<<< JPCERT/CC WEEKLY REPORT 2018-08-01 >>>
■07/22(日)〜07/28(土) のセキュリティ関連情報
目 次
【1】複数の Apache Tomcat 製品に脆弱性
【2】Google Chrome に複数の脆弱性
【3】Android 版 LINE MUSIC にSSL サーバ証明書の検証不備の脆弱性
【4】Bluetooth 実装の楕円曲線ディフィー・ヘルマン鍵共有に公開鍵を適切に検証していない問題
【5】キヤノンITソリューションズ株式会社製の複数製品のインストーラに DLL 読み込みに関する脆弱性
【6】チャットワーク デスクトップ版アプリ (Windows 版) のインストーラに DLL 読み込みに関する脆弱性
【今週のひとくちメモ】「サイバーセキュリティ戦略」が閣議決定
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr182901.txt
https://www.jpcert.or.jp/wr/2018/wr182901.xml
【1】複数の Apache Tomcat 製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#90416738
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90416738Japan Vulnerability Notes JVNVU#99687822
Apache Tomcat Native Connector の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99687822
概要
複数の Apache Tomcat 製品には、脆弱性があります。結果として、遠隔の第 三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 9.0.0.M1 から 9.0.9 まで - Apache Tomcat 8.5.0 から 8.5.31 まで - Apache Tomcat 8.0.0.RC1 から 8.0.52 まで - Apache Tomcat 7.0.28 から 7.0.88 まで - Apache Tomcat Native Connector 1.2.0 から 1.2.16 まで - Apache Tomcat Native Connector 1.1.23 から 1.1.34 まで この問題は、該当する製品を The Apache Software Foundation が提供する修 正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。
関連文書 (英語)
Apache Tomcat
Fixed in Apache Tomcat 9.0.10
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.10Apache Tomcat
Fixed in Apache Tomcat 8.5.32
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.32Apache Tomcat
Fixed in Apache Tomcat 8.0.53
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.53Apache Tomcat
Fixed in Apache Tomcat 7.0.90
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.90Apache Tomcat
Fixed in Apache Tomcat Native Connector 1.2.17
https://tomcat.apache.org/security-native.html#Fixed_in_Apache_Tomcat_Native_Connector_1.2.17US-CERT Current Activity
Apache Releases Security Updates for Apache Tomcat
https://www.us-cert.gov/ncas/current-activity/2018/07/23/Apache-Releases-Security-Updates-Apache-Tomcat
【2】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2018/07/24/Google-Releases-Security-Update-Chrome
概要
Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 68.0.3440.75 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2018/07/stable-channel-update-for-desktop.html
【3】Android 版 LINE MUSIC にSSL サーバ証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#16933564
Android 版 LINE MUSIC における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN16933564/
概要
LINE MUSIC株式会社が提供する Android 版 LINE MUSIC には、SSL サーバ証 明書の検証不備の脆弱性があります。結果として、遠隔の第三者が、中間者攻 撃によって暗号通信を盗聴するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Android 版 LINE MUSIC バージョン 3.1.0 およびそれ以降かつ 3.6.5 より前のバージョン この問題は、Android 版 LINE MUSIC を LINE MUSIC株式会社が提供する修正 済みのバージョンに更新することで解決します。詳細は、LINE MUSIC株式会社 が提供する情報を参照してください。
関連文書 (日本語)
LINE MUSIC株式会社
【脆弱性情報】「LINE MUSIC」Android版における SSL サーバ証明書の検証不備の脆弱性に関するお知らせ
https://linecorp.com/ja/security/article/181
【4】Bluetooth 実装の楕円曲線ディフィー・ヘルマン鍵共有に公開鍵を適切に検証していない問題
情報源
CERT/CC Vulnerability Note VU#304725
Bluetooth implementations may not sufficiently validate elliptic curve parameters during Diffie-Hellman key exchange
https://www.kb.cert.org/vuls/id/304725
概要
一部の Bluetooth デバイスのファームウエアや OS のドライバには、ディフィー・ ヘルマン鍵共有において公開鍵を適切に検証していない問題があります。結果 として、遠隔の第三者が通信内容を取得するなどの可能性があります。 対象となるシステムは次のとおりです。 - Bluetooth を実装するシステム この問題は、Bluetooth を実装するシステムを各ベンダが提供する修正済みの バージョンに更新することで解決します。詳細は、各ベンダが提供する情報を 参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92767028
Bluetooth 実装の楕円曲線ディフィー・ヘルマン鍵共有において公開鍵を適切に検証していない問題
https://jvn.jp/vu/JVNVU92767028/
関連文書 (英語)
US-CERT Current Activity
Bluetooth Vulnerability
https://www.us-cert.gov/ncas/current-activity/2018/07/23/Bluetooth-Vulnerability
【5】キヤノンITソリューションズ株式会社製の複数製品のインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#41452671
キヤノンITソリューションズ株式会社製の複数製品のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN41452671/
概要
キヤノンITソリューションズ株式会社が提供する複数の製品のインストーラに は、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコー ドを実行する可能性があります。 対象となる製品は次のとおりです。 - ESET Smart Security Premium - ESET Internet Security - ESET Smart Security - ESET NOD32アンチウイルス - DESlock+ Pro - CompuSec (パッケージ製品以外の全プログラム) いずれもデジタル署名のタイムスタンプの日付が「2018年7月10日」以前となっ ているインストーラが対象です。 この問題は、キヤノンITソリューションズ株式会社が提供する最新のインストー ラでは解決しています。なお、すでに該当の製品をインストールしている場合 には、この問題の影響はありません。詳細は、キヤノンITソリューションズ株 式会社が提供する情報を参照してください。
関連文書 (日本語)
キヤノンITソリューションズ株式会社
Windows向けプログラムのインストーラーにおけるDLL読み込みに関する脆弱性への対応について(JVN#41452671)
https://eset-support.canon-its.jp/faq/show/10720?site_domain=default
【6】チャットワーク デスクトップ版アプリ (Windows 版) のインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#39171169
チャットワーク デスクトップ版アプリ (Windows 版) のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN39171169/
概要
ChatWork株式会社が提供するチャットワークのインストーラには、DLL 読み込 みに関する脆弱性があります。結果として、第三者が任意のコードを実行する 可能性があります。 対象となる製品およびバージョンは次のとおりです。 - チャットワーク デスクトップ版アプリ (Windows 版) 2.3.0 およびそれ以前 この問題は、ChatWork株式会社が提供する最新のインストーラでは解決してい ます。なお、すでに該当の製品をインストールしている場合には、この問題の 影響はありません。詳細は、ChatWork株式会社が提供する情報を参照してくだ さい。
関連文書 (日本語)
ChatWork株式会社
ダウンロード | チャットワーク(ChatWork)
https://go.chatwork.com/ja/download/
■今週のひとくちメモ
○「サイバーセキュリティ戦略」が閣議決定
2018年7月25日にサイバーセキュリティ戦略本部会合が開催され、その後「サ イバーセキュリティ戦略」が閣議決定されました。同戦略は各省庁のサイバー セキュリティ関連政策に係る今後3年間の施策の目標や実施方針についてとり まとめたもので、内閣サイバーセキュリティセンター (NISC) のウェブサイト 上で、同戦略に関する資料が公開されています。
参考文献 (日本語)
内閣サイバーセキュリティセンター (NISC)
サイバーセキュリティ戦略の変更について
https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2018-kakugikettei.pdf内閣サイバーセキュリティセンター (NISC)
サイバーセキュリティ戦略本部第19回会合の開催について
https://www.nisc.go.jp/conference/cs/index.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/