JPCERT/CC WEEKLY REPORT 2018-01-17

JPCERT/CC REPORT

JPCERT/CC WEEKLY REPORT 2018-01-17

JPCERT-WR-2018-0201
JPCERT/CC
2018-01-17

<<< JPCERT/CC WEEKLY REPORT 2018-01-17 >>>

――――――――――――――――――――――――――――――――――――――
■01/07(日)~01/13(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目 次 ==================================================================

【1】複数の Microsoft 製品に脆弱性
【2】Adobe Flash Player に情報漏えいの脆弱性
【3】複数の Juniper 製品に脆弱性
【4】複数の VMware 製品に脆弱性
【5】複数の Apple 製品に脆弱性
【6】Lhaplus に検証不備の脆弱性
【今週のひとくちメモ】Wi-Fi Alliance が WPA3 の概要を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr180201.html
https://www.jpcert.or.jp/wr/2018/wr180201.xml
============================================================================

【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases January 2018 Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/01/09/Microsoft-Releases-January-2018-Security-Updates

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

– Internet Explorer
– Microsoft Edge
– Microsoft Windows
– Microsoft Office and Microsoft Office Services および Web Apps
– SQL Server
– ChakraCore
– .NET Framework
– .NET Core
– ASP.NET Core

この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで解
決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC
2018年 1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180002.html

マイクロソフト株式会社
2018 年 1 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/858123b8-25ca-e711-a957-000d3a33cf99

【2】Adobe Flash Player に情報漏えいの脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates for Flash Player
https://www.us-cert.gov/ncas/current-activity/2018/01/09/Adobe-Releases-Security-Updates-Flash-Player

概要
Adobe Flash Player には、情報漏えいの脆弱性があります。結果として、遠隔
の第三者が情報を取得する可能性があります。

対象となるバージョンは次のとおりです。

– Adobe Flash Player デスクトップランタイム 28.0.0.126 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
– Google Chrome 用の Adobe Flash Player 28.0.0.126 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版)
– Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 28.0.0.126 およびそれ以前 (Windows 10 版、8.1 版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC
Adobe Flash Player の脆弱性 (APSB18-01) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180001.html

Adobe
Flash Player 用のセキュリティアップデート公開 | APSB18-01
https://helpx.adobe.com/jp/security/products/flash-player/apsb18-01.html

【3】複数の Juniper 製品に脆弱性

情報源
US-CERT Current Activity
Juniper Networks Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/01/11/Juniper-Networks-Releases-Security-Updates

概要
複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可
能性があります。

対象となる製品は次のとおりです。

– ScreenOS
– Junos Space Security Director and Log Collector
– CTPView
– Junos Space
– Junos OS
– SRX シリーズ

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Juniper が提供する情報を参照してください。

関連文書 (英語)
Juniper Networks
2018-01 Security Bulletin: ScreenOS: Etherleak vulnerability found on ScreenOS device (CVE-2018-0014)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10841

Juniper Networks
2018-01 Security Bulletin: Junos Space Security Director and Log Collector: Multiple vulnerabilities resolved in 17.2R1 release
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10840

Juniper Networks
2018-01 Security Bulletin: CTPView: Multiple Linux kernel vulnerabilities.
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10839

Juniper Networks
2018-01 Security Bulletin: Junos Space: Multiple vulnerabilities resolved in 17.2R1 release
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10838

Juniper Networks
2018-01 Security Bulletin: Junos OS: OpenSSH Memory exhaustion due to unregistered KEXINIT handler (CVE-2016-8858)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10837

Juniper Networks
SRX Series: Firewall bypass vulnerability when UUID with leading zeros is configured. (CVE-2018-0009)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10836

Juniper Networks
2018-01 Security Bulletin: Junos: commit script may allow unauthenticated root login upon reboot (CVE-2018-0008)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10835

Juniper Networks
2018-01 Security Bulletin: Junos: bbe-smgd process denial of service while processing VLAN authentication requests/rejects (CVE-2018-0006)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10834

Juniper Networks
2018-01 Security Bulletin: Junos OS: MAC move limit configured to drop traffic may forward traffic. (CVE-2018-0005)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10833

Juniper Networks
2018-01 Security Bulletin: Junos OS: Kernel Denial of Service Vulnerability (CVE-2018-0004)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10832

Juniper Networks
2018-01 Security Bulletin: Junos OS: A crafted MPLS packet may lead to a kernel crash (CVE-2018-0003)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10831

Juniper Networks
2018-01 Security Bulletin: Junos OS: Malicious LLDP crafted packet leads to privilege escalation, denial of service. (CVE-2018-0007)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10830

Juniper Networks
2018-01 Security Bulletin: MX series, SRX series: Junos OS: Denial of service vulnerability in Flowd on devices with ALG enabled. (CVE-2018-0002)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10829

