-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-0501 JPCERT/CC 2020-02-05 <<< JPCERT/CC WEEKLY REPORT 2020-02-05 >>> ―――――――――――――――――――――――――――――――――――――― ■01/26(日)〜02/01(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Apple 製品に脆弱性 【2】Magento に複数の脆弱性 【3】複数の Cisco 製品に脆弱性 【4】複数の Intel 製品に脆弱性 【5】OpenSMTPD に権限昇格と任意コード実行の脆弱性 【6】Android アプリ「MyPallete」にサーバ証明書検証不備の脆弱性 【7】スマートフォンアプリ「AWMS Mobile」にサーバ証明書の検証不備の脆弱性 【今週のひとくちメモ】警察庁が「複数のIoT機器等の脆弱性を標的としたアクセスの増加等について」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr200501.html https://www.jpcert.or.jp/wr/2020/wr200501.xml ============================================================================ 【1】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Multiple Security Updates https://www.us-cert.gov/ncas/current-activity/2020/01/28/apple-releases-multiple-security-updates 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を窃取したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - macOS Catalina 10.15.3 より前のバージョン - macOS Mojave 10.14.6 (Security Update 2020-001 未適用) - macOS High Sierra 10.13.6 (Security Update 2020-001 未適用) - iOS 13.3.1 より前のバージョン - iPadOS 13.3.1 より前のバージョン - Safari 13.0.5 より前のバージョン - tvOS 13.3.1 より前のバージョン - iTunes 12.10.4 for Windows より前のバージョン - watchOS 6.1.2 より前のバージョン - iCloud for Windows 10.9.2 より前のバージョン - iCloud for Windows 7.17 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95678717 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU95678717/ Apple iOS 13.3.1 および iPadOS 13.3.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210918 Apple macOS Catalina 10.15.3、セキュリティアップデート 2020-001 Mojave、セキュリティアップデート 2020-001 High Sierra のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210919 Apple tvOS 13.3.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210920 Apple watchOS 6.1.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210921 Apple Safari 13.0.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210922 Apple iTunes for Windows 12.10.4 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210923 Apple Windows 用 iCloud 10.9.2 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210947 Apple Windows 用 iCloud 7.17 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210948 【2】Magento に複数の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Magento https://www.us-cert.gov/ncas/current-activity/2020/01/31/adobe-releases-security-updates-magento 概要 Magento には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、情報を窃取したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Magento Commerce 2.3.3 およびそれ以前のバージョン - Magento Commerce 2.2.10 およびそれ以前のバージョン - Magento Open Source 2.3.3 およびそれ以前のバージョン - Magento Open Source 2.2.10 およびそれ以前のバージョン - Magento Enterprise Edition 1.14.4.3 およびそれ以前のバージョン - Magento Community Edition 1.9.4.3 およびそれ以前のバージョン この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (英語) Adobe Security Updates Available for Magento | APSB20-02 https://helpx.adobe.com/security/products/magento/apsb20-02.html 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/01/24/cisco-releases-security-updates US-CERT Current Activity Cisco Releases Security Updates for Cisco Small Business Switches