-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-4401 JPCERT/CC 2020-11-11 <<< JPCERT/CC WEEKLY REPORT 2020-11-11 >>> ―――――――――――――――――――――――――――――――――――――― ■11/01(日)〜11/07(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chrome に複数の脆弱性 【2】複数の Apple 製品に脆弱性 【3】Adobe Acrobat および Reader に複数の脆弱性 【4】複数の Cisco 製品に脆弱性 【5】サイボウズ Garoon に不適切な入力確認の脆弱性 【6】三菱電機製 GOT1000 シリーズ GT14 モデルに複数の脆弱性 【7】XOOPS 用モジュール XooNIps に複数の脆弱性 【8】スマートフォンアプリ「Studyplus(スタディプラス)」 に外部サービスの API キーがハードコードされている問題 【今週のひとくちメモ】JPCERT/CC がイベントログ分析支援ツール「LogonTracer v1.5.0」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr204401.html https://www.jpcert.or.jp/wr/2020/wr204401.xml ============================================================================ 【1】Google Chrome に複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome, CVE-2020-16009 https://us-cert.cisa.gov/ncas/current-activity/2020/11/03/google-releases-security-updates-chrome-cve-2020-16009 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 86.0.4240.183 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop.html 【2】複数の Apple 製品に脆弱性 情報源 CISA Current Activity Apple Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2020/11/06/apple-releases-security-updates-multiple-products Japan Vulnerability Notes JVNVU#99462952 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU99462952/ 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細は Apple が提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Apple Apple セキュリティアップデート https://support.apple.com/ja-jp/HT201222 【3】Adobe Acrobat および Reader に複数の脆弱性 情報源 CISA Current Activity Adobe Releases Security Updates for Acrobat and Reader https://us-cert.cisa.gov/ncas/current-activity/2020/11/04/adobe-releases-security-updates-acrobat-and-reader 概要 Adobe Acrobat および Reader には、複数の脆弱性があります。第三者が任意 コードの実行をするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Acrobat DC Continuous (2020.012.20048) およびそれ以前 (Windows, macOS) - Adobe Acrobat Reader DC Continuous (2020.012.20048) およびそれ以前 (Windows, macOS) - Adobe Acrobat 2020 Classic 2020 (2020.001.30005) およびそれ以前 (Windows, macOS) - Adobe Acrobat Reader 2020 Classic 2020 (2020.001.30005) およびそれ以前 (Windows, macOS) - Adobe Acrobat 2017 Classic 2017 (2017.011.30175) およびそれ以前 (Windows, macOS) - Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30175) およびそれ以前 (Windows, macOS) この問題は、Adobe Acrobat および Reader を Adobe が提供する修正済みの バージョンに更新することで解決します。詳細は、Adobe が提供する情報を 参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 Adobe Acrobat および Reader の脆弱性 (APSB20-67) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200041.html Adobe Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-67 https://helpx.adobe.com/jp/security/products/acrobat/apsb20-67.html 【4】複数の Cisco 製品に脆弱性 情報源 CISA Current Activity Cisco Releases Security Updates for Multiple Products https://us-cert.cisa.gov/ncas/current-activity/2020/11/05/cisco-releases-security-updates-multiple-products 概要 複数の Cisco 製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は、多岐に渡ります。詳細は Cisco が提供するアドバイザリ 情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories https://tools.cisco.com/security/center/publicationListing.x 【5】サイボウズ Garoon に不適切な入力確認の脆弱性 情報源 Japan Vulnerability Notes JVN#57942454 サイボウズ Garoon における不適切な入力確認の脆弱性 https://jvn.jp/jp/JVN57942454/ 概要 サイボウズ株式会社が提供するサイボウズ Garoon には、不適切な入力確認の 脆弱性があります。