JPCERT-WR-2019-1401
2019-04-10
2019-03-31
2019-04-06
Apache HTTP Server に複数の脆弱性
Apache HTTP Server には、複数の脆弱性があります。結果として、第三者が
root 権限で任意のコマンドを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Apache HTTP Server 2.4.39 より前のバージョン
この問題は、Apache HTTP Server を Apache Software Foundation が提供す
る修正済みのバージョンに更新することで解決します。詳細は、
Apache Software Foundation が提供する情報を参照してください。
Apache Software Foundation
Fixed in Apache httpd 2.4.39
https://httpd.apache.org/security/vulnerabilities_24.html
Apache Software Foundation
Apache HTTP Server 2.4.39 Released
https://www.apache.org/dist/httpd/Announcement2.4.html
GNU Wget にバッファオーバーフローの脆弱性
GNU Wget には、バッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃
を行ったりする可能性があります。
対象となるバージョンは次のとおりです。
- GNU Wget 1.20.1 およびそれ以前
この問題は、GNU Wget を GNU Project が提供する修正済みのバージョンに更
新することで解決します。詳細は、GNU Project が提供する情報を参照してく
ださい。
GNU Project
Downloading GNU Wget
https://www.gnu.org/software/wget/
Ruby に複数の脆弱性
Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを
実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Ruby 2.4.5 およびそれ以前
この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す
るか、パッチを適用することで解決します。なお、Ruby 2.4 系は、1年間のセ
キュリティメンテナンスフェーズに移行し、期間終了後、公式サポートが終了
します。そのため、Ruby 2.6 系などの新しいバージョンへの移行が推奨され
ています。
JPCERT/CC WEEKLY REPORT 2019-03-20号
【6】Ruby に複数の脆弱性
https://www.jpcert.or.jp/wr/2019/wr191101.html#6
オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性
CX-One には、解放済みメモリ使用 (use-after-free) の脆弱性があります。
結果として、第三者がアプリケーションの権限で任意のコードを実行する可能
性があります。
対象となるバージョンは次のとおりです。
- 次のアプリケーションを含む CX-One
- CX-Programmer Version 9.70 およびそれ以前
- Common Components January 2019 およびそれ以前
この問題は、該当するアプリケーションをオムロン株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、オムロン株式会社が提
供する情報を参照してください。
オムロン株式会社
CX-One バージョンアップ プログラム ダウンロード
https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html
オムロン株式会社
CX-Programmer の更新内容
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#cx_programmer
オムロン株式会社
共通モジュール の更新内容
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#common_module
Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性
Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する
API サーバには、アクセス制限不備の脆弱性があります。結果として、遠隔の
第三者が、ユーザの登録情報を取得したり、改ざんしたりする可能性がありま
す。
対象となるバージョンは次のとおりです。
- Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」 バージョン 1.2.4 およびそれ以前
Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」の開発および
サポートは終了しています。当該製品の使用を停止し、アンインストールして
ください。東日本旅客鉄道株式会社は、自身のホームページ、スマートフォン
アプリ「JR東日本アプリ」、および LINE の「JR東日本 Chat Bot」の使用を
推奨しています。
東日本旅客鉄道株式会社
JR 東日本 列車運行情報アプリのサービス終了について
https://www.jreast.co.jp/press/2018/20190310.pdf
メキシコ・ブラジルのCSIRTを訪ねて
2019年4月4日、JPCERT/CC は「中南米CSIRT動向調査」の一環としてメキシコ
とブラジルの National CSIRT を訪問した時の体験記を公式ブログ
JPCERT/CC Eyes で公開しました。
このブログでは、両組織の紹介と取り組みを取り上げています。また、「中南
米CSIRT動向調査」も閲覧可能ですので、中南米地域でビジネスを展開してい
る組織において、現状の把握のための参考資料としてご活用ください。
JPCERT/CC
メキシコ・ブラジルのCSIRTを訪ねて
https://blogs.jpcert.or.jp/ja/2019/04/csirt-1.html