カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Adobe Flash Player の脆弱性 (APSB19-26) に関する注意喚起

 JPCERT/CCからの「Adobe Flash Player の脆弱性 (APSB19-26) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0021
JPCERT/CC
2019-05-15
<<< JPCERT/CC Alert 2019-05-15 >>>
Adobe Flash Player の脆弱性 (APSB19-26) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190021.html

I.概要

アドビから Adobe Flash Player に関する脆弱性の情報 (APSB19-26) が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、リモートからの攻撃によって、実行中のユーザ権限で任意のコードが実行される恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ株式会社

Security Bulletin for Adobe Flash Player | APSB19-26
https://helpx.adobe.com/security/products/flash-player/apsb19-26.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Flash Player Desktop Runtime (32.0.0.171) およびそれ以前

(Windows, macOS および Linux)
– Adobe Flash Player for Google Chrome (32.0.0.171) およびそれ以前
(Windows, macOS, Linux および Chrome OS)
– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.171) およびそれ以前
(Windows 10 および Windows 8.1)

お使いの Adobe Flash Player のバージョンは、次のページで確認できます。
Flash Player ヘルプ

https://helpx.adobe.com/jp/flash-player.html

III.対策

Adobe Flash Player を次の最新のバージョンに更新してください。

– Adobe Flash Player Desktop Runtime (32.0.0.192)

(Windows, macOS および Linux)
– Adobe Flash Player for Google Chrome (32.0.0.192)
(Windows, macOS, Linux および Chrome OS)
– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.192)
(Windows 10 および Windows 8.1)

Adobe Flash Player ダウンロード

https://get.adobe.com/jp/flashplayer/

ブラウザに同梱されているなど、アドビ以外の配布元より提供される場合には、配布元からの情報に注意してください。なお、次の製品については、アドビ以外の配布元より Adobe Flash Player のアップデートが提供されます。
– Microsoft Windows 10

– Microsoft Windows 8.1
– Google Chrome

マイクロソフト社からは、Windows Update などで最新の Adobe Flash Playerが更新プログラムとして提供されます。
ADV190012 | 2019 年 5 月の Adobe Flash のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV190012

なお、ブラウザ以外にも Microsoft Office のように、Adobe Flash Player を使用するソフトウエアがあります。ブラウザにて Adobe Flash Player を使用していない場合などでも、アップデートを行ってください。

IV. 回避策

アップデートを適用するまでの間は、脆弱性の影響を軽減するため、次に記載する回避策を参考に、Flash を無効にしたり、Flash を使用したコンテンツの表示を制限したりすることも検討してください。
なお、回避策を適用することで、一部アプリケーションが動作しなくなるなどの不具合が発生する可能性があります。
回避策の適用については、十分に影響範囲を考慮の上、行ってください。

– 信頼できない Flash コンテンツを表示しない

ブラウザ上で Flash を無効に設定してください。または、Click-to-Play 機能を有効にしてください。Microsoft Office では保護モードを有効とすることで影響を回避することができます。

V. 参考情報

アドビシステムズ株式会社
Security Bulletin for Adobe Flash Player | APSB19-26
https://helpx.adobe.com/security/products/flash-player/apsb19-26.html

アドビシステムズ株式会社

Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1746

マイクロソフト株式会社

Microsoft Edge における Flash Player の有効・無効
https://answers.microsoft.com/ja-JP/windows/wiki/apps_windows_10-msedge/microsoft-edge/248bf728-44f4-4b4a-ae50-8b66ee7a96ca

マイクロソフト株式会社

ADV190012 | 2019 年 5 月の Adobe Flash のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV190012

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

ISC BIND 9 に対する複数の脆弱性に関する注意喚起

 JPCERT/CCからの「ISC BIND 9 に対する複数の脆弱性に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0019
JPCERT/CC
2019-04-25
<<< JPCERT/CC Alert 2019-04-25 >>>
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190019.html

I.概要

ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって、named が異常終了する可能性や、named に割り当てられたファイル記述子のリソースが意図せず使用され枯渇することで、ネットワーク接続やゾーンジャーナル等のファイル管理に影響する可能性があります。
なお、ISC は、脆弱性 CVE-2018-5743 に対する深刻度を「高 (High)」、脆弱性 CVE-2019-6467 に対する深刻度を「中 (Medium)」と評価しています。脆弱性の詳細については、ISC の情報を確認してください。

Internet Systems Consortium, Inc. (ISC)

CVE-2018-5743: Limiting simultaneous TCP clients is ineffective
https://kb.isc.org/docs/cve-2018-5743

Internet Systems Consortium, Inc. (ISC)

CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c
https://kb.isc.org/docs/cve-2019-6467