Juniper Networks
2018-01 Security Bulletin: Junos: Unauthenticated Remote Code Execution through J-Web interface (CVE-2018-0001)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10828

【4】複数の VMware 製品に脆弱性

情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/01/10/VMware-Releases-Security-Updates

US-CERT Current Activity
VMware Releases Security Updates for Workstation, Fusion
https://www.us-cert.gov/ncas/current-activity/2018/01/11/VMware-Releases-Security-Updates-Workstation-Fusion

概要
複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユーザ
がホスト OS 上で任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– VMware vCenter Server 6.5 U1e より前のバージョン
– VMware vCenter Server 6.0 U3d より前のバージョン
– VMware vCenter Server 5.5 U3g より前のバージョン
– VMware vSphere ESXi 6.5 系のバージョン
– VMware vSphere ESXi 6.0 系のバージョン
– VMware vSphere ESXi 5.5 系のバージョン
– VMware Workstation Pro / Player 14.1.1 より前のバージョン
– VMware Workstation Pro / Player 12.5.9 より前のバージョン
– VMware Fusion Pro / Fusion 10.1.1 より前のバージョン
– VMware Fusion Pro / Fusion 8.5.10 より前のバージョン

VMSA-2018-0005 の問題は、該当する製品を VMware が提供する修正済みのバー
ジョンに更新することで解決します。また、VMSA-2018-0004.2 の問題 (CPU に
対するサイドチャネル攻撃の問題) は、対策の施されたバージョンを適用するこ
とで影響が緩和されます。詳細は、VMware が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93823979
CPU に対するサイドチャネル攻撃
https://jvn.jp/vu/JVNVU93823979/

関連文書 (英語)
VMware Security Advisories
VMSA-2018-0004.2
https://www.vmware.com/security/advisories/VMSA-2018-0004.html

VMware Security Advisories
VMSA-2018-0005
https://www.vmware.com/security/advisories/VMSA-2018-0005.html

【5】複数の Apple 製品に脆弱性

情報源
US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/01/08/Apple-Releases-Multiple-Security-Updates

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が情報を
取得する可能性があります。

対象となる製品およびバージョンは次のとおりです。

– macOS High Sierra 10.13.2
– Safari 11.0.2 およびそれ以前
– iOS 11.2.2 より前のバージョン

この問題 (CPU に対するサイドチャネル攻撃の問題) は、該当する製品に Apple
が提供する対策の施されたバージョンを適用することで影響が緩和されます。詳
細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Apple
macOS High Sierra 10.13.2 追加アップデートのセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208397

Apple
Safari 11.0.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208403

Apple
iOS 11.2.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208401

Japan Vulnerability Notes JVNVU#94630516
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94630516/

Japan Vulnerability Notes JVNVU#93823979
CPU に対するサイドチャネル攻撃
https://jvn.jp/vu/JVNVU93823979/

【6】Lhaplus に検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#57842148
Lhaplus の ZIP64 形式のファイル展開における検証不備の脆弱性
https://jvn.jp/jp/JVN57842148/

概要
Lhaplus には、ZIP64 形式のファイル展開における検証不備の脆弱性があります。
結果として、第三者が、細工した ZIP64 形式のファイルを展開させることで、ユー
ザの意図しないファイルを生成する可能性があります。

対象となるバージョンは次のとおりです。

– Lhaplus Version 1.73 およびそれ以前

この問題は、Lhaplus を開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Schezo
Lhaplus における異なる内容で展開される脆弱性
http://www7a.biglobe.ne.jp/~schezo/JVN57842148.html

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Wi-Fi Alliance が WPA3 の概要を公開

2018年1月8日 (米国時間)、Wi-Fi Alliance は新たな Wi-Fi 規格である WPA3
に関する情報を公開しました。これによると、WPA3 では新たに次のセキュリティ
対策が予定されています。

– 複雑性を欠いたパスワードが設定されている場合の保護を強化する機能
– ディスプレイのない機器などに対する Wi-Fi セキュリティ設定の容易化
– 個別のデータ暗号化によるオープンネットワークでの通信の保護
– 暗号規格「CNSA (Commercial National Security Algorithm) Suite」に準拠した暗号アルゴリズムの採用

なお、Wi-Fi Alliance によると、WPA3 に関する詳細情報を 2018年の後半に公
開する予定とのことです。

参考文献 (英語)
Wi-Fi Alliance
Wi-Fi Alliance introduces security enhancements
https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements

Wi-Fi Alliance
Security
https://www.wi-fi.org/discover-wi-fi/security

――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL を参照してください。

https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
を参照してください。

https://www.jpcert.or.jp/form/

以上。
__________

2018 (C) JPCERT/CC