<<< JPCERT/CC WEEKLY REPORT 2018-08-15 >>>
■08/05(日)〜08/11(土) のセキュリティ関連情報
目 次
【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
【2】Linux カーネルおよび FreeBSD にサービス運用妨害 (DoS) の脆弱性
【3】Mozilla Thunderbird に複数の脆弱性
【4】VMware Horizon に領域外メモリ参照が可能な脆弱性
【5】アイ・オー・データ機器製のネットワークカメラに複数の脆弱性
【6】アタッシェケースにディレクトリトラバーサルの脆弱性
【7】EC-CUBE 用追加モジュールに複数の脆弱性
【今週のひとくちメモ】「工場における産業用IoT導入のためのセキュリティ ファーストステップ」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr183101.txt
https://www.jpcert.or.jp/wr/2018/wr183101.xml
【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
情報源
US-CERT Current Activity
ISC Releases Security Advisory for BIND
https://www.us-cert.gov/ncas/current-activity/2018/08/08/ISC-Releases-Security-Advisory-BINDJapan Vulnerability Notes JVNVU#91290141
ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU91290141/
概要
ISC BIND 9 には、"deny-answer-aliases" を有効にしている場合に、アサー ションが失敗する脆弱性があります。結果として、遠隔の第三者がサービス運 用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - BIND 9 version 9.9.0 から 9.9.13 - BIND 9 version 9.10.0 から 9.10.8 - BIND 9 version 9.11.0 から 9.11.4 - BIND 9 version 9.12.0 から 9.12.2 なお、すでにサポートが終了している BIND 9.7 系および 9.8 系についても、 本脆弱性の影響を受けるとのことです。 この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、ISC が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2018-5740) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180031.html株式会社日本レジストリサービス(JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5740)
https://jprs.jp/tech/security/2018-08-09-bind9-vuln-deny-answer-aliases.html
関連文書 (英語)
ISC Knowledge Base
CVE-2018-5740: A flaw in the "deny-answer-aliases" feature can cause an assertion failure in named
https://kb.isc.org/article/AA-01639
【2】Linux カーネルおよび FreeBSD にサービス運用妨害 (DoS) の脆弱性
情報源
CERT/CC Vulnerability Note VU#962459
TCP implementations vulnerable to Denial of Service
https://www.kb.cert.org/vuls/id/962459
概要
Linux カーネルおよび FreeBSD には、遠隔の第三者が細工したパケットを送 信することで、サービス運用妨害 (DoS) 攻撃が実行可能な脆弱性があります。 対象となる製品およびバージョンは次のとおりです。 - Linux カーネル version 4.9 およびそれ以降のバージョン - FreeBSD バージョン 11, 11.1, 11.2, 10 および 10.4 この問題は、Linux カーネルおよび FreeBSD を各ベンダが提供する修正済み のバージョンに更新することで解決します。詳細は、各ベンダが提供する情報 を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91510483
複数の TCP 実装にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU91510483/
関連文書 (英語)
US-CERT Current Activity
Linux Kernel Vulnerability
https://www.us-cert.gov/ncas/current-activity/2018/08/06/Linux-Kernel-Vulnerability
【3】Mozilla Thunderbird に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2018/08/06/Mozilla-Releases-Security-Update-Thunderbird
概要
Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第 三者が Mozilla Thunderbird を異常終了させるなどの可能性があります。 対象となるバージョンは次のとおりです。 - Mozilla Thunderbird 60 より前のバージョン この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。
関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Thunderbird 60
https://www.mozilla.org/en-US/security/advisories/mfsa2018-19/