また、上記以外に Supported Preview Edition のみが影響を受ける脆弱性(CVE-2019-6468) があります。
影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。

II.対象

脆弱性の影響を受けるバージョンは次のとおりです。

– CVE-2018-5743

 - BIND 9.14.0
 - BIND 9.12系 9.12.0 から 9.12.4 まで
 - BIND 9.11系 9.11.0 から 9.11.6 まで
 - BIND Supported Preview Edition 9.9.3-S1 から 9.11.5-S3 まで
 - BIND Supported Preview Edition 9.11.5-S5

– CVE-2019-6467

 - BIND 9.14.0
 - BIND 9.12系 9.12.0 から 9.12.4 まで

– CVE-2019-6468

 - BIND Supported Preview Edition 9.10.5-S1 から 9.11.5-S5 まで
 ※ 本脆弱性は Supported Preview Edition のみが対象になります

なお、CVE-2018-5743 については、既にサポートが終了している 9.9系及び9.10系も影響を受けるとのことです。
ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。

III.対策

ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。
また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

– BIND 9.11.6-P1

– BIND 9.12.4-P1
– BIND 9.14.1
– BIND Supported Preview Edition version 9.11.5-S6
– BIND Supported Preview Edition version 9.11.6-S1

IV. 参考情報

株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(ファイル記述子の過度な消費)について
(CVE-2018-5743) – フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-tcp-clients.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6467)
– nxdomain-redirect機能を有効にしている場合のみ対象、バージョンアップを推奨
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-nxdomain-redirect.html

Internet Systems Consortium, Inc. (ISC)

CVE-2018-5743: Limiting simultaneous TCP clients is ineffective
https://kb.isc.org/docs/cve-2018-5743

Internet Systems Consortium, Inc. (ISC)

CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c
https://kb.isc.org/docs/cve-2019-6467

Internet Systems Consortium, Inc. (ISC)

CVE-2019-6468: BIND Supported Preview Edition can exit with an assertion failure if nxdomain-redirect is used
https://kb.isc.org/docs/cve-2019-6468

Internet Systems Consortium, Inc. (ISC)

BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

Drupal に複数の脆弱性

最終更新日: 2019/04/24

情報源

US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/17/Drupal-Releases-Security-Updates

概要

Drupal には、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。

– Drupal 8.6.15 より前の 8.6 系のバージョン
– Drupal 8.5.15 より前の 8.5 系のバージョン
– Drupal 7.66 より前の 7 系のバージョン

 なお、Drupal 8.5 系より前の 8 系のバージョンは、サポートが終了しており、今回のセキュリティに関する情報は提供されていません。
この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新することで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書(英語)

Drupal

Drupal core – Moderately critical – Multiple Vulnerabilities – SA-CORE-2019-005

https://www.drupal.org/sa-core-2019-005

Drupal

Drupal core – Moderately critical – Cross Site Scripting – SA-CORE-2019-006
https://www.drupal.org/sa-core-2019-006

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-24」
https://www.jpcert.or.jp/wr/2019/wr191601.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2019/04/24

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/17/Cisco-Releases-Security-Update-Cisco-IOS-XR

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりです。

– Cisco IOS XR 64-Bit ソフトウエアが稼働している Cisco ASR 9000 Series Aggregation Services Routers
– Cisco Wireless LAN Controller (WLC) ソフトウエア
– Cisco Expressway Series
– Cisco TelePresence Video Communication Server (VCS)
– Cisco Aironet 1540 Series Access Points
– Cisco Aironet 1560 Series Access Points
– Cisco Aironet 1800 Series Access Points
– Cisco Aironet 2800 Series Access Points
– Cisco Aironet 3800 Series Access Points

※上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。これらの対象製品の情報は、Cisco が提供するアドバイザリ情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco IOS XR 64-Bit Software for Cisco ASR 9000 Series Aggregation Services Routers Network Isolation VulnerabilityTitle of article
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-asr9k-exr

Cisco Security Advisory

Cisco Wireless LAN Controller Software IAPP Message Handling Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-iapp

Cisco Security Advisory

Cisco Wireless LAN Controller Software GUI Configuration Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-gui

Cisco Security Advisory

Cisco Wireless LAN Controller Software Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-csrf

Cisco Security Advisory

Cisco Expressway Series and Cisco TelePresence Video Communication Server Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-es-tvcs-dos

Cisco Security Advisory

Cisco Aironet Series Access Points Development Shell Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-aironet-shell

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-24」
https://www.jpcert.or.jp/wr/2019/wr191601.html

 

2019年 4月 Oracle Critical Patch Update について

最終更新日: 2019/04/24

情報源

US-CERT Current Activity
Oracle Releases April 2019 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2019/04/16/Oracle-Releases-April-2019-Security-Bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
2019年 4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190017.html

