-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-4801 JPCERT/CC 2020-12-09 <<< JPCERT/CC WEEKLY REPORT 2020-12-09 >>> ―――――――――――――――――――――――――――――――――――――― ■11/29(日)〜12/05(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chrome に複数の脆弱性 【2】Mozilla Thunderbird にスタックオーバフローの脆弱性 【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性 【4】CentOS Linux 6サポート終了について 【5】desknet's NEO にクロスサイトスクリプティングの脆弱性 【6】Apple iCloud for Windows に複数の脆弱性 【7】ファイル・データ転送アプライアンス FileZen のアップデートについて 【8】EC-CUBE に複数の脆弱性 【9】三菱電機製 GOT およびテンションコントローラにサービス運用妨害 (DoS) の脆弱性 【今週のひとくちメモ】JPCERT/CC 「QuasarRAT analysis tools and research report」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr204801.html https://www.jpcert.or.jp/wr/2020/wr204801.xml ============================================================================ 【1】Google Chrome に複数の脆弱性 情報源 CISA Current Activity Google Releases Security Updates for Chrome https://us-cert.cisa.gov/ncas/current-activity/2020/12/04/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 87.0.4280.88 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/12/stable-channel-update-for-desktop.html 【2】Mozilla Thunderbird にスタックオーバフローの脆弱性 情報源 CISA Current Activity Mozilla Releases Security Update for Thunderbird https://us-cert.cisa.gov/ncas/current-activity/2020/12/02/mozilla-releases-security-update-thunderbird 概要 Mozilla Thunderbird には、スタックオーバフローの脆弱性があります。結果 として、第三者が影響を受けるシステムを制御する可能性があります。 対象となるバージョンは次のとおりです。 - Mozilla Thunderbird 78.5.1 より前のバージョン この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 関連文書 (英語) Mozilla Security Vulnerabilities fixed in Thunderbird 78.5.1 https://www.mozilla.org/en-US/security/advisories/mfsa2020-53/ 【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性 情報源 CISA Current Activity Apache Releases Security Advisory for Apache Tomcat https://us-cert.cisa.gov/ncas/current-activity/2020/12/04/apache-releases-security-advisory-apache-tomcat 概要 The Apache Software Foundation が提供する Apache Tomcat には、HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性があります。結果として、 他のリクエストにヘッダ値が引き継がれることにより情報漏えいが発生する可 能性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 10.0.0-M1 から 10.0.0-M9 まで - Apache Tomcat 9.0.0-M1 から 9.0.39 まで - Apache Tomcat 8.5.0 から 8.5.59 まで この問題は、Apache Tomcat を The Apache Software Foundation が提供する 修正済みのバージョンに更新することで解決します。詳細は Apache Software Foundation が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94251682 Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性 https://jvn.jp/vu/JVNVU94251682/ JPCERT/CC 注意喚起 Apache Tomcat の脆弱性 (CVE-2020-17527) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200045.html 関連文書 (英語) The Apache Software Foundation Fixed in Apache Tomcat 10.0.0-M10 https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10 The Apache Software Foundation Fixed in Apache Tomcat 9.0.40 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40 The Apache Software Foundation Fixed in Apache Tomcat 8.5.60 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60 【4】CentOS Linux 6サポート終了について 情報源 CentOS CentOS Community Newsletter, December 2020 (#2012) https://blog.centos.org/2020/12/centos-community-newsletter-december-2020-2012/ 概要 2020年12月1日 (米国時間)、The CentOS Project から CentOS 6 Linux のサ ポート終了について告知がありました。2020年11月30日をもって、当該製品の サポートが終了します。サポート終了後はマルウエアへの感染や情報漏えいな どの被害を受けやすくなります。当該製品を利用している場合、サポートが行 われているバージョンへの移行をお勧めします。 【5】desknet's NEO にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#42199826 desknet's NEO におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN42199826/ 概要 株式会社ネオジャパンが提供する desknet's NEO には、格納型のクロスサイ トスクリプティングの脆弱性があります。遠隔の第三者が、当該製品にログイン した状態のユーザのウェブブラウザ上で、任意のスクリプトを実行する可能性 があります。 対象となるバージョンは次のとおりです。 - desknet's NEO スモールライセンス V5.5 R1.5 およびそれ以前 - desknet's NEO エンタープライズライセンス V5.5 R1.5 およびそれ以前 この問題は、desknet's NEO を株式会社ネオジャパンが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社ネオジャパンが提供する情報 を参照してください。 