【4】VMware Horizon に領域外メモリ参照が可能な脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/08/07/VMware-Releases-Security-Updates
概要
VMware Horizon には、領域外のメモリ参照が可能な脆弱性があります。結果 として、第三者がシステム上の特権が必要な情報を参照する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware Horizon 6.2.7 より前のバージョン (Windows 版) - VMware Horizon 7.5.1 より前のバージョン (Windows 版) - VMware Horizon Client for Windows 4.8.1 より前のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2018-0019
https://www.vmware.com/security/advisories/VMSA-2018-0019.html
【5】アイ・オー・データ機器製のネットワークカメラに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#83701666
アイ・オー・データ機器製の複数のネットワークカメラ製品に複数の脆弱性
https://jvn.jp/jp/JVN83701666/
概要
アイ・オー・データ機器製のネットワークカメラ製品には、複数の脆弱性があ ります。結果として、遠隔の第三者が、任意の OS コマンドを実行するなどの 可能性があります。 対象となる製品およびバージョンは次のとおりです。 - TS-WRLP ファームウェア Ver.1.09.04 およびそれ以前 - TS-WRLA ファームウェア Ver.1.09.04 およびそれ以前 - TS-WRLP/E ファームウェア Ver.1.09.04 およびそれ以前 この問題は、該当する製品のファームウェアを、株式会社アイ・オー・データ 機器が提供する修正済みのバージョンに更新することで解決します。詳細は、 株式会社アイ・オー・データ機器が提供する情報を参照してください。
関連文書 (日本語)
株式会社アイ・オー・データ機器
弊社ネットワークカメラにおける複数の脆弱性について
http://www.iodata.jp/support/information/2018/ts-wrlp/
【6】アタッシェケースにディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#62121133
アタッシェケースにおける複数のディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN62121133/
概要
HiBARA Software が提供するアタッシェケースには、ディレクトリトラバーサ ルの脆弱性があります。結果として、第三者が、細工した ATC ファイルをユー ザに復号させることで、任意のファイルを作成したり、上書きしたりする可能 性があります。 対象となるバージョンは次のとおりです。 - アタッシェケース ver.2.8.3.0 およびそれ以前 - アタッシェケース ver.3.2.3.0 およびそれ以前 この問題は、アタッシェケースを HiBARA Software が提供する修正済みのバー ジョンに更新することで解決します。詳細は、HiBARA Software が提供する情 報を参照してください。
関連文書 (日本語)
HiBARA Software
2018/08/05 - 複数のディレクトリトラバーサルの脆弱性
https://hibara.org/software/attachecase/vulnerability/#directory-traversal-2
【7】EC-CUBE 用追加モジュールに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#06372244
EC-CUBEペイメント決済モジュールおよび EC-CUBE用 GMO-PG決済モジュール (PGマルチペイメントサービス) における複数の脆弱性
https://jvn.jp/jp/JVN06372244/
概要
GMOペイメントゲートウェイ株式会社が EC-CUBE の追加モジュールとして提供 する EC-CUBEペイメント決済モジュールおよび EC-CUBE用 GMO-PG決済モジュー ル (PGマルチペイメントサービス) には、複数の脆弱性があります。結果とし て、遠隔の第三者が、EC-CUBE 管理画面にログインしているユーザのブラウザ 上で任意のスクリプトを実行するなどの可能性があります。 対象となるモジュールおよびバージョンは次のとおりです。 - EC-CUBEペイメント決済モジュール (2.12系) バージョン 3.5.23 およびそれ以前 - EC-CUBEペイメント決済モジュール (2.11系) バージョン 2.3.17 およびそれ以前 - GMO-PG決済モジュール (PGマルチペイメントサービス) (2.12系) バージョン 3.5.23 およびそれ以前 - GMO-PG決済モジュール (PGマルチペイメントサービス) (2.11系) バージョン 2.3.17 およびそれ以前 この問題は、該当するモジュールを GMOペイメントゲートウェイ株式会社が提 供する修正済みのバージョンに更新することで解決します。詳細は、GMOペイ メントゲートウェイ株式会社が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes
GMOペイメントゲートウェイ株式会社からの情報
https://jvn.jp/jp/JVN06372244/996220/
■今週のひとくちメモ
○「工場における産業用IoT導入のためのセキュリティ ファーストステップ」を公開
2018年8月9日、JPCERT/CC は、産業用 IoT を導入する中小の製造業者向けに 「工場における産業用IoT導入のためのセキュリティ ファーストステップ」を 公開しました。産業界での IoT の活用が進むにつれ、IoT デバイス自体が狙 われるサイバー攻撃が増えてきています。 産業用 IoT の導入を検討されている組織はぜひご一読ください。
参考文献 (日本語)
JPCERT/CC
工場における産業用IoT導入のためのセキュリティ ファーストステップ
https://www.jpcert.or.jp/ics/information06.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/