関連文書(英語)

Oracle Corporation

Oracle Critical Patch Update Advisory – April 2019
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-24」
https://www.jpcert.or.jp/wr/2019/wr191601.html

 

2019年 4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起

 JPCERT/CCからの「2019年 4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0017
JPCERT/CC
2019-04-17
<<< JPCERT/CC Alert 2019-04-17 >>>
2019年 4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190017.html

I.概要

2019年 4月16日(現地時間)、Oracle は、複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。

Oracle Critical Patch Update Advisory – April 2019
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不正終了したり、任意のコードが実行されたりするなどの恐れがあります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。

II.対象

対象として、次の製品およびバージョンが含まれています。

– Java SE JDK/JRE 11.0.2 およびそれ以前

– Java SE JDK/JRE 12
– Oracle Database Server 11.2.0.4
– Oracle Database Server 12.1.0.2
– Oracle Database Server 12.2.0.1
– Oracle Database Server 18c
– Oracle Database Server 19c
– Oracle WebLogic Server 10.3.6.0.0
– Oracle WebLogic Server 12.1.3.0.0
– Oracle WebLogic Server 12.2.1.3.0

ただし、対象となる製品およびバージョンは多岐に渡りますので、正確な情報は Oracle の情報を参照してください。
また、PC に Java JRE がプリインストールされている場合や、サーバで使用するソフトウエア製品に、WebLogic を使用している場合もあります。利用中の PC やサーバに対象となる製品が含まれていないかについても確認してください。
なお、Oracle によると Java SE について、既に公式アップデートを終了している Java SE JDK/JRE 7 および Java SE JDK/JRE 8 も脆弱性の影響を受けるとのことです。

III.対策

Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されています。Java SE、Oracle Database および WebLogic では、次のバージョンが公開されています。

– Java SE JDK/JRE 11.0.3

– Java SE JDK/JRE 12.0.1
– Oracle Database Server 11.2.0.4 ※
– Oracle Database Server 12.1.0.2 ※
– Oracle Database Server 12.2.0.1 ※
– Oracle Database Server 18c ※
– Oracle Database Server 19c ※
– Oracle WebLogic Server 10.3.6.0 ※
– Oracle WebLogic Server 12.1.3.0 ※
– Oracle WebLogic Server 12.2.1.3 ※

※ 対策が施されたパッチ情報の詳細については、4月17日時点の公開情報では確認できませんでしたので、Oracle 等に確認してください。
製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
Java SE Downloads

https://www.oracle.com/technetwork/java/javase/downloads/index.html

無料Javaのダウンロード

https://java.com/ja/download/

また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用してください。
お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)
Javaのバージョンの確認

https://www.java.com/ja/download/installed.jsp

また、Oracle によると、今月 2019年1月をもって、商用ユーザに向けた JavaSE 8 の公式アップデートの提供が終了しました。今後 Java SE を継続利用する商用ユーザは、Oracle が提供する情報を元に、後継のバージョンへの移行等の検討をしてください。
Oracle

Oracle Java SE サポート・ロードマップ
https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html

IPA

公式アップデートの提供方法の変更に伴う Java SE の商用ユーザに向けた注意喚起
https://www.ipa.go.jp/security/announce/java8_eol.html

IV. 参考情報

Oracle Corporation
Oracle Critical Patch Update Advisory – April 2019
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

Oracle Corporation

Java Development Kit 11 Update Release Notes
https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html

Oracle Corporation

Java Development Kit 12 Update Release Notes
https://www.oracle.com/technetwork/java/javase/documentation/12u-relnotes-5211424.html

Oracle Corporation

April 2019 Critical Patch Update Released
https://blogs.oracle.com/security/april-2019-critical-patch-update-released

日本オラクル株式会社

Oracle Java SE サポート・ロードマップ
https://www.oracle.com/technetwork/jp/java/eol-135779-ja.html

US-CERT

Oracle Releases April 2019 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2019/04/16/Oracle-Releases-April-2019-Security-Bulletin

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

スマートフォンアプリ「MyCar Controls」に管理者の認証情報がハードコードされている問題

最終更新日: 2019/04/17

情報源

CERT/CC Vulnerability Note VU#174715
MyCar Controls uses hard-coded credentials

https://www.kb.cert.org/vuls/id/174715/

Japan Vulnerability Notes JVNVU#96036964

スマートフォンアプリ「MyCar Controls」において管理者の認証情報がハードコードされている問題
https://jvn.jp/vu/JVNVU96036964/

概要

スマートフォンアプリ「MyCar Controls」には、管理者の認証情報がハードコードされている問題があります。結果として、遠隔の認証されていない第三者が、当該製品へコマンドを送信したり、データを取得したりする可能性があります。
対象となる製品およびバージョンは次のとおりです。

