<<< JPCERT/CC WEEKLY REPORT 2020-03-11 >>>
■03/01(日)〜03/07(土) のセキュリティ関連情報
目 次
【1】Google Chrome に脆弱性
【2】複数の Cisco 製品に脆弱性
【3】pppd にバッファオーバーフローの脆弱性
【4】オムロン製 PLC CJ シリーズにリソース枯渇の脆弱性
【5】GRANDIT にセッション管理不備の脆弱性
【6】OpenBlocks IoT VX2 に複数の脆弱性
【7】ManageEngine Desktop Central に任意のコード実行の脆弱性
【今週のひとくちメモ】NISC が「サイバーセキュリティ関係法令Q&Aハンドブック」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr201001.txt
https://www.jpcert.or.jp/wr/2020/wr201001.xml
【1】Google Chrome に脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/03/04/google-releases-security-updates-chrome
概要
Google Chrome には、脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 80.0.3987.132 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/03/stable-channel-update-for-desktop.html
【2】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2020/03/05/cisco-releases-security-updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 影響度 High の脆弱性情報の対象となる製品は次のとおりです。 - Cisco Intelligent Proximity application - Cisco Jabber - Cisco Webex Teams - Cisco Meeting App - Cisco Webex Meetings - Cisco Webex Meetings Online - Cisco Webex Meetings Server - Cisco Prime Network Registrar ※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、 影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が 提供する情報を参照してください。 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す る情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Intelligent Proximity SSL Certificate Validation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-proximity-ssl-cert-gBBu3RBCisco Security Advisory
Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-playerCisco Security Advisory
Cisco Prime Network Registrar Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cpnr-csrf-WWTrDkyL
【3】pppd にバッファオーバーフローの脆弱性
情報源
Vulnerability Note VU#782301
pppd vulnerable to buffer overflow due to a flaw in EAP packet processing
https://www.kb.cert.org/vuls/id/782301/
概要
pppd (Point to Point Protocol Daemon) には、バッファオーバーフローの脆 弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは次のとおりです。 - pppd 2.4.2 から 2.4.8 までのバージョン この問題は、pppd を開発者が提供する修正済みのバージョンに更新すること で解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99700555
pppd におけるバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU99700555/
関連文書 (英語)
US-CERT Current Activity
Point-to-Point Protocol Daemon Vulnerability
https://www.us-cert.gov/ncas/current-activity/2020/03/05/point-point-protocol-daemon-vulnerabilitypaulusmack/ppp
pppd: Fix bounds check in EAP code
https://github.com/paulusmack/ppp/commit/8d7970b8f3db727fe798b65f3377fe6787575426lwIP
PPP, EAP: fix bounds check in EAP code
https://git.savannah.nongnu.org/cgit/lwip.git/commit/src/netif/ppp/eap.c?id=2ee3cbe69c6d2805e64e7cac2a1c1706e49ffd86
【4】オムロン製 PLC CJ シリーズにリソース枯渇の脆弱性
情報源
ICS Advisory (ICSA-20-063-03)
Omron PLC CJ Series
https://www.us-cert.gov/ics/advisories/icsa-20-063-03Japan Vulnerability Notes JVNVU#91000130
オムロン製 PLC CJ シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU91000130/
概要
オムロン株式会社が提供する PLC CJ シリーズには、リソース枯渇の脆弱性が あります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う 可能性があります。 対象となるバージョンは次のとおりです。 - Omron PLC CJ シリーズの全てのバージョン 2020年3月11日現在、この問題に対する修正済みのバージョンは提供されてい ません。PLC CJ シリーズに回避策を適用することで影響を軽減できます。詳 細は、オムロン株式会社が提供する情報を参照してください。
関連文書 (日本語)
オムロン株式会社
弊社PLC(CJシリーズCPU)に対する外部機関からの脆弱性指摘について
http://www.omron-cxone.com/security/2020-02-28_PLC_JP.pdf
【5】GRANDIT にセッション管理不備の脆弱性
情報源
Japan Vulnerability Notes JVN#73472345
GRANDIT におけるセッション管理不備の脆弱性
http://jvn.jp/jp/JVN73472345/
概要
GRANDIT株式会社が提供する GRANDIT には、セッション管理不備の脆弱性があ ります。結果として、遠隔の第三者が、情報を窃取したり、情報を改ざんした りするなどの可能性があります。 対象となるバージョンは次のとおりです。 - GRANDIT Ver.3.0 - GRANDIT Ver.2.3 - GRANDIT Ver.2.2 - GRANDIT Ver.2.1 - GRANDIT Ver.2.0 - GRANDIT Ver.1.6 この問題は、GRANDIT を GRANDIT株式会社が提供する修正済みのバージョンに 更新することで解決します。詳細は、GRANDIT 株式会社が提供する情報を参照 してください。
関連文書 (日本語)
GRANDIT株式会社
GRANDITにおけるセッション管理不備の脆弱性について
https://www.grandit.jp/etc/20200228_letter.pdf
【6】OpenBlocks IoT VX2 に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#19666251
OpenBlocks IoT VX2 における複数の脆弱性
https://jvn.jp/jp/JVN19666251/
概要
OpenBlocks IoT VX2 には、複数の脆弱性があります。結果として、第三者が、 機器を初期化したり、任意のコマンドを実行したりするなどの可能性がありま す。 対象となるバージョンは次のとおりです。 - OpenBlocks IoT VX2 Ver.4.0.0 より前のバージョン この問題は、OpenBlocks IoT VX2 をぷらっとホーム株式会社が提供する修正 済みのバージョンに更新することで解決します。詳細は、ぷらっとホーム株式 会社が提供する情報を参照してください。
関連文書 (日本語)
ぷらっとホーム株式会社
OpenBlocks IoT VX2 ソフトウェアリリース情報|FW4.0.0
https://www.plathome.co.jp/software/vx2-v4-0-0/
【7】ManageEngine Desktop Central に任意のコード実行の脆弱性
情報源
US-CERT Current Activity
Zoho Releases Security Update on ManageEngine Desktop Central
https://www.us-cert.gov/ncas/current-activity/2020/03/06/zoho-releases-security-update-manageengine-desktop-central
概要
ManageEngine Desktop Central には、遠隔の第三者が任意のコードを実行可 能な脆弱性があります。 対象となるバージョンは次のとおりです。 - ManageEngine Desktop Central 10.0.473 およびそれ以前 この問題は、ManageEngine Desktop Central を Zoho が提供する修正済みの バージョンに更新することで解決します。詳細は、Zoho が提供する情報を参 照してください。
関連文書 (英語)
Zoho
ManageEngine Desktop Central remote code execution vulnerability (CVE-2020-10189)
https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.html
■今週のひとくちメモ
○NISC が「サイバーセキュリティ関係法令Q&Aハンドブック」を公開
2020年3月2日、内閣サイバーセキュリティセンター (NISC) は、サイバーセキュ リティ対策において参照すべき関係法令を解説する「サイバーセキュリティ関 係法令Q&Aハンドブック」を公開しました。企業におけるサイバーセキュリティ 対策やインシデント対応に関する法令上の事項や、情報の取扱いに関する法的 課題等をわかりやすくまとめたとのことです。法令上の課題解決や疑問点の解 消にご活用ください。
参考文献 (日本語)
内閣サイバーセキュリティセンター (NISC)
「サイバーセキュリティ関係法令Q&Aハンドブック 」について
https://www.nisc.go.jp/security-site/law_handbook/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/