https://www.us-cert.gov/ncas/current-activity/2020/01/30/cisco-releases-security-updates-cisco-small-business-switches 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が情 報を窃取するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cisco Webex Meetings Suite sites 40.1.3 より前のバージョン - Cisco Webex Meetings Suite sites 39.11.5 より前のバージョン - Cisco Webex Meetings Online sites 40.1.3 より前のバージョン - Cisco Webex Meetings Online sites 39.11.5 より前のバージョン 2.5.0.92 より前のファームウエアが稼働する次の製品 - 250 Series Smart Switches - 350 Series Managed Switches - 350X Series Stackable Managed Switches - 550X Series Stackable Managed Switches 1.4.11.4 より前のファームウエアが稼働する次の製品 - 200 Series Smart Switches - 300 Series Managed Switches - 500 Series Stackable Managed Switches 1.3.7.18 より前のファームウエアが稼働する次の製品 - 200 Series Smart Switches - 300 Series Managed Switches - 500 Series Stackable Managed Switches この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Webex Meetings Suite and Cisco Webex Meetings Online Unauthenticated Meeting Join Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200124-webex-unauthjoin Cisco Security Advisory Cisco Small Business Switches Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smlbus-switch-dos-R6VquS2u Cisco Security Advisory Cisco Small Business Switches Information Disclosure Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200129-smlbus-switch-disclos 【4】複数の Intel 製品に脆弱性 情報源 Japan Vulnerability Notes JVNVU#97139173 Intel 製 CPU の投機的実行機能に対するサイドチャネル攻撃 (Vector Register Sampling、L1D Eviction Sampling) https://jvn.jp/vu/JVNVU97139173/ 概要 複数の Intel 製品には、脆弱性があります。結果として、第三者がサイドチャ ネル攻撃によってベクトルレジスタ値や L1 データキャッシュの値を推測する 可能性があります。 影響を受ける製品は多岐に渡ります。対象製品の詳細は、Intel が提供するア ドバイザリ情報を参照してください。 関連文書 (英語) Intel Intel Processors Data Leakage Advisory https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00329.html Intel IPAS: INTEL-SA-00329 https://blogs.intel.com/technology/2020/01/ipas-intel-sa-00329/#gs.viev5k Intel Vector Register Sampling / CVE-2020-0548 / INTEL-SA-00329 https://software.intel.com/security-software-guidance/software-guidance/vector-register-sampling Intel L1D Eviction Sampling / CVE-2020-0549 / INTEL-SA-00329 https://software.intel.com/security-software-guidance/software-guidance/l1d-eviction-sampling Intel Microcode Update Guidance https://www.intel.com/content/dam/www/public/us/en/security-advisory/documents/sa00329-microcode-update-guidance.pdf 【5】OpenSMTPD に権限昇格と任意コード実行の脆弱性 情報源 CERT/CC Vulnerability Note VU#390745 OpenSMTPD vulnerable to local privilege escalation and remote code execution https://kb.cert.org/vuls/id/390745/ 概要 OpenSMTPD には、脆弱性があります。結果として、遠隔の第三者が任意のコー ドを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - OpenSMTPD 6.4.0 から 6.6.1 までのバージョン この問題は、OpenSMTPD を開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90495537 OpenSMTPD に権限昇格と任意コード実行の脆弱性 https://jvn.jp/vu/JVNVU90495537/ 関連文書 (英語) US-CERT Current Activity OpenSMTPD Vulnerability https://www.us-cert.gov/ncas/current-activity/2020/02/03/opensmtpd-vulnerability 【6】Android アプリ「MyPallete」にサーバ証明書検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#28845872 Android アプリ「MyPallete」におけるサーバ証明書検証不備の脆弱性 https://jvn.jp/jp/JVN28845872/ 概要 株式会社 NTTデータが提供する Android アプリ「MyPallete」には、サーバ証 明書の検証不備の脆弱性があります。