– iOS アプリ「MyCar Controls」 v3.4.24 より前のバージョン
– Android アプリ「MyCar Controls」 v4.1.2 より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-17」
https://www.jpcert.or.jp/wr/2019/wr191501.html

 

Apache Tomcat にリモートコード実行の脆弱性

最終更新日: 2019/04/17

情報源

US-CERT Current Activity
Apache Releases Security Updates for Apache Tomcat
https://www.us-cert.gov/ncas/current-activity/2019/04/14/Apache-Releases-Security-Updates-Apache-Tomcat

概要

Apache Tomcat には、遠隔の第三者が任意のコードを実行可能な脆弱性があります。
対象となるバージョンは次のとおりです。

– Apache Tomcat 9.0.0.M1 から 9.0.17 まで
– Apache Tomcat 8.5.0 から 8.5.39 まで
– Apache Tomcat 7.0.0 から 7.0.93 まで

なお、本脆弱性は、Windows で利用している Apache Tomcat において、enableCmdLineArguments が有効になっている場合に影響を受けるとのことです。
この問題は、Apache Tomcat を The Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、The ApacheSoftware Foundation が提供する情報を参照してください。

関連文書 (英語)

The Apache Software Foundation

[SECURITY] CVE-2019-0232 Apache Tomcat Remote Code Execution on Windows
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201904.mbox/%3c13d878ec-5d49-c348-48d4-25a6c81b9605@apache.org%3e

The Apache Tomcat team

[ANN] Apache Tomcat 9.0.19 available
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201904.mbox/%3cd49d13f3-0787-1cb6-f98d-195eb31811f2@apache.org%3e

The Apache Tomcat team

[ANN] Apache Tomcat 8.5.40 available
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201904.mbox/%3cf10fd044-c708-1c63-1beb-13ce17f5a79a@apache.org%3e

The Apache Tomcat team

[ANN] Apache Tomcat 7.0.94 released
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201904.mbox/%3c81957d4a-d6a0-2276-fa6a-f1904a37b9de@apache.org%3e

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-17」
https://www.jpcert.or.jp/wr/2019/wr191501.html

 

WPA3 のプロトコルと実装に複数の脆弱性

最終更新日: 2019/04/17

情報源

CERT/CC Vulnerability Note VU#871675
WPA3 design issues and implementation vulnerabilities in hostapd and wpa_supplicant
https://www.kb.cert.org/vuls/id/871675/

概要

WPA3 プロトコルならびに hostapd と wpa_supplicant の実装には、複数の脆弱性があります。結果として、遠隔の第三者が、情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となる製品は次のとおりです。

– WPA3 プロトコルを実装している製品

この問題は、hostapd と wpa_supplicant を開発者が提供する修正済みのバージョンに更新することで解決します。また、この問題に対して、ベンダなどから対策に関する情報が公開されています。修正済みのバージョンが公開されている場合は適用することをおすすめします。詳細は、開発者やベンダなどが提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#94228755
WPA3 のプロトコルと実装に複数の脆弱性
https://jvn.jp/vu/JVNVU94228755/

関連文書 (英語)

Wi-Fi Alliance

SAE side-channel attacks
https://w1.fi/security/2019-1/sae-side-channel-attacks.txt

Wi-Fi Alliance

EAP-pwd side-channel attack
https://w1.fi/security/2019-2/eap-pwd-side-channel-attack.txt

Wi-Fi Alliance

SAE confirm missing state validation
https://w1.fi/security/2019-3/sae-confirm-missing-state-validation.txt

Wi-Fi Alliance

EAP-pwd missing commit validation
https://w1.fi/security/2019-4/eap-pwd-missing-commit-validation.txt

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-17」
https://www.jpcert.or.jp/wr/2019/wr191501.html

 

Wireshark に複数の脆弱性

最終更新日: 2019/04/17

情報源

Wireshark
Wireshark 3.0.1, 2.6.8 and 2.4.14 Released
https://www.wireshark.org/news/20190408.html

概要

Wireshark には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。

– Wireshark 3.0.1 より前のバージョン
– Wireshark 2.6.8 より前のバージョン
– Wireshark 2.4.14 より前のバージョン

この問題は、Wireshark を Wireshark Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、Wireshark Foundation が提供する情報を参照してください。

関連文書 (英語)

Wireshark
Wireshark 3.0.1 Release Notes

https://www.wireshark.org/docs/relnotes/wireshark-3.0.1.html

Wireshark

Wireshark 2.6.8 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.6.8.html

Wireshark

Wireshark 2.4.14 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.4.14.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-17」
https://www.jpcert.or.jp/wr/2019/wr191501.html