<<< JPCERT/CC WEEKLY REPORT 2020-12-09 >>>
■11/29(日)〜12/05(土) のセキュリティ関連情報
目 次
【1】Google Chrome に複数の脆弱性
【2】Mozilla Thunderbird にスタックオーバフローの脆弱性
【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
【4】CentOS Linux 6サポート終了について
【5】desknet's NEO にクロスサイトスクリプティングの脆弱性
【6】Apple iCloud for Windows に複数の脆弱性
【7】ファイル・データ転送アプライアンス FileZen のアップデートについて
【8】EC-CUBE に複数の脆弱性
【9】三菱電機製 GOT およびテンションコントローラにサービス運用妨害 (DoS) の脆弱性
【今週のひとくちメモ】JPCERT/CC 「QuasarRAT analysis tools and research report」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204801.txt
https://www.jpcert.or.jp/wr/2020/wr204801.xml
【1】Google Chrome に複数の脆弱性
情報源
CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2020/12/04/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 87.0.4280.88 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/12/stable-channel-update-for-desktop.html
【2】Mozilla Thunderbird にスタックオーバフローの脆弱性
情報源
CISA Current Activity
Mozilla Releases Security Update for Thunderbird
https://us-cert.cisa.gov/ncas/current-activity/2020/12/02/mozilla-releases-security-update-thunderbird
概要
Mozilla Thunderbird には、スタックオーバフローの脆弱性があります。結果 として、第三者が影響を受けるシステムを制御する可能性があります。 対象となるバージョンは次のとおりです。 - Mozilla Thunderbird 78.5.1 より前のバージョン この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。
関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Thunderbird 78.5.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-53/
【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
情報源
CISA Current Activity
Apache Releases Security Advisory for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/12/04/apache-releases-security-advisory-apache-tomcat
概要
The Apache Software Foundation が提供する Apache Tomcat には、HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性があります。結果として、 他のリクエストにヘッダ値が引き継がれることにより情報漏えいが発生する可 能性があります。 対象となるバージョンは次のとおりです。 - Apache Tomcat 10.0.0-M1 から 10.0.0-M9 まで - Apache Tomcat 9.0.0-M1 から 9.0.39 まで - Apache Tomcat 8.5.0 から 8.5.59 まで この問題は、Apache Tomcat を The Apache Software Foundation が提供する 修正済みのバージョンに更新することで解決します。詳細は Apache Software Foundation が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94251682
Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU94251682/JPCERT/CC 注意喚起
Apache Tomcat の脆弱性 (CVE-2020-17527) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200045.html
関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10The Apache Software Foundation
Fixed in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40The Apache Software Foundation
Fixed in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60
【4】CentOS Linux 6サポート終了について
情報源
CentOS
CentOS Community Newsletter, December 2020 (#2012)
https://blog.centos.org/2020/12/centos-community-newsletter-december-2020-2012/
概要
2020年12月1日 (米国時間)、The CentOS Project から CentOS 6 Linux のサ ポート終了について告知がありました。2020年11月30日をもって、当該製品の サポートが終了します。サポート終了後はマルウエアへの感染や情報漏えいな どの被害を受けやすくなります。当該製品を利用している場合、サポートが行 われているバージョンへの移行をお勧めします。
【5】desknet's NEO にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#42199826
desknet's NEO におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN42199826/
概要
株式会社ネオジャパンが提供する desknet's NEO には、格納型のクロスサイ トスクリプティングの脆弱性があります。遠隔の第三者が、当該製品にログイン した状態のユーザのウェブブラウザ上で、任意のスクリプトを実行する可能性 があります。 対象となるバージョンは次のとおりです。 - desknet's NEO スモールライセンス V5.5 R1.5 およびそれ以前 - desknet's NEO エンタープライズライセンス V5.5 R1.5 およびそれ以前 この問題は、desknet's NEO を株式会社ネオジャパンが提供する修正済みのバージョン に更新することで解決します。詳細は、株式会社ネオジャパンが提供する情報 を参照してください。
