2018年3月の月例セキュリティ情報

2018年4月4日初版公開

2018年3月に公開された危険度の高い脆弱性情報
CVSSによる深刻度とは
脆弱性を悪用した攻撃に犯されてしまうと・・

1.2018年3月に公開された危険度の高い脆弱性情報

掲載範囲：CVSSv3 により深刻度が「緊急」と指定され、一般的に影響が大きいとされるものを抜粋

(1)LXR における OS コマンドインジェクションの脆弱性(CVE-2018-0545)

ベンダ情報 LXR : Known Bugs and Limitations in LXR
http://lxr.sourceforge.net/en/bugsandlimits.php

CVSS による深刻度 (緊急) [ NVD値 ]

概要 LXR Project が提供する LXR には、OS コマンドインジェクション (CWE-78) の脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 波多野冬馬氏

影響を受ける製品 LXR Project
LXR 1.0.0 から 2.3.0

対策 [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。

参考情報 LXR における OS コマンドインジェクションの脆弱性(JVNDB-2018-000028)
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-000028.html
Vulnerability Summary for CVE-2018-0545 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0545

(2)Tiny FTP Daemon におけるバッファオーバーフローの脆弱性(CVE-2018-0541)

ベンダ情報

CVSS による深刻度 (緊急) [ NVD値 ]

概要野村久之が提供する Tiny FTP Daemon は、FTP (File Transfer Protocol) サーバです。Tiny FTP Daemon には、バッファオーバーフロー（CWE-121）の脆弱性が存在します。この案件は、2017年12月5日に開催された公表判定委員会による判定にて、ソフトウエア製品等の脆弱性関連情報に関する取扱規程（平成29年経済産業省告示第19号）および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されたものです。 1. 当該案件が調整不能であること 2. 脆弱性が存在すると判断できること 3. IPAが公表しない限り、当該脆弱性情報を知り得ない製品利用者がいるおそれがあること 4. 製品開発者や製品利用者の状況等を総合的に勘案して、公表が適当でないと判断する理由・事情がないこと

影響を受ける製品野村久之
Tiny FTP Daemon バージョン 0.52d

対策 [Tiny FTP Daemon バージョン 0.52d の使用中止を検討してください] 製品開発者と連絡が取れないため、本脆弱性の対策状況は不明です。

参考情報 Tiny FTP Daemon におけるバッファオーバーフローの脆弱性(JVNDB-2018-000906)
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-000906.html
Vulnerability Summary for CVE-2018-0541 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0541

2.CVSSによる深刻度とは

本レポートにて設定されている値は、共通脆弱性評価システムである CVSS を用いて評価されております。
CVSS による深刻度（JVN iPedia）
https://jvndb.jvn.jp/nav/jvndbhelp.html
CVSS でぜい弱性を評価してみよう（ITpro）
http://itpro.nikkeibp.co.jp/article/COLUMN/20070808/279327/
National Vulnerability Database（NVD）
https://nvd.nist.gov/home

3. 脆弱性を悪用した攻撃に犯されてしまうと・・

上記脆弱性を悪用した攻撃やその他マルウェアに感染してしまうと、お使いの PC を乗っ取られたり金銭を要求する詐欺行為の被害に遭う恐れがあります。また、昨今のサイバー攻撃の被害は企業レベルに及ぶ場合もあり、その被害金額や対処に必要な工数が膨大になったり、訴訟問題になる事例も確認されております。業務やご家庭で PC をご利用されている以上、最低限のレベルでのセキュリティ対策は必須と言っても過言ではありません。まずはご使用の PC のセキュリティ状況をチェックし、各ベンダ提供のセキュリティパッチの適用、ウイルス対策ソフトのインストール等ご対応をお願い致します。
更なるサイバー犯罪の脅威の対策をお望みの方は、弊社がご提供させていただいているセキュリティソリューション「SHIELD」や、弊社も推奨させていただいている、最新ウイルスの駆除に特化した従来のパターンファイルでの駆除に依存しない次世代セキュリティソリューション「yarai」をお勧め致します。
https://www.hitachi-systems.com/solution/t01/shield/
https://www.hitachi-systems.com/solution/s105/yarai/index.html

※ ウイルス対策製品は企業ごと多種多様の性能を備えております。詳しくは各ベンダのサイト等をご参照下さい。

上に戻る
※ 各会社名、団体名、商品名は各社、各団体の商品名称、または登録商標です。

ベンダ情報	LXR : Known Bugs and Limitations in LXR http://lxr.sourceforge.net/en/bugsandlimits.php
CVSS による深刻度	(緊急) [ NVD値 ]
概要	LXR Project が提供する LXR には、OS コマンドインジェクション (CWE-78) の脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 波多野冬馬氏
影響を受ける製品	LXR Project LXR 1.0.0 から 2.3.0
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
参考情報	LXR における OS コマンドインジェクションの脆弱性(JVNDB-2018-000028) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-000028.html Vulnerability Summary for CVE-2018-0545 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0545

2018年3月の月例セキュリティ情報

1.2018年3月に公開された危険度の高い脆弱性情報

掲載範囲：CVSSv3 により深刻度が「緊急」と指定され、一般的に影響が大きいとされるものを抜粋

(1)LXR における OS コマンドインジェクションの脆弱性(CVE-2018-0545)

(2)Tiny FTP Daemon におけるバッファオーバーフローの脆弱性(CVE-2018-0541)

2.CVSSによる深刻度とは

3. 脆弱性を悪用した攻撃に犯されてしまうと・・

免責事項や著作権など