■03/31(日)~04/06(土) のセキュリティ関連情報
目 次
【1】Apache HTTP Server に複数の脆弱性
【2】GNU Wget にバッファオーバーフローの脆弱性
【3】Ruby に複数の脆弱性
【4】オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性
【5】Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性
【今週のひとくちメモ】メキシコ・ブラジルのCSIRTを訪ねて
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191401.html
https://www.jpcert.or.jp/wr/2019/wr191401.xml
============================================================================
【1】Apache HTTP Server に複数の脆弱性
情報源
US-CERT Current Activity
Apache Releases Security Update for Apache HTTP Server
https://www.us-cert.gov/ncas/current-activity/2019/04/04/Apache-Releases-Security-Update-Apache-HTTP-Server
概要
Apache HTTP Server には、複数の脆弱性があります。結果として、第三者が
root 権限で任意のコマンドを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Apache HTTP Server 2.4.39 より前のバージョン
この問題は、Apache HTTP Server を Apache Software Foundation が提供す
る修正済みのバージョンに更新することで解決します。詳細は、
Apache Software Foundation が提供する情報を参照してください。
関連文書 (英語)
Apache Software Foundation
Fixed in Apache httpd 2.4.39
https://httpd.apache.org/security/vulnerabilities_24.html
Apache Software Foundation
Apache HTTP Server 2.4.39 Released
https://www.apache.org/dist/httpd/Announcement2.4.html
【2】GNU Wget にバッファオーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVN#25261088
GNU Wget におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN25261088/
概要
GNU Wget には、バッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃
を行ったりする可能性があります。
対象となるバージョンは次のとおりです。
- GNU Wget 1.20.1 およびそれ以前
この問題は、GNU Wget を GNU Project が提供する修正済みのバージョンに更
新することで解決します。詳細は、GNU Project が提供する情報を参照してく
ださい。
関連文書 (英語)
GNU Project
Downloading GNU Wget
https://www.gnu.org/software/wget/
【3】Ruby に複数の脆弱性
情報源
Ruby
Ruby 2.4.6 リリース
https://www.ruby-lang.org/ja/news/2019/04/01/ruby-2-4-6-released/
概要
Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを
実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- Ruby 2.4.5 およびそれ以前
この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す
るか、パッチを適用することで解決します。なお、Ruby 2.4 系は、1年間のセ
キュリティメンテナンスフェーズに移行し、期間終了後、公式サポートが終了
します。そのため、Ruby 2.6 系などの新しいバージョンへの移行が推奨され
ています。
関連文書 (日本語)
JPCERT/CC WEEKLY REPORT 2019-03-20号
【6】Ruby に複数の脆弱性
https://www.jpcert.or.jp/wr/2019/wr191101.html#6
【4】オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性
情報源
Japan Vulnerability Notes JVNVU#98267543
オムロン製 CX-One に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU98267543/
概要
CX-One には、解放済みメモリ使用 (use-after-free) の脆弱性があります。
結果として、第三者がアプリケーションの権限で任意のコードを実行する可能
性があります。
対象となるバージョンは次のとおりです。
- 次のアプリケーションを含む CX-One
- CX-Programmer Version 9.70 およびそれ以前
- Common Components January 2019 およびそれ以前
この問題は、該当するアプリケーションをオムロン株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、オムロン株式会社が提
供する情報を参照してください。
関連文書 (日本語)
オムロン株式会社
CX-One バージョンアップ プログラム ダウンロード
https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html
オムロン株式会社
CX-Programmer の更新内容
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#cx_programmer
オムロン株式会社
共通モジュール の更新内容
https://www.fa.omron.co.jp/product/tool/26/cxone/j4_doc.html#common_module
【5】Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性
情報源
Japan Vulnerability Notes JVN#01119243
Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN01119243/
概要
Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する
API サーバには、アクセス制限不備の脆弱性があります。結果として、遠隔の
第三者が、ユーザの登録情報を取得したり、改ざんしたりする可能性がありま
す。
対象となるバージョンは次のとおりです。
- Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」 バージョン 1.2.4 およびそれ以前
Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」の開発および
サポートは終了しています。当該製品の使用を停止し、アンインストールして
ください。東日本旅客鉄道株式会社は、自身のホームページ、スマートフォン
アプリ「JR東日本アプリ」、および LINE の「JR東日本 Chat Bot」の使用を
推奨しています。
関連文書 (日本語)
東日本旅客鉄道株式会社
JR 東日本 列車運行情報アプリのサービス終了について
https://www.jreast.co.jp/press/2018/20190310.pdf
コメント