<<< JPCERT/CC WEEKLY REPORT 2017-09-13 >>>
■09/03(日)〜09/09(土) のセキュリティ関連情報
目 次
【1】Apache Struts2 に複数の脆弱性
【2】CG-WLR300NM に複数の脆弱性
【今週のひとくちメモ】警察庁が「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr173501.txt
https://www.jpcert.or.jp/wr/2017/wr173501.xml
【1】Apache Struts2 に複数の脆弱性
情報源
US-CERT Current Activity
Apache Software Foundation Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/09/06/Apache-Software-Foundation-Releases-Security-Update
概要
Apache Struts2 には、複数の脆弱性があります。結果として、遠隔の第三者 が、細工したリクエストを送信することで、任意のコードを実行するなどの可 能性があります。 対象となるバージョンは次のとおりです。 - Apache Struts 2.0.1 から Apache Struts 2.3.33 まで - Apache Struts 2.5 から Apache Struts 2.5.12 まで この問題は、Apache Struts を Apache Software Foundation が提供する修正 済みのバージョンに更新することで解決します。詳細は、Apache Software Foundation が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92761484
Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)
https://jvn.jp/vu/JVNVU92761484/JPCERT/CC Alert 2017-09-06
Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170033.html
関連文書 (英語)
Apache Software Foundation
S2-050
https://struts.apache.org/docs/s2-050.htmlApache Software Foundation
S2-051
https://struts.apache.org/docs/s2-051.htmlApache Software Foundation
S2-052
https://struts.apache.org/docs/s2-052.htmlApache Software Foundation
S2-053
https://struts.apache.org/docs/s2-053.html
【2】CG-WLR300NM に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#00719891
CG-WLR300NM における複数の脆弱性
https://jvn.jp/jp/JVN00719891/
概要
CG-WLR300NM には、複数の脆弱性があります。結果として、製品の管理画面に ログイン可能なユーザが任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - CG-WLR300NM ファームウエア 1.90 およびそれ以前 2017年9月13日現在、CG-WLR300NM のサポートは終了しています。CG-WLR300NM の使用を停止してください。詳細は、株式会社コレガが提供する情報を参照し てください。
関連文書 (日本語)
株式会社コレガ
CG-WLR300NMにおける複数の脆弱性について
http://www.corega.jp/support/security/20170908_wlr300nm.htm
■今週のひとくちメモ
○警察庁が「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開
2017年9月7日、警察庁は、「平成29年上半期におけるサイバー空間をめぐる脅 威の情勢等について」を公開しました。この文書では、サイバー攻撃やサイバー 犯罪の情勢および今後の取り組みがまとめられており、ランサムウエア 「WannaCrypt (WannaCry)」およびその亜種による感染活動が増加しているこ とや標的型メール攻撃の 9割以上が「ばらまき型」の攻撃であることなどが述 べられています。
参考文献 (日本語)
警察庁
平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/H29_kami_cyber_jousei.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/