関連文書 (日本語) desknet's NEO desknet'sNEO 製品におけるセキュリティ上の問題(クロスサイト・スクリプティング)について https://www.desknets.com/neo/support/mainte/9700/ 【6】Apple iCloud for Windows に複数の脆弱性 情報源 CISA Current Activity Apple Releases Security Updates for iCloud for Windows https://us-cert.cisa.gov/ncas/current-activity/2020/12/03/apple-releases-security-updates-icloud-windows 概要 Apple の iCloud for Windows には、複数の脆弱性があります。結果として、 第三者が任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - iCloud for Windows 11.5 より前のバージョン この問題は、iCloud for Windows を Apple が提供する修正済みのバージョン に更新することで解決します。詳細は、Apple が提供する情報を参照してくだ さい。 関連文書 (日本語) Apple Windows 用 iCloud 11.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT211935 Japan Vulnerability Notes JVNVU#92370378 Apple iCloud for Windows における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU92370378/ 【7】ファイル・データ転送アプライアンス FileZen のアップデートについて 情報源 株式会社ソリトンシステムズ 【重要】FileZen最新バージョンへのアップデートのお願い(V4.2.2以前) https://www.soliton.co.jp/support/2020/004274.html 概要 2020年12月2日、株式会社ソリトンシステムズからファイル・データ転送アプ ライアンス FileZen に対してアップデートを促す注意喚起が公開されました。 開発者は、FileZen を使用しているユーザーに対し、最新バージョンへの早急 なアップデートを呼びかけています。 対象となるバージョンは次のとおりです。 - FileZen V4.2.3 より前のバージョン 詳細は、株式会社ソリトンシステムズが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC 注意喚起 ファイル・データ転送アプライアンス FileZen に関する注意喚起 (公開) https://www.jpcert.or.jp/at/2020/at200044.html 【8】EC-CUBE に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#24457594 EC-CUBE における複数の脆弱性 https://jvn.jp/jp/JVN24457594/ 概要 EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行ったり、ユーザの意図しない操作を行ったりす る可能性があります。 対象となるバージョンは次のとおりです。 - EC-CUBE 3.0.0 から 3.0.18 までのバージョン この問題は、EC-CUBE を株式会社イーシーキューブが提供するパッチを適用す ることで解決します。詳細は、株式会社イーシーキューブが提供する情報を参 照してください。 関連文書 (日本語) 株式会社イーシーキューブ DoSの危険性(3.0系) https://www.ec-cube.net/info/weakness/weakness.php?id=76 株式会社イーシーキューブ クリックジャッキングの脆弱性(3.0系) https://www.ec-cube.net/info/weakness/weakness.php?id=75 【9】三菱電機製 GOT およびテンションコントローラにサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVNVU#99277775 三菱電機製 GOT およびテンションコントローラにおけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU99277775/ 概要 GOT2000 シリーズ GT21 モデルおよび GOT SIMPLE シリーズ GS21 モデル、テン ションコントローラには、サービス運用妨害 (DoS) の脆弱性があります。結 果として、遠隔の第三者が、細工したパケットを送信することで、サービス運 用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - GOT2000 シリーズ GT21 モデル GT2107-WTBD 全てのバージョン - GOT2000 シリーズ GT21 モデル GT2107-WTSD 全てのバージョン - GOT2000 シリーズ GT21 モデル GT2104-RTBD 全てのバージョン - GOT2000 シリーズ GT21 モデル GT2104-PMBD 全てのバージョン - GOT2000 シリーズ GT21 モデル GT2103-PMBD 全てのバージョン - GOT SIMPLE シリーズ GS21 モデル GS2110-WTBD 全てのバージョン - GOT SIMPLE シリーズ GS21 モデル GS2107-WTBD 全てのバージョン - LE7-40GU-L 全てのバージョン この問題は、該当する製品に次の回避策を適用することで脆弱性の影響を軽減 することが可能です。なお、開発者によると、本脆弱性に対応したバージョン を近日中にリリースする予定とのことです。 - 当該製品への接続は、信頼できるネットワークやホストからのアクセスに制限する 詳細は、三菱電機株式会社が提供する情報を参照してください。 関連文書 (日本語) 三菱電機株式会社 GOT及びテンションコントローラのTCP/IPスタックにおけるサービス拒否(DoS)の脆弱性 https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-017.pdf ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CC 「QuasarRAT analysis tools and research report」を公開 2020年12月2日 (米国時間)、JPCERT/CC は、GitHub にて 「QuasarRAT analysis tools and research report」を公開しました。QuasarRAT はオープ ンソースの RAT(Remote Administration Tool)で、多くの攻撃者に悪用され ていることが報告されています。本サイトでは、QuasarRAT および派生ソフト ウェアに関する解析レポートと解析に活用できるツールについて掲載していま す。 参考文献 (日本語) JPCERT/CC QuasarRAT analysis tools and research report https://github.com/JPCERTCC/QuasarRAT-Analysis ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJf0BF6AAoJEKntH+qu5CT/11UP/R9/rw/DIBHByHQ0Ducd2sjY kGql9l5E88tNfq5NVxVV5Dk2gyBpRZTkU7phc45lbyhCSyiFgme3XqQ1+LIlBdOh gmSELJ4qy3cwCst5ugswks5SxWgnoW2QuRCR0ydFuICcqRZhQzd8lNtRT90b5ZIZ 1fsccpzufejT4DwC4TFcep22XeImFw77UIu7pfJc67Coe/sHv6oSQrARhSUtR9ZJ 0gNTN+AfzYUra2lBn9RdjiysV7fN2caNDEwXSMPZvyXbbMcGhbr7SDTiVfnlt3nr vwlFMinQ8Oa4E2gzt5/ggPnkJhgAIC9UsH6vOmwzHArEKMGO051PO2s3oj0alGW/ /XcZx2QlhNFGsHM0VWLRL/Mjcofxap7r03goVouuJREpdBWrHr7Ofq1iiaU+xVNl bqLARakWTdDVkKsj8t2oIUJ4OTIyxOAeU8qldeFx0Cphkh+TMBXCtQVT9FIMQGh/ K24vEH4HXMZQFux8LoMkwRR9zPQK2i+FTMn8tK+CwIyV3LEzwcw+MAEPCiosZr9/ ZUVj9ylZDvyYdWUzoqaDBNBcVre/1HuPvEg1hIwM/dPOOamCiC2zhBtlLWwOIlZX zRznHCJlUbFqRqVFwMBtqcUULwE/X1SKI0j8LihapJ2iBpdcO49xTuIMs28kQFPu xScCRVcs4+2C/NZiByz5 =Z62X -----END PGP SIGNATURE-----