-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-1001 JPCERT/CC 2020-03-11 <<< JPCERT/CC WEEKLY REPORT 2020-03-11 >>> ―――――――――――――――――――――――――――――――――――――― ■03/01(日)〜03/07(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chrome に脆弱性 【2】複数の Cisco 製品に脆弱性 【3】pppd にバッファオーバーフローの脆弱性 【4】オムロン製 PLC CJ シリーズにリソース枯渇の脆弱性 【5】GRANDIT にセッション管理不備の脆弱性 【6】OpenBlocks IoT VX2 に複数の脆弱性 【7】ManageEngine Desktop Central に任意のコード実行の脆弱性 【今週のひとくちメモ】NISC が「サイバーセキュリティ関係法令Q&Aハンドブック」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr201001.html https://www.jpcert.or.jp/wr/2020/wr201001.xml ============================================================================ 【1】Google Chrome に脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2020/03/04/google-releases-security-updates-chrome 概要 Google Chrome には、脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 80.0.3987.132 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/03/stable-channel-update-for-desktop.html 【2】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2020/03/05/cisco-releases-security-updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 影響度 High の脆弱性情報の対象となる製品は次のとおりです。 - Cisco Intelligent Proximity application - Cisco Jabber - Cisco Webex Teams - Cisco Meeting App - Cisco Webex Meetings - Cisco Webex Meetings Online - Cisco Webex Meetings Server - Cisco Prime Network Registrar ※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、 影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が 提供する情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す る情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Intelligent Proximity SSL Certificate Validation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-proximity-ssl-cert-gBBu3RB Cisco Security Advisory Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player Cisco Security Advisory Cisco Prime Network Registrar Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cpnr-csrf-WWTrDkyL 【3】pppd にバッファオーバーフローの脆弱性 情報源 Vulnerability Note VU#782301 pppd vulnerable to buffer overflow due to a flaw in EAP packet processing https://www.kb.cert.org/vuls/id/782301/ 概要 pppd (Point to Point Protocol Daemon) には、バッファオーバーフローの脆 弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは次のとおりです。 - pppd 2.4.2 から 2.4.8 までのバージョン この問題は、pppd を開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99700555 pppd におけるバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU99700555/ 関連文書 (英語) US-CERT Current Activity Point-to-Point Protocol Daemon Vulnerability https://www.us-cert.gov/ncas/current-activity/2020/03/05/point-point-protocol-daemon-vulnerability paulusmack/ppp pppd: Fix bounds check in EAP code https://github.com/paulusmack/ppp/commit/8d7970b8f3db727fe798b65f3377fe6787575426 lwIP PPP, EAP: fix bounds check in EAP code https://git.savannah.nongnu.org/cgit/lwip.git/commit/src/netif/ppp/eap.c?id=2ee3cbe69c6d2805e64e7cac2a1c1706e49ffd86 【4】オムロン製 PLC CJ シリーズにリソース枯渇の脆弱性 情報源 ICS Advisory (ICSA-20-063-03) Omron PLC CJ Series https://www.us-cert.gov/ics/advisories/icsa-20-063-03 Japan Vulnerability Notes JVNVU#91000130 オムロン製 PLC CJ シリーズにおけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU91000130/ 概要 オムロン株式会社が提供する PLC CJ シリーズには、リソース枯渇の脆弱性が あります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う 可能性があります。 