-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2019-2501
                                                                   JPCERT/CC
                                                                  2019-07-03

            <<< JPCERT/CC WEEKLY REPORT 2019-07-03 >>>

――――――――――――――――――――――――――――――――――――――
■06/23(日)〜06/29(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Cisco Data Center Network Manager に複数の脆弱性
【2】Chrome OS に複数の脆弱性
【3】Apple AirPort Base Station (AirMac Base Station) に複数の脆弱性
【4】ひかり電話ルータ/ホームゲートウェイに複数の脆弱性
【5】複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】JPCERT/CC が「IoTセキュリティチェックリスト」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2019/wr192501.html
        https://www.jpcert.or.jp/wr/2019/wr192501.xml
============================================================================


【1】Cisco Data Center Network Manager に複数の脆弱性

    情報源
      US-CERT Current Activity
      Cisco Releases Security Updates for Data Center Network Manager
      https://www.us-cert.gov/ncas/current-activity/2019/06/26/cisco-releases-security-updates-data-center-network-manager

    概要
      Cisco Data Center Network Manager には、複数の脆弱性があります。結果と
      して、遠隔の第三者が任意のコードを実行するなどの可能性があります。

      対象となる製品は次のとおりです。

      - Cisco Data Center Network Manager

      この問題は、Cisco Data Center Network Manager を、Cisco が提供する修正
      済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情
      報を参照してください。

    関連文書 (英語)
      Cisco Security Advisory
      Cisco Data Center Network Manager Arbitrary File Upload and Remote Code Execution Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-codex

      Cisco Security Advisory
      Cisco Data Center Network Manager Authentication Bypass Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-bypass

      Cisco Security Advisory
      Cisco Data Center Network Manager Arbitrary File Download Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-file-dwnld

      Cisco Security Advisory
      Cisco Data Center Network Manager Information Disclosure Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-infodiscl

【2】Chrome OS に複数の脆弱性

    情報源
      US-CERT Current Activity
      Google Releases Security Updates for Chrome OS
      https://www.us-cert.gov/ncas/current-activity/2019/06/27/google-releases-security-updates-chrome-os

    概要
      Chrome OS には、複数の脆弱性があります。結果として、第三者が情報を窃取
      する可能性があります。

      対象となるバージョンは次のとおりです。

      - Chrome OS 75.0.3770.102 より前のバージョン

      この問題は、Chrome OS を Google が提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、Google が提供する情報を参照してください。

    関連文書 (英語)
      Google
      Stable Channel Update for Chrome OS
      https://chromereleases.googleblog.com/2019/06/stable-channel-update-for-chrome-os-m75.html

【3】Apple AirPort Base Station (AirMac Base Station) に複数の脆弱性

    情報源
      Japan Vulnerability Notes  JVNVU#96755549
      Apple AirPort Base Station における脆弱性に対するアップデート
      https://jvn.jp/vu/JVNVU96755549/

    概要
      Apple の AirMac Base Station には、複数の脆弱性があります。結果として、
      遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃
      を行ったりするなどの可能性があります。
      なお、「AirPort」の日本での製品名称は、「AirMac」になります。

      対象となるバージョンは次のとおりです。

      - AirPort Base Station Firmware 7.8.1 より前のバージョン

      この問題は、AirMac Base Station を Apple が提供する修正済みのバージョン
      に更新することで解決します。詳細は、Apple が提供する情報を参照してくだ
      さい。

    関連文書 (日本語)
      Apple
      AirMac ベースステーション ファームウェア・アップデート 7.8.1 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT210091

【4】ひかり電話ルータ/ホームゲートウェイに複数の脆弱性

    情報源
      Japan Vulnerability Notes  JVN#43172719
       ひかり電話ルータ/ホームゲートウェイにおける複数の脆弱性
      https://jvn.jp/jp/JVN43172719/

    概要
      ひかり電話ルータ/ホームゲートウェイには、複数の脆弱性があります。結果
      として、遠隔の第三者が、細工したページにユーザをアクセスさせることによ
      り、当該製品にログインしているユーザの権限で任意の操作を行うなどの可能
      性があります。

      対象となる製品およびバージョンは次のとおりです。

      - PR-S300NE/RT-S300NE/RV-S340NE ファームウェアバージョン Ver. 19.41 およびそれ以前のバージョン
      - PR-S300HI/RT-S300HI/RV-S340HI ファームウェアバージョン Ver.19.01.0005 およびそれ以前のバージョン
      - PR-S300SE/RT-S300SE/RV-S340SE ファームウェアバージョン Ver.19.40 およびそれ以前のバージョン
      - PR-400NE/RT-400NE/RV-440NE ファームウェアバージョン Ver.7.42 およびそれ以前のバージョン
      - PR-400KI/RT-400KI/RV-440KI ファームウェアバージョン Ver.07.00.1010 およびそれ以前のバージョン
      - PR-400MI/RT-400MI/RV-440MI ファームウェアバージョン Ver. 07.00.1012 およびそれ以前のバージョン
      - PR-500KI/RT-500KI ファームウェアバージョン Ver.01.00.0090 およびそれ以前のバージョン
      - RS-500KI ファームウェアバージョン Ver.01.00.0070 およびそれ以前のバージョン
      - PR-500MI/RT-500MI ファームウェアバージョン Ver.01.01.0014 およびそれ以前のバージョン
      - RS-500MI ファームウェアバージョン Ver.03.01.0019 およびそれ以前のバージョン

