-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-4401 JPCERT/CC 2019-11-13 <<< JPCERT/CC WEEKLY REPORT 2019-11-13 >>> ―――――――――――――――――――――――――――――――――――――― ■11/03(日)〜11/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Cisco 製品に脆弱性 【2】Google Chrome に複数のセキュリティ上の問題 【3】Squid に複数の脆弱性 【4】オムロン製 Network Configurator for DeviceNet に DLL 読み込みに関する脆弱性 【5】スマートフォンアプリ「ラクマ」に認証情報漏えいの脆弱性 【今週のひとくちメモ】「PSIRT Services Framework Version 1.0 日本語版」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr194401.html https://www.jpcert.or.jp/wr/2019/wr194401.xml ============================================================================ 【1】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2019/11/07/cisco-releases-security-updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 影響度 Critical および High の脆弱性情報の対象となる製品は次のとおり です。 - Cisco Prime Infrastructure (PI) Software - Cisco Evolved Programmable Network Manager (EPNM) - Cisco Small Business RV Series の次の製品 ・Cisco RV042 Dual WAN VPN Router ・Cisco RV042G Dual Gigabit WAN VPN Router ・Cisco RV320 Dual Gigabit WAN VPN Router ・Cisco RV325 Dual Gigabit WAN VPN Router - Cisco RoomOS Software - Cisco TelePresence Collaboration Endpoint (CE) Software - Cisco TelePresence Codec (TC) Software - Cisco Webex Network Recording Player for Microsoft Windows - Cisco Webex Player for Microsoft Windows - Cisco Wireless LAN Controllers - Cisco Web Security Appliance (WSA) ※上記以外にも、影響度 Medium や Informational の脆弱性情報、アドバイ ザリが公開されています。詳細は、Cisco が提供する情報を参照してくださ い。 なお、既にソフトウェアメンテナンスが終了している Cisco RV016 Multi-WAN VPN Router、Cisco RV082 Dual WAN VPN Router も影響を受けるとのことです。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Prime Infrastructure and Evolved Programmable Network Manager Remote Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-pi-epn-codex Cisco Security Advisory Cisco Small Business Routers RV016, RV042, RV042G, RV082, RV320, and RV325 Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-sbr-cominj Cisco Security Advisory Cisco TelePresence Collaboration Endpoint and RoomOS Software Denial of Service Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-telepres-roomos-dos Cisco Security Advisory Cisco TelePresence Collaboration Endpoint, TelePresence Codec, and RoomOS Software Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-telepres-roomos-privesc Cisco Security Advisory Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-webex-player Cisco Security Advisory Cisco Wireless LAN Controller HTTP Parsing Engine Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-wlc-dos Cisco Security Advisory Cisco Web Security Appliance Unauthorized Device Reset Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-wsa-unauth-devreset Cisco Security Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【2】Google Chrome に複数のセキュリティ上の問題 情報源 Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2019/11/stable-channel-update-for-desktop.html 概要 Google Chrome には、複数のセキュリティ上の問題があります。 対象となるバージョンは次のとおりです。 - Google Chrome 78.0.3904.97 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 【3】Squid に複数の脆弱性 情報源 squid-cache.org Heap Overflow issue in URN processing. http://www.squid-cache.org/Advisories/SQUID-2019_7.txt squid-cache.org Multiple issues in URI processing. http://www.squid-cache.org/Advisories/SQUID-2019_8.txt squid-cache.org Cross-Site Request Forgery issue in HTTP Request processing. http://www.squid-cache.org/Advisories/SQUID-2019_9.txt squid-cache.org HTTP Request Splitting issue in HTTP message processing. http://www.squid-cache.org/Advisories/SQUID-2019_10.txt squid-cache.org Information Disclosure issue in HTTP Digest Authentication. http://www.squid-cache.org/Advisories/SQUID-2019_11.txt 概要 Squid には、複数の脆弱性があります。