対象となるバージョンは次のとおりです。 - Omron PLC CJ シリーズの全てのバージョン 2020年3月11日現在、この問題に対する修正済みのバージョンは提供されてい ません。PLC CJ シリーズに回避策を適用することで影響を軽減できます。詳 細は、オムロン株式会社が提供する情報を参照してください。 関連文書 (日本語) オムロン株式会社 弊社PLC(CJシリーズCPU)に対する外部機関からの脆弱性指摘について http://www.omron-cxone.com/security/2020-02-28_PLC_JP.pdf 【5】GRANDIT にセッション管理不備の脆弱性 情報源 Japan Vulnerability Notes JVN#73472345 GRANDIT におけるセッション管理不備の脆弱性 http://jvn.jp/jp/JVN73472345/ 概要 GRANDIT株式会社が提供する GRANDIT には、セッション管理不備の脆弱性があ ります。結果として、遠隔の第三者が、情報を窃取したり、情報を改ざんした りするなどの可能性があります。 対象となるバージョンは次のとおりです。 - GRANDIT Ver.3.0 - GRANDIT Ver.2.3 - GRANDIT Ver.2.2 - GRANDIT Ver.2.1 - GRANDIT Ver.2.0 - GRANDIT Ver.1.6 この問題は、GRANDIT を GRANDIT株式会社が提供する修正済みのバージョンに 更新することで解決します。詳細は、GRANDIT 株式会社が提供する情報を参照 してください。 関連文書 (日本語) GRANDIT株式会社 GRANDITにおけるセッション管理不備の脆弱性について https://www.grandit.jp/etc/20200228_letter.pdf 【6】OpenBlocks IoT VX2 に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#19666251 OpenBlocks IoT VX2 における複数の脆弱性 https://jvn.jp/jp/JVN19666251/ 概要 OpenBlocks IoT VX2 には、複数の脆弱性があります。結果として、第三者が、 機器を初期化したり、任意のコマンドを実行したりするなどの可能性がありま す。 対象となるバージョンは次のとおりです。 - OpenBlocks IoT VX2 Ver.4.0.0 より前のバージョン この問題は、OpenBlocks IoT VX2 をぷらっとホーム株式会社が提供する修正 済みのバージョンに更新することで解決します。詳細は、ぷらっとホーム株式 会社が提供する情報を参照してください。 関連文書 (日本語) ぷらっとホーム株式会社 OpenBlocks IoT VX2 ソフトウェアリリース情報|FW4.0.0 https://www.plathome.co.jp/software/vx2-v4-0-0/ 【7】ManageEngine Desktop Central に任意のコード実行の脆弱性 情報源 US-CERT Current Activity Zoho Releases Security Update on ManageEngine Desktop Central https://www.us-cert.gov/ncas/current-activity/2020/03/06/zoho-releases-security-update-manageengine-desktop-central 概要 ManageEngine Desktop Central には、遠隔の第三者が任意のコードを実行可 能な脆弱性があります。 対象となるバージョンは次のとおりです。 - ManageEngine Desktop Central 10.0.473 およびそれ以前 この問題は、ManageEngine Desktop Central を Zoho が提供する修正済みの バージョンに更新することで解決します。詳細は、Zoho が提供する情報を参 照してください。 関連文書 (英語) Zoho ManageEngine Desktop Central remote code execution vulnerability (CVE-2020-10189) https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NISC が「サイバーセキュリティ関係法令Q&Aハンドブック」を公開 2020年3月2日、内閣サイバーセキュリティセンター (NISC) は、サイバーセキュ リティ対策において参照すべき関係法令を解説する「サイバーセキュリティ関 係法令Q&Aハンドブック」を公開しました。企業におけるサイバーセキュリティ 対策やインシデント対応に関する法令上の事項や、情報の取扱いに関する法的 課題等をわかりやすくまとめたとのことです。法令上の課題解決や疑問点の解 消にご活用ください。 参考文献 (日本語) 内閣サイバーセキュリティセンター (NISC) 「サイバーセキュリティ関係法令Q&Aハンドブック 」について https://www.nisc.go.jp/security-site/law_handbook/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJeaHQfAAoJEKntH+qu5CT/8bcP/0xZuPd43+x0yyjC5CQ/JYRv J90oznUhP7vQrI3tOQuOoYtLlTKZ+ecHDPvJoBcIRQPhCtaLkKSeHUYxDTWAOTFV Uj7G4h9223eO79pXY6ql/AzXrwslRhbZyy1+CsS27PQTdAf5sXcDuf1Wjur+5APO /xqqDQjNuidhdc3uk06jDmOd+RzFt5fhGPF4dRckhWsi/E7Axnnqwr8v6cZt4KTr owZ6sRYvuQugqya0RWUPD4NFHXMReiHDsbi7gTGD4Mhyb3pgeduxUUAl/rgzcAiI Esp8jK251KJrI5kUUcM286p5iMPPymbAgWu00gidmg4mlO/4E9wXuDMiImERVFp/ 9wjOF4BWNmWdONpq4WZlIXmQlpQozGqwiB+qMZlDMCgHUqIyku2KhGpdJQabKWGr BYYxSwy+eyFA/MQu85986qZJF2yyLy5oKfVhXbytpNVTgQdEY0cr6dSy/FyvAin4 R2H+f3PNFOiW3ubuIuujuVjq1pyatie0xvaJKhySAl8P6yOjErsiQ9lGZDENrgdE yEEkSJng1l6H8RESQ5JUA6FX3+cX+6DK9l2n5DfIQhG+JvHkGN+YTvcH2wqZCIGt j86RcGzlqKslcYj8zncBCDt1oY6+oGDrLuhRsC7rHibEIpeUmo3X3OQXB3zgf/xw f0M5Bt9tPJMPSlwXkyQ/ =Z+kJ -----END PGP SIGNATURE-----