結果として、当該製品にログイン可能なユーザが掲示板に 関するデータの一部を削除するなどの可能性があります。 対象となるバージョンは次のとおりです。 - サイボウズ Garoon 5.0.0 から 5.0.2 まで この問題は、サイボウズ Garoon をバージョン 5.0.2 に更新後、サイボウズが 提供するパッチを適用することで解決します。詳細は、サイボウズが提供する 情報を参照してください。 関連文書 (日本語) サイボウズ株式会社 「 Garoon 5.0.2 向け パッチプログラム 」 リリースのお知らせ https://cs.cybozu.co.jp/2020/007275.html 【6】三菱電機製 GOT1000 シリーズ GT14 モデルに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#99562395 三菱電機製 GOT1000 シリーズ GT14 モデルにおける複数の脆弱性 https://jvn.jp/vu/JVNVU99562395/ 概要 三菱電機株式会社が提供する GOT1000 シリーズ GT14 モデルの TCP/IP スタッ クには、複数の脆弱性があります。結果として、第三者が細工したパケットを 送信することで、当該製品のネットワーク機能を停止したり、悪意あるプログ ラムを実行したりする可能性があります。 対象となる製品およびバージョンは次のとおりです。 下記製品の CoreOS バージョン 05.65.00.BD およびそれ以前 - GT1455-QTBDE - GT1450-QMBDE - GT1450-QLBDE - GT1455HS-QTBDE - GT1450HS-QMBDE この問題は、CoreOS を三菱電機株式会社が提供する修正済みのバージョンに 更新することで解決します。詳細は、三菱電機株式会社が提供する情報を参照 してください。 関連文書 (日本語) 三菱電機株式会社 GOT1000シリーズGT14モデルのTCP/IPスタックにおける複数の脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-014.pdf 【7】XOOPS 用モジュール XooNIps に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#92053563 XOOPS 用モジュール XooNIps における複数の脆弱性 https://jvn.jp/vu/JVNVU92053563/ 概要 理化学研究所 脳神経科学研究センター 統合計算脳科学連携部門 神経情報基 盤開発ユニットが提供する XOOPS 用モジュール XooNIps には、複数の脆弱性 があります。結果として、当該製品にログイン済みのユーザが、信頼できない データをデシリアライズし、任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - XooNIps 3.49 およびそれ以前 この問題は、XooNIps を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) 理化学研究所 脳神経科学研究センター 統合計算脳科学連携部門 神経情報基盤開発ユニット XooNIps 3.50 リリースのお知らせ https://xoonips.osdn.jp/modules/news/index.php?page=article&storyid=13 【8】スマートフォンアプリ「Studyplus(スタディプラス)」 に外部サービスの API キーがハードコードされている問題 情報源 Japan Vulnerability Notes JVN#00414047 スマートフォンアプリ「Studyplus(スタディプラス)」に外部サービスの API キーがハードコードされている問題 https://jvn.jp/jp/JVN00414047/ 概要 スタディプラス株式会社が提供するスマートフォンアプリ「Studyplus(スタディ プラス)」には、外部サービスの API キーがハードコードされている問題があ ります。結果として、第三者がアプリ内のデータを解析し、外部サービスと連 携するための API キーを不正に窃取する可能性があります。 対象となるバージョンは次のとおりです。 - Android アプリ「Studyplus(スタディプラス)」 v6.3.7 およびそれ以前 - iOS アプリ「Studyplus(スタディプラス)」 v8.29.0 およびそれ以前 この問題は、開発者によって修正されており、開発者は最新のバージョンに更 新することを推奨しています。詳細は、開発者が提供する情報を参照してくだ さい。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CC がイベントログ分析支援ツール「LogonTracer v1.5.0」を公開 2020年10月29日、JPCERT/CC は、イベントログの分析をサポートするツール 「LogonTracer」の最新版バージョン 1.5 をリリースしました。今回のアップ デートでは、Elasticsearch との連携によるリアルタイムイベントログ分析機 能を追加しました。 参考文献 (日本語) JPCERT/CC Eyes LogonTracer v1.5 リリース https://blogs.jpcert.or.jp/ja/2020/10/logontracer-1_5.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJfqyTXAAoJEKntH+qu5CT/qHEP/jCc34pmyaFEUi/B3zwwVzAY SyfJ2UXFvqdUPMGq3vTzMz/029R8yPWQxIReDEEFgsUo37GQsxLgk/5e0EQEfjkV k5el0yYygBFpn68aNA9uP9jXKVMjCUZhCEMBRuiJDedkW7XCcmafA2CJyv4fqiGF dnZrv5QP6p1CYPGXWsJYQvxN/K+cuEdav17hnJMBThDYrt2WUTjelaZXm1dEMDP1 a/S16YlWOyl5J5GfnXiP7PMHkytPVEcYVzDUd2anbHmRbkt5MoaU03LVgzsyJ9FE eQgmqQc8tiLqK8Nqv/EenQ7hkSX9uAq0IC9phJYbqjZd6ILdIkEQfBXeOUQIGz3r ehTPsyvfFjqiI0HLDZOYYRYIIrsYUa/YSQkUR5V0FLBRoVBLUAp8Sq+0jXTw/8NE yaI8n+KsWdmwrGlM34NMPo4UX/JNcgmtoDoHfsSXcpllcBzeQ/FI45lHbhwJtYyZ tzp017gFc8Q/2dASsnXwSHFg3Mh9YE3E8XhfqP0ehtmLheJgxZokM3bG1jZ4TbQc ewjGeeRXA/E3CE/xQicVUTzMSgfEqZZyfkjqr6e762pNnUwjdqG8BZE32M8Tz4dI RNpJw84xo3ajgJQSJFrA9vQI0p6PuQ0IeDkOetTHqH/sc5J6P4eXGYITbjk9W2eb efhI03lii3GVZmCExcMm =BtR+ -----END PGP SIGNATURE-----