<<< JPCERT/CC WEEKLY REPORT 2018-07-04 >>>
■06/24(日)〜06/30(土) のセキュリティ関連情報
目 次
【1】Mozilla Firefox に複数の脆弱性
【2】複数の VMware 製品に脆弱性
【3】Mailman にクロスサイトスクリプティングの脆弱性
【4】めもCGI にディレクトリトラバーサルの脆弱性
【5】IPA が「サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報」を公開
【今週のひとくちメモ】JPCERT/CC が「LinuxとWindowsを狙うマルウエアWellMess」に関する分析センターだよりを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr182501.txt
https://www.jpcert.or.jp/wr/2018/wr182501.xml
【1】Mozilla Firefox に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2018/06/26/Mozilla-Releases-Security-Updates-Firefox
概要
Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす るなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 61 より前のバージョン - Mozilla Firefox ESR 60.1 より前のバージョン - Mozilla Firefox ESR 52.9 より前のバージョン この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。
関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Firefox 61
https://www.mozilla.org/en-US/security/advisories/mfsa2018-15/Mozilla
Security vulnerabilities fixed in Firefox ESR 60.1
https://www.mozilla.org/en-US/security/advisories/mfsa2018-16/Mozilla
Security vulnerabilities fixed in Firefox ESR 52.9
https://www.mozilla.org/en-US/security/advisories/mfsa2018-17/
【2】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/06/30/VMware-Releases-Security-Updates
概要
複数の VMware 製品には、脆弱性があります。結果として、当該製品のユーザ が機微な情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware ESXi 6.7 - VMware Workstation 14.1.2 より前の 14 系のバージョン - VMware Fusion 10.1.2 より前の 10 系のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2018-0016
https://www.vmware.com/security/advisories/VMSA-2018-0016.html
【3】Mailman にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#00846677
Mailman におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN00846677/
概要
Mailman には、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者が任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Mailman 2.1.26 およびそれ以前 この問題は、Mailman を GNU Mailman が提供する修正済みのバージョンに更 新することで解決します。詳細は、GNU Mailman が提供する情報を参照してく ださい。
関連文書 (英語)
GNU Mailman
[Mailman-Announce] Mailman 2.1.27 released
https://mail.python.org/pipermail/mailman-announce/2018-June/000236.html
【4】めもCGI にディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#58362455
めもCGI におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN58362455/
概要
めもCGI には、ディレクトリトラバーサルの脆弱性があります。結果として、 遠隔の第三者がサーバ上のファイルを閲覧する可能性があります。 対象となるバージョンは次のとおりです。 - めもCGI v2.1800 から v2.2200 まで この問題は、めもCGI を ChamaNet が提供する修正済みのバージョンに更新す ることで解決します。詳細は、ChamaNet が提供する情報を参照してください。
関連文書 (日本語)
ChamaNet
めもCGI v2.23
http://www.chama.ne.jp/download/etc/memo/index.htm
【5】IPA が「サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報」を公開
情報源
IPA
サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報
https://www.ipa.go.jp/security/announce/sw_sevurity_info.html
概要
2018年6月27日、IPA が「サーバ用オープンソースソフトウェアに関する製品 情報およびセキュリティ情報」のページを公開いたしました。本ページには、 重要なセキュリティ情報に加え、日本で広く利用されているサーバ用オープン ソースソフトウェアの製品情報やセキュリティに関する情報が掲載されていま す。 本ページは、主にウェブサイト運営者、ウェブサイトを構築するシステム構築 事業者(SIer)および組織内のシステム管理者が活用することを想定していま す。定期的に本ページを参照し、利用しているソフトウェア製品の情報収集や セキュリティ対策にご活用ください。
■今週のひとくちメモ
○JPCERT/CC が「LinuxとWindowsを狙うマルウエアWellMess」に関する分析センターだよりを公開
2018年6月28日、JPCERT/CC は、分析センターだより「LinuxとWindowsを狙う マルウエアWellMess」を公開しました。WellMess は、Linux と Windows に対 応したマルウエアであり、日本の組織で感染している事例も確認されています。 今後も、このマルウエアを使った攻撃が行われる可能性があるため注意が必要 です。ぜひご一読いただき、セキュリティ対策にご活用ください。
参考文献 (日本語)
JPCERT/CC
LinuxとWindowsを狙うマルウエアWellMess(2018-06-28)
https://www.jpcert.or.jp/magazine/acreport-wellmess.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/