-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-1401 JPCERT/CC 2019-04-10 <<< JPCERT/CC WEEKLY REPORT 2019-04-10 >>> ―――――――――――――――――――――――――――――――――――――― ■03/31(日)〜04/06(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apache HTTP Server に複数の脆弱性 【2】GNU Wget にバッファオーバーフローの脆弱性 【3】Ruby に複数の脆弱性 【4】オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性 【5】Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性 【今週のひとくちメモ】メキシコ・ブラジルのCSIRTを訪ねて ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr191401.html https://www.jpcert.or.jp/wr/2019/wr191401.xml ============================================================================ 【1】Apache HTTP Server に複数の脆弱性 情報源 US-CERT Current Activity Apache Releases Security Update for Apache HTTP Server https://www.us-cert.gov/ncas/current-activity/2019/04/04/Apache-Releases-Security-Update-Apache-HTTP-Server 概要 Apache HTTP Server には、複数の脆弱性があります。結果として、第三者が root 権限で任意のコマンドを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Apache HTTP Server 2.4.39 より前のバージョン この問題は、Apache HTTP Server を Apache Software Foundation が提供す る修正済みのバージョンに更新することで解決します。詳細は、 Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) Apache Software Foundation Fixed in Apache httpd 2.4.39 https://httpd.apache.org/security/vulnerabilities_24.html Apache Software Foundation Apache HTTP Server 2.4.39 Released https://www.apache.org/dist/httpd/Announcement2.4.html 【2】GNU Wget にバッファオーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVN#25261088 GNU Wget におけるバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN25261088/ 概要 GNU Wget には、バッファオーバーフローの脆弱性があります。結果として、 遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃 を行ったりする可能性があります。 対象となるバージョンは次のとおりです。 - GNU Wget 1.20.1 およびそれ以前 この問題は、GNU Wget を GNU Project が提供する修正済みのバージョンに更 新することで解決します。詳細は、GNU Project が提供する情報を参照してく ださい。 関連文書 (英語) GNU Project Downloading GNU Wget https://www.gnu.org/software/wget/ 【3】Ruby に複数の脆弱性 情報源 Ruby Ruby 2.4.6 リリース https://www.ruby-lang.org/ja/news/2019/04/01/ruby-2-4-6-released/ 概要 Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを 実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Ruby 2.4.5 およびそれ以前 この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す るか、パッチを適用することで解決します。なお、Ruby 2.4 系は、1年間のセ キュリティメンテナンスフェーズに移行し、期間終了後、公式サポートが終了 します。そのため、Ruby 2.6 系などの新しいバージョンへの移行が推奨され ています。 関連文書 (日本語) JPCERT/CC WEEKLY REPORT 2019-03-20号 【6】Ruby に複数の脆弱性 https://www.jpcert.or.jp/wr/2019/wr191101.html#6 【4】オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性 情報源 Japan Vulnerability Notes JVNVU#98267543 オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性 https://jvn.jp/vu/JVNVU98267543/ 概要 CX-One には、解放済みメモリ使用 (use-after-free) の脆弱性があります。 結果として、第三者がアプリケーションの権限で任意のコードを実行する可能 性があります。 対象となるバージョンは次のとおりです。 - 次のアプリケーションを含む CX-One - CX-Programmer Version 9.70 およびそれ以前 - Common Components January 2019 およびそれ以前 この問題は、該当するアプリケーションをオムロン株式会社が提供する修正済 みのバージョンに更新することで解決します。詳細は、オムロン株式会社が提 供する情報を参照してください。 関連文書 (日本語) オムロン株式会社 CX-One バージョンアップ プログラム ダウンロード https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html オムロン株式会社 CX-Programmer の更新内容 https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#cx_programmer オムロン株式会社 共通モジュール の更新内容 https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#common_module 【5】Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#01119243 Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN01119243/ 概要 Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバには、アクセス制限不備の脆弱性があります。結果として、遠隔の 第三者が、ユーザの登録情報を取得したり、改ざんしたりする可能性がありま す。 対象となるバージョンは次のとおりです。 - Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」 バージョン 1.2.4 およびそれ以前 Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」の開発および サポートは終了しています。当該製品の使用を停止し、アンインストールして ください。東日本旅客鉄道株式会社は、自身のホームページ、スマートフォン アプリ「JR東日本アプリ」、および LINE の「JR東日本 Chat Bot」の使用を 推奨しています。 関連文書 (日本語) 東日本旅客鉄道株式会社 JR 東日本 列車運行情報アプリのサービス終了について https://www.jreast.co.jp/press/2018/20190310.pdf ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○メキシコ・ブラジルのCSIRTを訪ねて 2019年4月4日、JPCERT/CC は「中南米CSIRT動向調査」の一環としてメキシコ とブラジルの National CSIRT を訪問した時の体験記を公式ブログ JPCERT/CC Eyes で公開しました。 このブログでは、両組織の紹介と取り組みを取り上げています。また、「中南 米CSIRT動向調査」も閲覧可能ですので、中南米地域でビジネスを展開してい る組織において、現状の把握のための参考資料としてご活用ください。 参考文献 (日本語) JPCERT/CC メキシコ・ブラジルのCSIRTを訪ねて https://blogs.jpcert.or.jp/ja/2019/04/csirt-1.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJcrTApAAoJEDF9l6Rp7OBInewH/0XLBCH6KzMOCb9eehwukWQP vt9LXaizygP2uqn9E9P37pOzMoqkx3Pnps1wknpOUqdTmuH4Q38dOnj1nx2pBqQh VclmH/3vVSiz3jQAk6g9ZtVC6HaJAfcR9qJD2hNMX2g9ChR6eyPrwDEhj9X/9YNP sKw/G7h9yMrahdQcLVaPNWF23/s9HC+WqKNyQ8tuXriTxIuHh3H0SSCTLQHDyKY7 9hkXR68mxyp8m2512Yx9gAf7ph3QZuvRDHQ7IxWQvzrmfvLrJpgSq1BQJya/3vDn u1jyKwdE2oThTBsJe8rTVs9R7QY8dHSkMmZg/kH8HKbL9X3V4nWCtoZ+sklDdWM= =nst/ -----END PGP SIGNATURE-----