<<< JPCERT/CC WEEKLY REPORT 2019-04-10 >>>
■03/31(日)〜04/06(土) のセキュリティ関連情報
目 次
【1】Apache HTTP Server に複数の脆弱性
【2】GNU Wget にバッファオーバーフローの脆弱性
【3】Ruby に複数の脆弱性
【4】オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性
【5】Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性
【今週のひとくちメモ】メキシコ・ブラジルのCSIRTを訪ねて
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191401.txt
https://www.jpcert.or.jp/wr/2019/wr191401.xml
【1】Apache HTTP Server に複数の脆弱性
情報源
US-CERT Current Activity
Apache Releases Security Update for Apache HTTP Server
https://www.us-cert.gov/ncas/current-activity/2019/04/04/Apache-Releases-Security-Update-Apache-HTTP-Server
概要
Apache HTTP Server には、複数の脆弱性があります。結果として、第三者が root 権限で任意のコマンドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Apache HTTP Server 2.4.39 より前のバージョン この問題は、Apache HTTP Server を Apache Software Foundation が提供す る修正済みのバージョンに更新することで解決します。詳細は、 Apache Software Foundation が提供する情報を参照してください。
関連文書 (英語)
Apache Software Foundation
Fixed in Apache httpd 2.4.39
https://httpd.apache.org/security/vulnerabilities_24.htmlApache Software Foundation
Apache HTTP Server 2.4.39 Released
https://www.apache.org/dist/httpd/Announcement2.4.html
【2】GNU Wget にバッファオーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVN#25261088
GNU Wget におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN25261088/
概要
GNU Wget には、バッファオーバーフローの脆弱性があります。結果として、 遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃 を行ったりする可能性があります。 対象となるバージョンは次のとおりです。 - GNU Wget 1.20.1 およびそれ以前 この問題は、GNU Wget を GNU Project が提供する修正済みのバージョンに更 新することで解決します。詳細は、GNU Project が提供する情報を参照してく ださい。
関連文書 (英語)
GNU Project
Downloading GNU Wget
https://www.gnu.org/software/wget/
【3】Ruby に複数の脆弱性
情報源
Ruby
Ruby 2.4.6 リリース
https://www.ruby-lang.org/ja/news/2019/04/01/ruby-2-4-6-released/
概要
Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを 実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Ruby 2.4.5 およびそれ以前 この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す るか、パッチを適用することで解決します。なお、Ruby 2.4 系は、1年間のセ キュリティメンテナンスフェーズに移行し、期間終了後、公式サポートが終了 します。そのため、Ruby 2.6 系などの新しいバージョンへの移行が推奨され ています。
関連文書 (日本語)
JPCERT/CC WEEKLY REPORT 2019-03-20号
【6】Ruby に複数の脆弱性
https://www.jpcert.or.jp/wr/2019/wr191101.html#6
【4】オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性
情報源
Japan Vulnerability Notes JVNVU#98267543
オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU98267543/
概要
CX-One には、解放済みメモリ使用 (use-after-free) の脆弱性があります。 結果として、第三者がアプリケーションの権限で任意のコードを実行する可能 性があります。 対象となるバージョンは次のとおりです。 - 次のアプリケーションを含む CX-One - CX-Programmer Version 9.70 およびそれ以前 - Common Components January 2019 およびそれ以前 この問題は、該当するアプリケーションをオムロン株式会社が提供する修正済 みのバージョンに更新することで解決します。詳細は、オムロン株式会社が提 供する情報を参照してください。
関連文書 (日本語)
オムロン株式会社
CX-One バージョンアップ プログラム ダウンロード
https://www.fa.omron.co.jp/product/tool/26/cxone/one1.htmlオムロン株式会社
CX-Programmer の更新内容
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#cx_programmerオムロン株式会社
共通モジュール の更新内容
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#common_module
【5】Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性
情報源
Japan Vulnerability Notes JVN#01119243
Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN01119243/
概要
Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバには、アクセス制限不備の脆弱性があります。結果として、遠隔の 第三者が、ユーザの登録情報を取得したり、改ざんしたりする可能性がありま す。 対象となるバージョンは次のとおりです。 - Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」 バージョン 1.2.4 およびそれ以前 Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」の開発および サポートは終了しています。当該製品の使用を停止し、アンインストールして ください。東日本旅客鉄道株式会社は、自身のホームページ、スマートフォン アプリ「JR東日本アプリ」、および LINE の「JR東日本 Chat Bot」の使用を 推奨しています。
関連文書 (日本語)
東日本旅客鉄道株式会社
JR 東日本 列車運行情報アプリのサービス終了について
https://www.jreast.co.jp/press/2018/20190310.pdf
■今週のひとくちメモ
○メキシコ・ブラジルのCSIRTを訪ねて
2019年4月4日、JPCERT/CC は「中南米CSIRT動向調査」の一環としてメキシコ とブラジルの National CSIRT を訪問した時の体験記を公式ブログ JPCERT/CC Eyes で公開しました。 このブログでは、両組織の紹介と取り組みを取り上げています。また、「中南 米CSIRT動向調査」も閲覧可能ですので、中南米地域でビジネスを展開してい る組織において、現状の把握のための参考資料としてご活用ください。
参考文献 (日本語)
JPCERT/CC
メキシコ・ブラジルのCSIRTを訪ねて
https://blogs.jpcert.or.jp/ja/2019/04/csirt-1.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/