JPCERT/CC WEEKLY REPORT 2018-02-28

JPCERT/CC REPORT

JPCERT/CC WEEKLY REPORT 2018-02-28

JPCERT-WR-2018-0801
JPCERT/CC
2018-02-28

<<< JPCERT/CC WEEKLY REPORT 2018-02-28 >>>

――――――――――――――――――――――――――――――――――――――
■02/18(日)~02/24(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目 次 ==================================================================

【1】複数の Cisco 製品に脆弱性
【2】Apache Tomcat に複数の脆弱性
【3】Drupal に複数の脆弱性
【4】FS010W に複数の脆弱性
【5】iOS 版 LINE に SSL サーバ証明書の検証不備の脆弱性
【今週のひとくちメモ】総務省が「サイバーセキュリティに関する総務大臣奨励賞」の受賞者の公表

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2018/wr180801.html
https://www.jpcert.or.jp/wr/2018/wr180801.xml
============================================================================

【1】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2018/02/21/Cisco-Releases-Security-Updates-Multiple-Products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Cisco Unified Communications Domain Manager 11.5(2) より前のバージョン
– Cisco Elastic Services Controller 3.0.0
– Cisco Unified Customer Voice Portal (CVP) 11.5(1)

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Unified Communications Domain Manager Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180221-ucdm

Cisco Security Advisory
Cisco Elastic Services Controller Service Portal Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180221-esc

Cisco Security Advisory
Cisco Elastic Services Controller Service Portal Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180221-esc1

Cisco Security Advisory
Cisco Unified Customer Voice Portal Interactive Voice Response Connection Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180221-cvp

【2】Apache Tomcat に複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#95970576
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95970576/

概要
Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が
情報を取得する可能性があります。

対象となるバージョンは次のとおりです。

– Apache Tomcat 9.0.0.M1 から 9.0.4 まで
– Apache Tomcat 8.5.0 から 8.5.27 まで
– Apache Tomcat 8.0.0.RC1 から 8.0.49 まで
– Apache Tomcat 7.0.0 から 7.0.84 まで

この問題は、Apache Tomcat を Apache Tomcat が提供する修正済みのバージョン
に更新することで解決します。詳細は、Apache Tomcat が提供する情報を参照
してください。

関連文書 (英語)
Apache Tomcat
Fixed in Apache Tomcat 9.0.5
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.5

Apache Tomcat
Fixed in Apache Tomcat 8.5.28
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.28

Apache Tomcat
Fixed in Apache Tomcat 8.0.50
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.50

Apache Tomcat
Fixed in Apache Tomcat 7.0.85
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.85

【3】Drupal に複数の脆弱性

情報源
US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/02/21/Drupal-Releases-Security-Updates

概要
Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が情報を
取得するなどの可能性があります。

対象となるバージョンは次のとおりです。

– Drupal 8.4.5 より前のバージョン
– Drupal 7.57 より前のバージョン

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core – Critical – Multiple Vulnerabilities – SA-CORE-2018-001
https://www.drupal.org/sa-core-2018-001

【4】FS010W に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#83834277
FS010W における複数の脆弱性
https://jvn.jp/jp/JVN83834277/

概要
富士ソフト株式会社が提供する WiFi ルータ「FS010W」には、複数の脆弱性が
あります。結果として、当該製品の設定ツールにログインしているユーザのウェ
ブブラウザ上で、遠隔の第三者が任意のスクリプトを実行するなどの可能性が
あります。

対象となるバージョンは次のとおりです。

– FS010W_00_V1.3.0 およびそれ以前

2018年2月27日現在、この問題に対する解決策は提供されていません。次の回
避策を全て適用することで、本脆弱性の影響を軽減することが可能です。

– 設定ツールのログインパスワードを初期の設定から変更する
– 設定ツールにログインしている間、他のウェブサイトにアクセスしない
– 設定ツールでの操作終了後は、ウェブブラウザを終了する

詳細は、富士ソフト株式会社が提供する情報を参照してください。

関連文書 (日本語)
富士ソフト株式会社
FS010W クロスサイトスクリプティングおよびクロスサイトリクエストフォージェリの脆弱性
https://www.fsi.co.jp/mobile/plusF/products/FS010W83834277.html

【5】iOS 版 LINE に SSL サーバ証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVNVU#75453852
iOS 版 LINE における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN75453852/

概要
LINE株式会社が提供する iOS 版 LINE には、SSL サーバ証明書の検証不備の
脆弱性があります。結果として、遠隔の第三者が暗号通信を盗聴するなどの可
能性があります。

対象となるバージョンは次のとおりです。

– iOS 版 LINE バージョン 7.1.3 から 7.15 まで

この問題は、iOS 版 LINE を LINE株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、LINE株式会社が提供する情報を参照し
てください。

関連文書 (日本語)
LINE株式会社
【脆弱性情報】「LINE」iOS版における SSL サーバ証明書の検証不備の脆弱性に関するお知らせ
https://linecorp.com/ja/security/article/135

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○総務省が「サイバーセキュリティに関する総務大臣奨励賞」の受賞者の公表

2018年2月23日、総務省は「サイバーセキュリティに関する総務大臣奨励賞」
の受賞者を公表しました。この賞は 2017年に創設され、企業・団体などサイ
バーセキュリティ対応の最前線において優れた功績を挙げている個人・団体を
表彰しています。今年度は個人 2名とひとつの団体が表彰されました。

個人の表彰では、情報セキュリティ国際会議「CODE BLUE」を立ち上げ、海外
各国の実務者の最新の考え方や知識を入手できる場を構築したことや、サイバー
セキュリティ分野において視覚障がい者が活躍できることを明らかにしたこと
が、功績として挙げられています。

団体の表彰では、高度な APT 攻撃の詳細情報を共有し、自社で発見した脅威
度の高い脆弱性の分析や経験を広く一般に公開するなど、先進的なセキュリティ
対策や手本となる CSIRT 活動を行ったことが、功績として挙げられています。

参考文献 (日本語)
総務省
「サイバーセキュリティに関する総務大臣奨励賞」の受賞者の公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000143.html

――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL を参照してください。

https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
を参照してください。

https://www.jpcert.or.jp/form/

以上。
__________

2018 (C) JPCERT/CC