結果として、遠隔の第三者が中間者攻撃 によって暗号通信の盗聴を行うなどの可能性があります。 対象となる製品は次のとおりです。 - Android アプリ「MyPallete」 - 「MyPallete」を使用して作成されている一部の金融機関の Android アプリ この問題は、該当する製品を株式会社 NTTデータや各金融機関が提供する修正 済みのバージョンに更新することで解決します。詳細は、株式会社 NTTデータ や各金融機関が提供する情報を参照してください。 関連文書 (日本語) 株式会社 NTTデータ Androidアプリ「My Pallete」におけるSSL通信時の脆弱性に関するお知らせ http://www.dokodemobank.ne.jp/info_20200128_bankingapp.html 株式会社足利銀行 あしぎんアプリにおけるSSL通信時の脆弱性に関するお知らせ https://www.ashikagabank.co.jp/appbanking/pdf/oshirase.pdf 株式会社池田泉州銀行 当行バンキングアプリにおける脆弱性に関するお知らせ https://www.sihd-bk.jp/common_v2/pdf/20200127.pdf 株式会社四国銀行 四国銀行アプリにおけるSSL通信時の複数の脆弱性に関するお知らせ https://www.shikokubank.co.jp/info/apps20200128.html 株式会社東北銀行 とうぎんアプリにおけるSSL通信時の複数の脆弱性に関するお知らせ https://www.tohoku-bank.co.jp/news/topics/200128_applissl.html 株式会社長野銀行 ながぎんアプリにおけるSSL通信時の複数の脆弱性に関するお知らせ https://www.naganobank.co.jp/soshiki/2/app-ssl.html 株式会社七十七銀行 【重要】七十七銀行アプリにおける脆弱性に関するお知らせ https://www.77bank.co.jp/pdf/oshirase/20012801_appvulnerability.pdf 株式会社北海道銀行 『どうぎんアプリ』における SSL 通信時の脆弱性の修正に関するお知らせ https://www.hokkaidobank.co.jp/common/dat/2020/0120/15795047141946146699.pdf 株式会社北陸銀行 『北陸銀行ポータルアプリ』におけるSSL通信時の脆弱性の修正に関するお知らせ https://www.hokugin.co.jp/info/archives/personal/2020/1913.html 【7】スマートフォンアプリ「AWMS Mobile」にサーバ証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#00014057 スマートフォンアプリ「AWMS Mobile」におけるサーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN00014057/ 概要 富士ゼロックス株式会社が提供するスマートフォンアプリ「AWMS Mobile」に は、サーバ証明書の検証不備の脆弱性があります。結果として、遠隔の第三者 が中間者攻撃によって暗号通信の盗聴を行うなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iOS アプリ「AWMS Mobile」 2.0.0 から 2.0.8 までのバージョン - Android アプリ「AWMS Mobile」 2.0.0 から 2.0.5 までのバージョン この問題は、該当する製品を富士ゼロックス株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、富士ゼロックス株式会社が提供 する情報を参照してください。 関連文書 (日本語) 富士ゼロックス株式会社 AWMS Mobile における証明書検証不備およびホスト名検証不備の脆弱性について https://www.fujixerox.co.jp/support/software/aw_manage_suite/contents/awms2_notice01 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○警察庁が「複数のIoT機器等の脆弱性を標的としたアクセスの増加等について」を公開 警察庁は 2020年1月30日、「複数のIoT機器等の脆弱性を標的としたアクセス の増加等について」と題したレポートを公開しました。2019年11月以降から、 複数の IoT 機器の脆弱性を標的としたアクセスの増加が観測されており、Mirai 亜種の感染を狙った11種類のアクセスなどの観測状況をまとめています。 参考文献 (日本語) 警察庁 複数のIoT機器等の脆弱性を標的としたアクセスの増加等について https://www.npa.go.jp/cyberpolice/detect/pdf/20200130.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJeOgreAAoJEKntH+qu5CT/D9oP/0giIOICJizXvDItbe13my7q VSl+EtSwjalrrJKsVabB1BjRkp41zGisQQV0AU7txx92Uua6pP55SFdKl6Zqtjk8 7gR13OYVygI4uMRnCbllnnSDiGJ3TmjP2iymTdw2mCxgFpK5ZmNL95u53wWbuQQN M2wY86cyjDK4mmC4dJq1kwk2mhPzLf4yGC8A+mdfjE3pTByUnJVJG0xqK81Dzj/+ rp0uh3qWJrOBJvyXTt71sa6JDjhAtj/GPPHNSX0/faolecNhYv0WYqSaB4U8PM3D u08lrFivfBDnPuF2Gcdh4INjPIwgc5Jh3A/m5lh3pjsqR4Gy3x07BqsTYtR/W4n2 jm7BJFoMaeE57BbnrucbklUG+nVAgoRUXxmG5tZ3wqGdtwA4B1bvxKkJlL84TdU2 vdWPwiLiw3PQNKCic+JZNG6LPFwNGS2e5OzXpJy+zCgJow0iBsCh3Bm2XF4MeXz3 tOfGX3EBthoiuqQgY0nqjcqRhpLA8fAL3eiGMOHmyqPQQdgZ8dy8Yk0LU6wxWA5+ K1Fjvd3biiS2xdP21tmNUiZ3Y8CL5DWL2veuNCFrEJfpdY6KX+sXBstNALTVIKT0 GWhBGqaXzq6QzH2lf2+Qf+6EHDm5Nn5F2DTtlLPCOu9N+7SrOxu3LG+XIRX9R0sQ DEA7C7Q8dqTgFco6EkJJ =ITZm -----END PGP SIGNATURE-----