関連文書 (日本語)
desknet's NEO
desknet'sNEO 製品におけるセキュリティ上の問題(クロスサイト・スクリプティング)について
https://www.desknets.com/neo/support/mainte/9700/
【6】Apple iCloud for Windows に複数の脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates for iCloud for Windows
https://us-cert.cisa.gov/ncas/current-activity/2020/12/03/apple-releases-security-updates-icloud-windows
概要
Apple の iCloud for Windows には、複数の脆弱性があります。結果として、 第三者が任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - iCloud for Windows 11.5 より前のバージョン この問題は、iCloud for Windows を Apple が提供する修正済みのバージョン に更新することで解決します。詳細は、Apple が提供する情報を参照してくだ さい。
関連文書 (日本語)
Apple
Windows 用 iCloud 11.5 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211935Japan Vulnerability Notes JVNVU#92370378
Apple iCloud for Windows における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92370378/
【7】ファイル・データ転送アプライアンス FileZen のアップデートについて
情報源
株式会社ソリトンシステムズ
【重要】FileZen最新バージョンへのアップデートのお願い(V4.2.2以前)
https://www.soliton.co.jp/support/2020/004274.html
概要
2020年12月2日、株式会社ソリトンシステムズからファイル・データ転送アプ ライアンス FileZen に対してアップデートを促す注意喚起が公開されました。 開発者は、FileZen を使用しているユーザーに対し、最新バージョンへの早急 なアップデートを呼びかけています。 対象となるバージョンは次のとおりです。 - FileZen V4.2.3 より前のバージョン 詳細は、株式会社ソリトンシステムズが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC 注意喚起
ファイル・データ転送アプライアンス FileZen に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2020/at200044.html
【8】EC-CUBE に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#24457594
EC-CUBE における複数の脆弱性
https://jvn.jp/jp/JVN24457594/
概要
EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行ったり、ユーザの意図しない操作を行ったりす る可能性があります。 対象となるバージョンは次のとおりです。 - EC-CUBE 3.0.0 から 3.0.18 までのバージョン この問題は、EC-CUBE を株式会社イーシーキューブが提供するパッチを適用す ることで解決します。詳細は、株式会社イーシーキューブが提供する情報を参 照してください。
関連文書 (日本語)
株式会社イーシーキューブ
DoSの危険性(3.0系)
https://www.ec-cube.net/info/weakness/weakness.php?id=76株式会社イーシーキューブ
クリックジャッキングの脆弱性(3.0系)
https://www.ec-cube.net/info/weakness/weakness.php?id=75
【9】三菱電機製 GOT およびテンションコントローラにサービス運用妨害 (DoS) の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99277775
三菱電機製 GOT およびテンションコントローラにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU99277775/
概要
GOT2000 シリーズ GT21 モデルおよび GOT SIMPLE シリーズ GS21 モデル、テン ションコントローラには、サービス運用妨害 (DoS) の脆弱性があります。結 果として、遠隔の第三者が、細工したパケットを送信することで、サービス運 用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品およびバージョンは次のとおりです。 - GOT2000 シリーズ GT21 モデル GT2107-WTBD 全てのバージョン - GOT2000 シリーズ GT21 モデル GT2107-WTSD 全てのバージョン - GOT2000 シリーズ GT21 モデル GT2104-RTBD 全てのバージョン - GOT2000 シリーズ GT21 モデル GT2104-PMBD 全てのバージョン - GOT2000 シリーズ GT21 モデル GT2103-PMBD 全てのバージョン - GOT SIMPLE シリーズ GS21 モデル GS2110-WTBD 全てのバージョン - GOT SIMPLE シリーズ GS21 モデル GS2107-WTBD 全てのバージョン - LE7-40GU-L 全てのバージョン この問題は、該当する製品に次の回避策を適用することで脆弱性の影響を軽減 することが可能です。なお、開発者によると、本脆弱性に対応したバージョン を近日中にリリースする予定とのことです。 - 当該製品への接続は、信頼できるネットワークやホストからのアクセスに制限する 詳細は、三菱電機株式会社が提供する情報を参照してください。
関連文書 (日本語)
三菱電機株式会社
GOT及びテンションコントローラのTCP/IPスタックにおけるサービス拒否(DoS)の脆弱性
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-017.pdf
■今週のひとくちメモ
○JPCERT/CC 「QuasarRAT analysis tools and research report」を公開
2020年12月2日 (米国時間)、JPCERT/CC は、GitHub にて 「QuasarRAT analysis tools and research report」を公開しました。QuasarRAT はオープ ンソースの RAT(Remote Administration Tool)で、多くの攻撃者に悪用され ていることが報告されています。本サイトでは、QuasarRAT および派生ソフト ウェアに関する解析レポートと解析に活用できるツールについて掲載していま す。
参考文献 (日本語)
JPCERT/CC
QuasarRAT analysis tools and research report
https://github.com/JPCERTCC/QuasarRAT-Analysis
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/