-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-1201 JPCERT/CC 2019-03-27 <<< JPCERT/CC WEEKLY REPORT 2019-03-27 >>> ―――――――――――――――――――――――――――――――――――――― ■03/17(日)〜03/23(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla Firefox に複数の脆弱性 【2】Drupal にクロスサイトスクリプティングの脆弱性 【3】複数の Cisco 製品に脆弱性 【4】iOS アプリ「an」にディレクトリトラバーサルの脆弱性 【今週のひとくちメモ】IPA が「中小企業の情報セキュリティ対策ガイドライン」の第3版を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr191201.html https://www.jpcert.or.jp/wr/2019/wr191201.xml ============================================================================ 【1】Mozilla Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox https://www.us-cert.gov/ncas/current-activity/2019/03/22/Mozilla-Releases-Security-Updates-Firefox US-CERT Current Activity Mozilla Releases Security Updates for Firefox https://www.us-cert.gov/ncas/current-activity/2019/03/19/Mozilla-Releases-Security-Updates-Firefox 概要 Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす るなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 66.0.1 より前のバージョン - Mozilla Firefox ESR 60.6.1 より前のバージョン この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 関連文書 (英語) Mozilla Security vulnerabilities fixed in Firefox 66 https://www.mozilla.org/en-US/security/advisories/mfsa2019-07/ Mozilla Security vulnerabilities fixed in Firefox 66.0.1 https://www.mozilla.org/en-US/security/advisories/mfsa2019-09/ Mozilla Security vulnerabilities fixed in Firefox ESR 60.6 https://www.mozilla.org/en-US/security/advisories/mfsa2019-08/ Mozilla Security vulnerabilities fixed in Firefox 60.6.1 https://www.mozilla.org/en-US/security/advisories/mfsa2019-10/ 【2】Drupal にクロスサイトスクリプティングの脆弱性 情報源 US-CERT Current Activity Drupal Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/03/20/Drupal-Releases-Security-Updates 概要 Drupal には、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者がユーザのブラウザ上で任意のコードを実行する可能性があ ります。 対象となるバージョンは次のとおりです。 - Drupal 8.6.13 より前の 8.6 系のバージョン - Drupal 8.5.14 より前の 8.5 系のバージョン - Drupal 7.65 より前の 7 系のバージョン なお、Drupal 8.5 系より前の 8 系のバージョンは、サポートが終了しており、 セキュリティに関する情報は提供されません。 この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Drupal が提供する情報を参照してください。 関連文書 (英語) Drupal Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-004 https://www.drupal.org/sa-core-2019-004 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Advisories for Multiple Products https://www.us-cert.gov/ncas/current-activity/2019/03/20/Cisco-Releases-Security-Advisories-Multiple-Products 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cisco Wireless IP Phone 8821 上で稼働している SIP ソフトウエア 11.0(5) より前のバージョン - Cisco Wireless IP Phone 8821-EX 上で稼働している SIP ソフトウエア 11.0(5) より前のバージョン - Cisco IP Conference Phone 8832 上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン - Cisco Unified IP Conference Phone 8831 上で稼働している SIP ソフトウエア 10.3(1)SR5 より前のバージョン - その他 Cisco IP Phone 7800 シリーズ上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン - その他 Cisco IP Phone 8800 シリーズ上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco IP Phone 8800 Series Path Traversal Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipptv Cisco Security Advisory Cisco IP Phone 8800 Series File Upload Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipfudos Cisco Security Advisory Cisco IP Phone 8800 Series Authorization Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipab Cisco Security Advisory Cisco IP Phone 7800 Series and 8800 Series Remote Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce Cisco Security Advisory Cisco IP Phone 8800 Series Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-csrf 【4】iOS アプリ「an」にディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#60497148 iOS アプリ「an」におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN60497148/ 概要 iOS アプリ「an」には、ディレクトリトラバーサルの脆弱性があります。結果 として、遠隔の第三者が情報を窃取する可能性があります。 対象となるバージョンは次のとおりです。 - iOS アプリ「an」 バージョン 3.2.0 およびそれ以前 この問題は、iOS アプリ「an」をパーソルキャリア株式会社が提供する修正済 みのバージョンに更新することで解決します。詳細は、パーソルキャリア株式 会社が提供する情報を参照してください。 関連文書 (日本語) パーソルキャリア株式会社 「an」公式アプリ https://weban.jp/contents/c/smartphone_apri/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA が「中小企業の情報セキュリティ対策ガイドライン」の第3版を公開 2019年3月19日、情報処理推進機構 (IPA) は、「中小企業の情報セキュリティ 対策ガイドライン」の第3版を公開しました。本ガイドラインは、個人事業主、 小規模事業者を含む中小企業での利用を想定したもので、情報セキュリティ対 策に取り組む際の、(1) 経営者が認識し実施すべき指針、(2) 社内において 対策を実践する際の手順や手法をまとめたものです。 第3版は、第2版 (2016年11月公開) から 2年4か月ぶりの大幅改訂で、サイバー セキュリティ経営ガイドラインの改訂内容なども反映されているとのことです。 また、専門用語などをなるべく排した説明となるような見直しも行われていま す。 参考文献 (日本語) 情報処理推進機構 (IPA) 中小企業の情報セキュリティ対策ガイドライン https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJcmrrxAAoJEDF9l6Rp7OBIoioH+gIuisHJ06zsz7guQWYet4ae ncLCkhmM/0nh7rQzp7eUh7d0IJZv1FoiyyS3p/pDEh+PqfRlf+sMPhtd+2wpvLLA WvSkAnLoopBG7kO6kCyncS2VcsDHVic9AL+1VrEOtUS9N1NLOcEHUeFbXp6ViLSK 99Z11nEa3xs9qywQcdGE4fgjtzasCWHbS+cOvQTCyK0Kp3ZKYrC22ZyIaw/XSB+h B0ePmQEiLK3hWPEukt9C50YjUI+ioYI+TWzHMaCscFVUWUXA4iyDEX0iQvR7x8Hn 5NFl8dwAFk3cgHVEW36j04ubINELsSZwVSr/Bb/HH3Btdk682fNouxF0ljzgGGQ= =1QTc -----END PGP SIGNATURE-----