-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2019-2001
                                                                   JPCERT/CC
                                                                  2019-05-29

            <<< JPCERT/CC WEEKLY REPORT 2019-05-29 >>>

――――――――――――――――――――――――――――――――――――――
■05/19(日)〜05/25(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数の Mozilla 製品に脆弱性
【2】Apache Camel に XML 外部実体参照 (XXE) に関する脆弱性
【3】WordPress 用プラグイン WP Open Graph にクロスサイトリクエストフォージェリの脆弱性
【4】三菱電機製 MELSEC-Q シリーズ Ethernet インタフェースユニットにサービス運用妨害 (DoS) の脆弱性
【5】Android アプリ「Tootdon for マストドン(Mastodon)」に SSL サーバ証明書の検証不備の脆弱性
【6】Microsoft Windows タスクスケジューラにおける権限昇格の脆弱性
【今週のひとくちメモ】NISC が「サイバーセキュリティ2019」などの資料を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2019/wr192001.html
        https://www.jpcert.or.jp/wr/2019/wr192001.xml
============================================================================


【1】複数の Mozilla 製品に脆弱性

    情報源
      US-CERT Current Activity
      Mozilla Releases Security Updates for Firefox, Thunderbird
      https://www.us-cert.gov/ncas/current-activity/2019/05/21/Mozilla-Releases-Security-Updates-Firefox

    概要
      複数の Mozilla 製品には、脆弱性があります。結果として、第三者が任意の
      コードを実行するなどの可能性があります。

      対象となる製品は次のとおりです。

      - Firefox 67 より前のバージョン
      - Firefox ESR 60.7 より前のバージョン
      - Thunderbird 60.7 より前のバージョン

      この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
      新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
      い。

    関連文書 (英語)
      Mozilla
      Security vulnerabilities fixed in Firefox 67
      https://www.mozilla.org/en-US/security/advisories/mfsa2019-13/

      Mozilla
      Security vulnerabilities fixed in Firefox ESR 60.7
      https://www.mozilla.org/en-US/security/advisories/mfsa2019-14/

      Mozilla
      Security vulnerabilities fixed in Thunderbird 60.7
      https://www.mozilla.org/en-US/security/advisories/mfsa2019-15/

【2】Apache Camel に XML 外部実体参照 (XXE) に関する脆弱性

    情報源
      Japan Vulnerability Notes JVN#71498764
      Apache Camel における XML 外部実体参照 (XXE) に関する脆弱性
      https://jvn.jp/jp/JVN71498764

    概要
      Apache Camel には、XML 外部実体参照 (XXE) に関する脆弱性があります。結
      果として、第三者が、細工したリクエストを送信することで、サーバ上の任意
      のファイルを読みとる可能性があります。

      対象となるバージョンは次のとおりです。

      - Apache Camel 2.24.0 より前のバージョン

      この問題は、Apache Camel を The Apache Software Foundation が提供する
      修正済みのバージョンに更新することで解決します。詳細は、The Apache
      Software Foundation が提供する情報を参照してください。

    関連文書 (英語)
      The Apache Software Foundation
      Apache Camel
      https://camel.apache.org/

【3】WordPress 用プラグイン WP Open Graph にクロスサイトリクエストフォージェリの脆弱性

    情報源
      Japan Vulnerability Notes JVN#33652328
      WordPress 用プラグイン WP Open Graph におけるクロスサイトリクエストフォージェリの脆弱性
      https://jvn.jp/jp/JVN33652328/

    概要
      WordPress 用プラグイン WP Open Graph には、クロスサイトリクエストフォー
      ジェリの脆弱性があります。結果として、当該製品にログインした状態のユー
      ザが、第三者によって細工されたページにアクセスした場合、意図しない操作
      をさせられる可能性があります。

      対象となるバージョンは次のとおりです。

      - WP Open Graph 1.6.1 およびそれ以前

      この問題は、WP Open Graph を開発者が提供する修正済みのバージョンに更新
      することで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (英語)
      WordPress Custom4Web
      WP Open Graph
      https://wordpress.org/plugins/wp-open-graph/

【4】三菱電機製 MELSEC-Q シリーズ Ethernet インタフェースユニットにサービス運用妨害 (DoS) の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#93268101
      三菱電機製 MELSEC-Q シリーズ Ethernet インタフェースユニットにおけるサービス運用妨害(DoS)の脆弱性
      https://jvn.jp/vu/JVNVU93268101/

    概要
      三菱電機株式会社が提供する MELSEC-Q シリーズの Ethernet インタフェース
      ユニットの FTP 機能には、脆弱性があります。結果として、遠隔の第三者が、
      細工した TCP パケットを FTP サービスに送信することで、サービス運用妨害
      (DoS) を行う可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - MELSEC-Q シリーズ Ethernet インタフェースユニットのうち、下記の製品型番とバージョンのもの
        - QJ71E71-100 シリアル番号の上 5 桁が 20121 以前のバージョン

