<<< JPCERT/CC WEEKLY REPORT 2017-11-29 >>>
■11/19(日)〜11/25(土) のセキュリティ関連情報
目 次
【1】複数の Intel 製品に脆弱性
【2】複数の Symantec 製品に脆弱性
【3】PWR-Q200 に DNS キャッシュポイズニングの脆弱性
【4】Media Go および Music Center for PC のインストーラに DLL 読み込みに関する脆弱性
【今週のひとくちメモ】CSA ジャパンが「クラウドコンピューティングのためのセキュリティガイダンス v4.0」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr174601.txt
https://www.jpcert.or.jp/wr/2017/wr174601.xml
【1】複数の Intel 製品に脆弱性
情報源
US-CERT Current Activity
Intel Firmware Vulnerability
https://www.us-cert.gov/ncas/current-activity/2017/11/21/Intel-Firmware-Vulnerability
概要
複数の Intel 製品には、脆弱性があります。結果として、第三者が、任意の コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可 能性があります。 対象となる製品は次のとおりです。 - 第 6、第 7、第 8 世代 Intel(R) Core(TM) プロセッサー・ファミリー - Intel(R) Xeon(R) プロセッサー E3-1200 v5 および v6 製品ファミリー - Intel(R) Xeon(R) プロセッサー・スケーラブル・ファミリー - Intel(R) Xeon(R) プロセッサー W ファミリー - Intel(R) Atom(R) C3000 プロセッサー・ファミリー - Apollo Lake Intel(R) Atom プロセッサー E3900 シリーズ - Apollo Lake Intel(R) Pentium(TM) - Celeron(TM) プロセッサー N および J シリーズ この問題は、該当する製品のファームウエアをベンダや配布元が提供する修正 済みのバージョンに更新することで解決します。詳細は、Intel が提供する情 報を参照してください。
関連文書 (英語)
Intel
Intel(R) Management Engine Critical Firmware Update (Intel-SA-00086)
https://www.intel.com/content/www/us/en/support/articles/000025619/software.htmlIntel
Intel Q3' 17 ME 11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
【2】複数の Symantec 製品に脆弱性
情報源
US-CERT Current Activity
Symantec Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/11/21/Symantec-Releases-Security-UpdateCERT/CC Vulnerability Note VU#681983
Install Norton Security for Mac does not verify SSL certificates
https://www.kb.cert.org/vuls/id/681983
概要
複数の Symantec 製品には、脆弱性があります。結果として、遠隔の第三者が 中間者攻撃によって通信内容を偽装する可能性があります。 対象となるバージョンは次のとおりです。 - Symantec Management Console ITMS 8.1 RU4 より前のバージョン - Install Norton Security for Mac バージョン 7.6 より前のバージョン この問題は、該当する製品を Symantec が提供する修正済みのバージョンに更 新することで解決します。詳細は、Symantec が提供する情報を参照してくだ さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98606324
Install Norton Security for Mac における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/vu/JVNVU98606324/
関連文書 (英語)
Symantec
Security Advisories Relating to Symantec Products - Symantec Management Console Directory Traversal
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20171120_00Symantec
Security Advisories Relating to Symantec Products - Install Norton Security Certificate Spoof
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20171121_00
【3】PWR-Q200 に DNS キャッシュポイズニングの脆弱性
情報源
Japan Vulnerability Notes JVN#73141967
PWR-Q200 における DNS キャッシュポイズニングの脆弱性
https://jvn.jp/jp/JVN73141967/
概要
PWR-Q200 には、DNS キャッシュポイズニングの脆弱性があります。結果とし て、遠隔の第三者が DNS レスポンスを偽装することで、LAN 内の端末を悪意 のあるサーバに誘導する可能性があります。 対象となる製品は次のとおりです。 - PWR-Q200 PWR-Q200 のサポートは終了しています。PWR-Q200 の使用を停止してください。 詳細は、東日本電信電話株式会社が提供する情報を参照してください。
関連文書 (日本語)
東日本電信電話株式会社
光ポータブル 「PWR-Q200」
https://web116.jp/shop/hikari_p/q200/q200_00.html
【4】Media Go および Music Center for PC のインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#08517069
Media Go および Music Center for PC のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN08517069/
概要
Media Go および Music Center for PC のインストーラには、DLL 読み込みに 関する脆弱性があります。結果として、第三者が任意のコードを実行する可能 性があります。 対象となる製品およびバージョンは次のとおりです。 - Media Go バージョン 3.2.0.191 およびそれ以前 - Music Center for PC バージョン 1.0.00 2017年11月28日現在、Media Go の問題の対策済みのバージョンは公開されて いません。Media Go は 2017年12月末に配布の終了を予定しています。Media Go はインストールしないでください。Music Center for PC の問題は、ソニー ビデオ&サウンドプロダクツ株式会社が提供する最新のインストーラでは 解決しています。なお、すでに Media Go または Music Center for PC をイン ストールしている場合には、この問題の影響はありません。詳細は、ソニービ デオ&サウンドプロダクツ株式会社が提供する情報を参照してください。
関連文書 (日本語)
ソニービデオ&サウンドプロダクツ株式会社
Music Center for PC 1.0.01をリリースしました
https://musiccenter.sony.net/ja/downloads/update.php
■今週のひとくちメモ
○CSA ジャパンが「クラウドコンピューティングのためのセキュリティガイダンス v4.0」を公開
2017年11月27日、日本クラウドセキュリティアライアンス (CSA ジャパン) は、 「クラウドコンピューティングのためのセキュリティガイダンス v4.0」を公 開しました。このガイダンスは、Cloud Security Alliance (CSA) が公開して いる「Security Guidance for the Critical Areas of Focus in Cloud Computing v4.0」の日本語訳で、「仮想化とコンテナ技術」、「データセキュリティと暗 号化」など、セキュアなクラウドコンピューティングを実現するための 14 の 項目がまとめられています。
参考文献 (日本語)
日本クラウドセキュリティアライアンス (CSA ジャパン)
ガイダンス4.0(日本語版)を公開いたしました!
https://www.cloudsecurityalliance.jp/newsite/?p=3270日本クラウドセキュリティアライアンス (CSA ジャパン)
クラウドコンピューティングのためのセキュリティガイダンス v4.0
https://cloudsecurityalliance.jp/j-docs/CSA_Guidance_V4.0_J_V1.0_clear.pdf
参考文献 (英語)
Cloud Security Alliance (CSA)
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0
https://cloudsecurityalliance.org/download/security-guidance-v4/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/