■02/24(日)~03/02(土) のセキュリティ関連情報
目 次
【1】複数の Cisco 製品に脆弱性
【2】OpenSSL にパディングオラクル攻撃の脆弱性
【3】複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性
【4】Nablarch に複数の脆弱性
【今週のひとくちメモ】日本スマートフォンセキュリティ協会、「IoTセキュリティチェックシート 第二版」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr190901.html
https://www.jpcert.or.jp/wr/2019/wr190901.xml
============================================================================
【1】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/27/Cisco-Releases-Security-Updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- RV110W Wireless-N VPN Firewall 1.2.2.1 より前のバージョン
- RV130W Wireless-N Multifunction VPN Router 1.0.3.45 より前のバージョン
- RV215W Wireless-N VPN Router 1.3.1.1 より前のバージョン
- Cisco Webex Meetings Desktop App 33.6.6 より前のバージョン
- Cisco Webex Productivity Tools 32.6.0 以降 かつ 33.0.7 より前のバージョン
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex
Cisco Security Advisory
Cisco Webex Meetings Desktop App and Cisco Webex Productivity Tools Update Service Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-wmda-cmdinj
【2】OpenSSL にパディングオラクル攻撃の脆弱性
情報源
US-CERT Current Activity
OpenSSL Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/02/26/OpenSSL-Releases-Security-Update
概要
OpenSSL には、パディングオラクル攻撃が可能な脆弱性があります。結果とし
て、遠隔の第三者が通信情報を窃取する可能性があります。
対象となるバージョンは次のとおりです。
- OpenSSL 1.0.2 から 1.0.2q まで
この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン
に更新することで解決します。詳細は、OpenSSL Project が提供する情報を参
照してください。
関連文書 (日本語)
JPCERT/CC
OpenSSL の脆弱性 (CVE-2019-1559) について
https://www.jpcert.or.jp/newsflash/2019022701.html
関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [26 February 2019]
https://www.openssl.org/news/secadv/20190226.txt
【3】複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#83501605
WordPress 用プラグイン FormCraft におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN83501605/
Japan Vulnerability Notes JVN#97656108
WordPress 用プラグイン Smart Forms におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN97656108/
概要
WordPress 用プラグイン FormCraft および Smart Forms には、クロスサイト
リクエストフォージェリの脆弱性があります。結果として、遠隔の第三者がユー
ザの意図しない操作を行う可能性があります。
対象となる製品およびバージョンは次のとおりです。
- FormCraft 1.2.1 およびそれ以前
- Smart Forms 2.6.15 およびそれ以前
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
FormCraft
Changelog
https://wordpress.org/plugins/formcraft-form-builder/#developers
Smart Forms
Changelog
https://wordpress.org/plugins/smart-forms/#developers
【4】Nablarch に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#56542712
ナブラークにおける複数の脆弱性
https://jvn.jp/jp/JVN56542712/
概要
Nablarch (ナブラーク) には、複数の脆弱性があります。結果として、遠隔の
第三者が、サーバの情報を詐取したり、改ざんしたりする可能性があります。
対象となるバージョンは次のとおりです。
- Nablarch 5系 (5、および 5u1 から 5u13 まで)
この問題は、Nablarch を TIS株式会社が提供する修正済みのバージョンに更
新することで解決します。詳細は、TIS株式会社が提供する情報を参照してく
ださい。
関連文書 (日本語)
Nablarch
【不具合報告】Nablarch 汎用データフォーマット XXE脆弱性について
https://nablarch.atlassian.net/secure/attachment/10001/
Nablarch
【不具合報告】Nablarch HIDDENストア脆弱性について
https://nablarch.atlassian.net/secure/attachment/10002/
コメント