語) OpenSSL Project OpenSSL Security Advisory [26 February 2019] https://www.openssl.org/news/secadv/20190226.txt 【3】複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#83501605 WordPress 用プラグイン FormCraft におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN83501605/ Japan Vulnerability Notes JVN#97656108 WordPress 用プラグイン Smart Forms におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN97656108/ 概要 WordPress 用プラグイン FormCraft および Smart Forms には、クロスサイト リクエストフォージェリの脆弱性があります。結果として、遠隔の第三者がユー ザの意図しない操作を行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - FormCraft 1.2.1 およびそれ以前 - Smart Forms 2.6.15 およびそれ以前 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) FormCraft Changelog https://wordpress.org/plugins/formcraft-form-builder/#developers Smart Forms Changelog https://wordpress.org/plugins/smart-forms/#developers 【4】Nablarch に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#56542712 ナブラークにおける複数の脆弱性 https://jvn.jp/jp/JVN56542712/ 概要 Nablarch (ナブラーク) には、複数の脆弱性があります。結果として、遠隔の 第三者が、サーバの情報を詐取したり、改ざんしたりする可能性があります。 対象となるバージョンは次のとおりです。 - Nablarch 5系 (5、および 5u1 から 5u13 まで) この問題は、Nablarch を TIS株式会社が提供する修正済みのバージョンに更 新することで解決します。詳細は、TIS株式会社が提供する情報を参照してく ださい。 関連文書 (日本語) Nablarch 【不具合報告】Nablarch 汎用データフォーマット XXE脆弱性について https://nablarch.atlassian.net/secure/attachment/10001/ Nablarch 【不具合報告】Nablarch HIDDENストア脆弱性について https://nablarch.atlassian.net/secure/attachment/10002/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○日本スマートフォンセキュリティ協会、「IoTセキュリティチェックシート 第二版」を公開 2019年2月28日、日本スマートフォンセキュリティ協会 (JSSEC) は、「IoTセ キュリティチェックシート 第二版」を公開しました。本チェックシートは、 一般企業が IoT を利用・導入する際に検討すべきことを網羅的にまとめたも のです。2018年3月に公開した第一版と比較し、非常時の対応・復旧といった 実践的な観点が加わった上、国際的な整合性が向上したとのことです。 参考文献 (日本語) 日本スマートフォンセキュリティ協会 (JSSEC) JSSEC、『IoTセキュリティチェックシート 第二版』公開 https://www.jssec.org/report/20190228.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJcfw0RAAoJEDF9l6Rp7OBIisIH/j+/vtEVJpOhmYaE/bhFCMsG qO6guum9sL8mr8qnwHujjetVj2RLrvZuds0vR6ax5pdUosERi/PD6IPZCO4O0C/q hoV3geCIaa+kBfqwlfq8d1moJUQz3CdFUugRnHnzbuF8krfjPAwlfUp6lenvqjai mArp68mztGEw70+uoicrD5WJLM8dchBlAS2SwxYGpO60IvVVFp8qp4JDFK/A8+F8 BmVDc8tXKzA1tANRnJXPyPAAf9dbZ9PiIlmqmjrWbhmEBrW6JdbPZM/v4f6WRarz qqcUmTHH74T7o7qOZbMmsYXdThSLAKEy6lFQC0i9/bMjg2J2A22mCCuq+/Y6bmA= =6exZ -----END PGP SIGNATURE-----