<<< JPCERT/CC WEEKLY REPORT 2019-05-29 >>>
■05/19(日)〜05/25(土) のセキュリティ関連情報
目 次
【1】複数の Mozilla 製品に脆弱性
【2】Apache Camel に XML 外部実体参照 (XXE) に関する脆弱性
【3】WordPress 用プラグイン WP Open Graph にクロスサイトリクエストフォージェリの脆弱性
【4】三菱電機製 MELSEC-Q シリーズ Ethernet インタフェースユニットにサービス運用妨害 (DoS) の脆弱性
【5】Android アプリ「Tootdon for マストドン(Mastodon)」に SSL サーバ証明書の検証不備の脆弱性
【6】Microsoft Windows タスクスケジューラにおける権限昇格の脆弱性
【今週のひとくちメモ】NISC が「サイバーセキュリティ2019」などの資料を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr192001.txt
https://www.jpcert.or.jp/wr/2019/wr192001.xml
【1】複数の Mozilla 製品に脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox, Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/05/21/Mozilla-Releases-Security-Updates-Firefox
概要
複数の Mozilla 製品には、脆弱性があります。結果として、第三者が任意の コードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Firefox 67 より前のバージョン - Firefox ESR 60.7 より前のバージョン - Thunderbird 60.7 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。
関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Firefox 67
https://www.mozilla.org/en-US/security/advisories/mfsa2019-13/Mozilla
Security vulnerabilities fixed in Firefox ESR 60.7
https://www.mozilla.org/en-US/security/advisories/mfsa2019-14/Mozilla
Security vulnerabilities fixed in Thunderbird 60.7
https://www.mozilla.org/en-US/security/advisories/mfsa2019-15/
【2】Apache Camel に XML 外部実体参照 (XXE) に関する脆弱性
情報源
Japan Vulnerability Notes JVN#71498764
Apache Camel における XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/jp/JVN71498764
概要
Apache Camel には、XML 外部実体参照 (XXE) に関する脆弱性があります。結 果として、第三者が、細工したリクエストを送信することで、サーバ上の任意 のファイルを読みとる可能性があります。 対象となるバージョンは次のとおりです。 - Apache Camel 2.24.0 より前のバージョン この問題は、Apache Camel を The Apache Software Foundation が提供する 修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。
関連文書 (英語)
The Apache Software Foundation
Apache Camel
https://camel.apache.org/
【3】WordPress 用プラグイン WP Open Graph にクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#33652328
WordPress 用プラグイン WP Open Graph におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN33652328/
概要
WordPress 用プラグイン WP Open Graph には、クロスサイトリクエストフォー ジェリの脆弱性があります。結果として、当該製品にログインした状態のユー ザが、第三者によって細工されたページにアクセスした場合、意図しない操作 をさせられる可能性があります。 対象となるバージョンは次のとおりです。 - WP Open Graph 1.6.1 およびそれ以前 この問題は、WP Open Graph を開発者が提供する修正済みのバージョンに更新 することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
WordPress Custom4Web
WP Open Graph
https://wordpress.org/plugins/wp-open-graph/
【4】三菱電機製 MELSEC-Q シリーズ Ethernet インタフェースユニットにサービス運用妨害 (DoS) の脆弱性
情報源
Japan Vulnerability Notes JVNVU#93268101
三菱電機製 MELSEC-Q シリーズ Ethernet インタフェースユニットにおけるサービス運用妨害(DoS)の脆弱性
https://jvn.jp/vu/JVNVU93268101/
概要
三菱電機株式会社が提供する MELSEC-Q シリーズの Ethernet インタフェース ユニットの FTP 機能には、脆弱性があります。結果として、遠隔の第三者が、 細工した TCP パケットを FTP サービスに送信することで、サービス運用妨害 (DoS) を行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - MELSEC-Q シリーズ Ethernet インタフェースユニットのうち、下記の製品型番とバージョンのもの - QJ71E71-100 シリアル番号の上 5 桁が 20121 以前のバージョン この問題への対策として次の回避策の実施を検討してください。 - ファイアウォールの設定で、信頼できないネットワークやホストからの FTP リクエストをブロックする - 該当する製品の FTP 機能を無効にする
関連文書 (英語)
ICS-CERT Advisory (ICSA-19-141-02)
Mitsubishi Electric MELSEC-Q Series Ethernet Module
https://ics-cert.us-cert.gov/advisories/ICSA-19-141-02
【5】Android アプリ「Tootdon for マストドン(Mastodon)」に SSL サーバ証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#57806517
Android アプリ「Tootdon for マストドン(Mastodon)」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN57806517/
概要
Android アプリ「Tootdon for マストドン(Mastodon)」には、SSL サーバ証明 書の検証不備の脆弱性があります。結果として、第三者が、中間者攻撃によっ て通信内容を取得したり、改ざんしたりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - Tootdon for マストドン(Mastodon) 3.4.1 およびそれ以前のバージョン この問題は、Tootdon for マストドン(Mastodon) を株式会社つくりとが提供 する修正済みのバージョンに更新することで解決します。詳細は、株式会社つ くりとが提供する情報を参照してください。
関連文書 (日本語)
株式会社つくりと
「Tootdon for Mastodon」Android版におけるSSLサーバ証明書の検証不備の脆弱性に関するお知らせ
http://blog.mastodon-tootdon.com/entry/2019/05/20/204019
【6】Microsoft Windows タスクスケジューラにおける権限昇格の脆弱性
情報源
Japan Vulnerability Notes JVNVU#93881163
Microsoft Windows タスクスケジューラにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU93881163/
概要
Microsoft Windows には、権限昇格の脆弱性があります。結果として、一般ユー ザ権限を持つ攻撃者が、保護されたファイルに対するフルアクセス権限を取得 し、システムを改ざんする可能性があります。 対象となる製品は次のとおりです。 - Windows 10 32ビット版 および 64ビット版 - Windows Server 2019 - Windows Server 2016 - Windows 8 2019年5月28日現在、この問題に対する解決策は提供されていません。 Microsoft などの情報を確認し、対策の施されたバージョンが公開されている 場合は速やかに適用することをおすすめします。
関連文書 (英語)
CERT/CC Vulnerability Note VU#119704
Microsoft Windows Task Scheduler SetJobFileSecurityByName privilege escalation vulnerability
https://www.kb.cert.org/vuls/id/119704/
■今週のひとくちメモ
○NISC が「サイバーセキュリティ2019」などの資料を公開
2019年5月23日、内閣サイバーセキュリティセンター (NISC) がサイバーセキュ リティ戦略本部第22回会合を開催し、関連する資料を公開しました。2018年度 のサイバーセキュリティに関する情勢・主なトピックや各府省庁の関連施策の 実施状況等を取りまとめた「年次報告」と、それを反映した対処方針別の取組 や 2019年度の具体的な施策を取りまとめた「年次計画」を統合した「サイバー セキュリティ2019」などが決定されました。
参考文献 (日本語)
内閣サイバーセキュリティセンター (NISC)
第22回会合(令和元年5月23日)
https://www.nisc.go.jp/conference/cs/#cs22内閣サイバーセキュリティセンター (NISC)
サイバーセキュリティ2019(2018年度報告・2019年度計画)
https://www.nisc.go.jp/active/kihon/pdf/cs2019.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/