      この問題は、ひかり電話ルータ/ホームゲートウェイを開発者が提供する修正
      済みのバージョンに更新することで解決します。詳細は、開発者が提供する情
      報を参照してください。

    関連文書 (日本語)
      東日本電信電話株式会社
      「ひかり電話ルータ／ホームゲートウェイ」におけるクロスサイトスクリプティング、クロスサイトリクエストフォージェリの脆弱性
      https://web116.jp/ced/support/news/contents/2019/20190626.html

      西日本電信電話株式会社
      「ひかり電話対応ホームゲートウェイ」におけるクロスサイトスクリプティング、クロスサイトリクエストフォージェリの脆弱性について
      https://www.ntt-west.co.jp/kiki/support/flets/hgw/190626.html

【5】複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性

    情報源
      Japan Vulnerability Notes JVN#49575131
       WordPress 用プラグイン HTML5 Maps におけるクロスサイトリクエストフォージェリの脆弱性
      https://jvn.jp/jp/JVN49575131/

      Japan Vulnerability Notes  JVN#29933378
       WordPress 用プラグイン Custom CSS Pro におけるクロスサイトリクエストフォージェリの脆弱性
      https://jvn.jp/jp/JVN29933378/

    概要
      複数の WordPress 用プラグインには、クロスサイトリクエストフォージェリ
      の脆弱性があります。結果として、遠隔の第三者が、細工したページにユーザ
      をアクセスさせることにより、当該製品にログインしているユーザの権限で任
      意の操作を行う可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - HTML5 Maps 1.6.5.6 およびそれ以前のバージョン
      - Custom CSS Pro 1.0.3 およびそれ以前のバージョン

      この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (英語)
      HTML5 Maps
      Changelog
      https://wordpress.org/plugins/html5-maps/#developers

      Custom CSS Pro
      Changelog
      https://wordpress.org/plugins/custom-css-pro/#developers


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC が「IoTセキュリティチェックリスト」を公開

      2019年6月27日、JPCERT/CC は「IoTセキュリティチェックリスト」を公開しま
      した。

      本チェックリストでは、脅威の存在する環境においても、IoT デバイスを安全
      に運用するために実装しておきたい 39 のセキュリティの機能を、必要な背景
      とともにまとめ、一覧表にしています。

      開発・導入を検討している IoT システム/IoT デバイスのセキュリティ機能確
      認の第一歩として、本資料をご活用いただければ幸いです。

    参考文献 (日本語)
      JPCERT/CC
      IoTセキュリティチェックリスト
      https://www.jpcert.or.jp/research/IoT-SecurityCheckList.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJdG/leAAoJEKntH+qu5CT/PAIP/2/Pa/2h6wHyRKe3JmeT2017
QblpUGrbTmWewpaMjZkMWiuEkADtBXIM8IoKOuhL0uFMBoFozyk2hMOIqyhC99rs
DjmZf1PdUE/UpMCsfFIxiYQ2Ap84q25plSZSMg77WPYxmJG3HyHT+K5zvvaw4ksy
QR7xRkoGgaIptsugH0ukwi0e64drjEMH0paFJCYMfGXYkAeekmpIzBGUACXByhEO
CRZIugvYGQN5MaoXRNoyJY1vNkUJTPjYe9VlT5IHgJgoMcvovjtEI0+a6VnlQxOq
a3b8Dqdwe1W2kzCFGJyQpwVFpUVajsQ8dOKmhC1A5fWDI9E086Z0iRl7d5FRMiC5
BSud2ibB2suNf1dxHxxmTawKvsvQr2imQ6q40+kfi0EM8vCfuhwu9aKV0ViOLtCv
FxetCk5GaMF7rEdzporfGE3ukg6GEztwCDypaoddVocA7ZzTCQQSfBMmoIitGQ4d
LzzdS9+Z7doPP5NRqgtt1VEao2GhyKbdZO4Q7xKUl+3tGTcz7gqAtku5vaqJcz7Q
6qbZkVJn5o+NvbsBObNMXAw7TYnloxVpqUAyN970D8uHvFMJQxq9yqo8dbKHVgxU
QXxDAzIt6NLwfQaUlexeDr+RXmIth+BvEyp6lHesLiWCpH9VJSq1DHKUe/RmORmq
BBESfxSM9RmDzscBu08h
=7mBb
-----END PGP SIGNATURE-----