      この問題への対策として次の回避策の実施を検討してください。

      - ファイアウォールの設定で、信頼できないネットワークやホストからの FTP リクエストをブロックする
      - 該当する製品の FTP 機能を無効にする

    関連文書 (英語)
      ICS-CERT Advisory (ICSA-19-141-02)
      Mitsubishi Electric MELSEC-Q Series Ethernet Module
      https://ics-cert.us-cert.gov/advisories/ICSA-19-141-02

【5】Android アプリ「Tootdon for マストドン(Mastodon)」に SSL サーバ証明書の検証不備の脆弱性

    情報源
      Japan Vulnerability Notes JVN#57806517
      Android アプリ「Tootdon for マストドン(Mastodon)」における SSL サーバ証明書の検証不備の脆弱性
      https://jvn.jp/jp/JVN57806517/

    概要
      Android アプリ「Tootdon for マストドン(Mastodon)」には、SSL サーバ証明
      書の検証不備の脆弱性があります。結果として、第三者が、中間者攻撃によっ
      て通信内容を取得したり、改ざんしたりするなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - Tootdon for マストドン(Mastodon) 3.4.1 およびそれ以前のバージョン

      この問題は、Tootdon for マストドン(Mastodon) を株式会社つくりとが提供
      する修正済みのバージョンに更新することで解決します。詳細は、株式会社つ
      くりとが提供する情報を参照してください。

    関連文書 (日本語)
      株式会社つくりと
      「Tootdon for Mastodon」Android版におけるSSLサーバ証明書の検証不備の脆弱性に関するお知らせ
      http://blog.mastodon-tootdon.com/entry/2019/05/20/204019

【6】Microsoft Windows タスクスケジューラにおける権限昇格の脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#93881163
      Microsoft Windows タスクスケジューラにおける権限昇格の脆弱性
      https://jvn.jp/vu/JVNVU93881163/

    概要
      Microsoft Windows には、権限昇格の脆弱性があります。結果として、一般ユー
      ザ権限を持つ攻撃者が、保護されたファイルに対するフルアクセス権限を取得
      し、システムを改ざんする可能性があります。

      対象となる製品は次のとおりです。

      - Windows 10 32ビット版 および 64ビット版
      - Windows Server 2019
      - Windows Server 2016
      - Windows 8

      2019年5月28日現在、この問題に対する解決策は提供されていません。
      Microsoft などの情報を確認し、対策の施されたバージョンが公開されている
      場合は速やかに適用することをおすすめします。

    関連文書 (英語)
      CERT/CC Vulnerability Note VU#119704
      Microsoft Windows Task Scheduler SetJobFileSecurityByName privilege escalation vulnerability
      https://www.kb.cert.org/vuls/id/119704/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○NISC が「サイバーセキュリティ2019」などの資料を公開

      2019年5月23日、内閣サイバーセキュリティセンター (NISC) がサイバーセキュ
      リティ戦略本部第22回会合を開催し、関連する資料を公開しました。2018年度
      のサイバーセキュリティに関する情勢・主なトピックや各府省庁の関連施策の
      実施状況等を取りまとめた「年次報告」と、それを反映した対処方針別の取組
      や 2019年度の具体的な施策を取りまとめた「年次計画」を統合した「サイバー
      セキュリティ2019」などが決定されました。

    参考文献 (日本語)
      内閣サイバーセキュリティセンター (NISC)
      第２２回会合（令和元年５月２３日）
      https://www.nisc.go.jp/conference/cs/#cs22

      内閣サイバーセキュリティセンター (NISC)
      サイバーセキュリティ2019（2018年度報告・2019年度計画）
      https://www.nisc.go.jp/active/kihon/pdf/cs2019.pdf


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJc6zzaAAoJEDF9l6Rp7OBIc38IAJhd6cJ394vDWEo7hBSpZSz1
bBdPG0Q0OLERTiLesvzX5EQsEnLuZKMPo+5sVUpJ4l0/6k603BgJtuFlqvHV7IyZ
zL0lLApSi+E3mxUZePK1azj8aW5UOo/2D0372v+bn+4WjjRQz5VTG7GUp9sDUOKO
BAKoqS1XvEYM63S3hbM7ciIHT+x/zPNKyVz0DZGDy1Zl1a7rFE92S8QK2PfR/qFS
5SSu4WABhkdUm6oW32PLYv8UlXHLGgocTiK/0aSpncp36ripbxsvPbqKBKM9YgqB
od4ePzP+lh5tkpX501+3WwXQv8V03LkrfjzIfER813Tf+B1g5iMXOPDMQhrNEx0=
=ctSQ
-----END PGP SIGNATURE-----