結果として、遠隔の第三者が、任意の コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可 能性があります。 対象となるバージョンは次のとおりです。 - Squid version 4.8 までの 4 系のバージョン なお、既に更新が終了している Squid 3 系や 2 系についても、本脆弱性の影 響を受けるとのことです。 この問題は、使用している Squid のバージョンに応じて、OS のベンダや配布 元が提供する修正済みのバージョンに更新するか、パッチを適用することで解 決します。詳細は、ベンダや配布元が提供する情報を参照してください。 関連文書 (英語) squid-cache.org Squid Versions http://www.squid-cache.org/Versions/ 【4】オムロン製 Network Configurator for DeviceNet に DLL 読み込みに関する脆弱性 情報源 ICS Advisory (ICSA-19-134-01) Omron Network Configurator for DeviceNet (Update A) https://www.us-cert.gov/ics/advisories/ICSA-19-134-01 概要 Network Configurator for DeviceNet には、DLL 読み込みに関する脆弱性が あります。結果として、第三者がプログラムを実行している権限で、任意のコー ドを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Network Configurator for DeviceNet Safety 3.41 およびそれ以前 この問題は、Network Configurator for DeviceNet をオムロン株式会社が提 供する修正済みのバージョンに更新することで解決します。詳細は、オムロン 株式会社が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94145643 オムロン製 Network Configurator for DeviceNet における DLL 読み込みに関する脆弱性 https://jvn.jp/vu/JVNVU94145643/ オムロン株式会社 セーフティネットワークコンフィグレータ 形WS02-CFSC1-J/形WS02-CFSC1-E アップデートモジュール ダウンロード https://www.fa.omron.co.jp/product/tool/32/safetycf/cfsc1_download.html 【5】スマートフォンアプリ「ラクマ」に認証情報漏えいの脆弱性 情報源 Japan Vulnerability Notes JVN#41566067 スマートフォンアプリ「ラクマ」における認証情報漏えいの脆弱性 https://jvn.jp/jp/JVN41566067/ 概要 スマートフォンアプリ「ラクマ」には、認証に関する情報が漏えいする脆弱性 があります。結果として、第三者が攻撃を目的として作成したアプリをインス トールすることによって、当該製品の認証に関する情報を窃取する可能性があ ります。 対象となる製品およびバージョンは次のとおりです。 - Android アプリ「ラクマ」バージョン 7.15.0 およびそれ以前 - iOS アプリ「ラクマ」バージョン 7.16.4 およびそれ以前 この問題は、該当する製品を楽天株式会社が提供する修正済みのバージョンに 更新することで解決します。詳細は、楽天株式会社が提供する情報を参照して ください。 関連文書 (日本語) Japan Vulnerability Notes JVN#41566067 楽天株式会社からの情報 https://jvn.jp/jp/JVN41566067/995735/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「PSIRT Services Framework Version 1.0 日本語版」を公開 JPCERT/CC は、一般社団法人コンピュータソフトウェア協会の Software ISAC と共同で、FIRST が作成し公表した「PSIRT Services Framework Version 1.0」の翻訳を行いました。この文書「PSIRT Services Framework Version 1.0 日本語版」は、Panasonic PSIRT と Sony PSIRT によるレビューを経て、 2019年11月7日、FIRST の Web サイトに公開されました。 PSIRT (Product Security Incident Response Team) は、組織が提供する製品 の脆弱性に起因するリスクに対応するための組織内機能です。本フレームワー クは、PSIRT のコンセプトと全体像、さらに PSIRT に求められる事項などに ついて説明しています。既に PSIRT を設置している組織や、これから設置を 検討されている組織は、ぜひ参考にしてください。 参考文献 (日本語) JPCERT/CC PSIRT Services Framework https://www.jpcert.or.jp/research/psirtSF.html 一般社団法人コンピュータソフトウェア協会 「PSIRT Services Framework 1.0」の日本語翻訳文書公開について https://www.csaj.jp/NEWS/pr/191108_psirt.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJdy06ZAAoJEKntH+qu5CT/8AgP/1zQg2ELS25/RkTBkEGnJhpd xnhiBbd2eLkgvj5q9fofwvvSaV52aZSHb10a+c84Cn/pOeCgWoko4MkF7NjxKuwi 3N5s7I0OxkyGRxTEDhWrrcTqaqvVWaDJio3Dt2U7K5VCqzNGxFk4tSMpxxwBj48K AH+GcS26JjaroknBNUoq5N81NsS7ZIV4AQkb3IHLnLYcuVOdxRxdz4jFB35N69HS v0zPs3R70DKcmCy5Y5smqSn4ZumEg4VACWiSpJha14bYhxSf6n+c2qmI2+o9giEd ZWO2h517/emVSsqEWMgMqXVEhUj8XOWUdj8UcYRVcQeDwizehOYkG1wIvXMViykP 7bP5x+/GmrBiSSOY3wTUj5sCZg+EKYkDXZmekSj1ICtDW2h9h/rjhMNpqI4PZeXt diXSNRSt7UZreConCwdKCuHcdrRXe79q2PbKJaIPvcS6dneVuZ40kSn+MElUggQe jMgYrdY3/SnnK63Z45RzTHD1j4vVwqYVoLjyBh2giuxRYjnYD150Y5/TlHcufBZE 5b4jTesrTw2XNlWNTaVGRwufTLU1Mk/eQx+C9ydSD2YelVzYX8cc4k0p99a4JGb3 h3x4zpqDIkDBOJspG5N7WtNBVm2QMA9nBuQdk8Qmy9Z2VTlDLlIyfGos4Dllm5PT 6cCgLUYj7r0yEfoU9b+B =1bcG -----END PGP SIGNATURE-----