カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

複数の Cisco 製品に脆弱性

最終更新日: 2017/11/08

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/11/01/Cisco-Releases-Security-Updates

US-CERT Current Activity

Cisco Releases Security Update for IOS XE Software
https://www.us-cert.gov/ncas/current-activity/2017/11/03/Cisco-Releases-Security-Update-IOS-XE-Software

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– iOS 11.1 より前のバージョン
– Safari 11.0.1 より前のバージョン
– tvOS 11.1 より前のバージョン
– watchOS 4.1 より前のバージョン
– iTunes 12.7.1 for Windows より前のバージョン
– iCloud for Windows 7.1 より前のバージョン
– macOS High Sierra 10.13.1 より前のバージョン
– macOS Sierra
– OS X El Capitan

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco Wireless LAN Controller 802.11v Basic Service Set Transition Management Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-wlc2

Cisco Security Advisory

Cisco Wireless LAN Controller Simple Network Management Protocol Memory Leak Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-wlc1

Cisco Security Advisory

Cisco Identity Services Engine Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-ise

Cisco Security Advisory

Cisco Firepower 4100 Series NGFW and Firepower 9300 Security Appliance Smart Licensing Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-fpwr

Cisco Security Advisory

Cisco Prime Collaboration Provisioning Authenticated SQL Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-cpcp

Cisco Security Advisory

Cisco Application Policy Infrastructure Controller Enterprise Module Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-apicem

Cisco Security Advisory

Cisco Aironet 1560, 2800, and 3800 Series Access Point Platforms Extensible Authentication Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-aironet2

Cisco Security Advisory

Cisco Aironet 1560, 2800, and 3800 Series Access Point Platforms 802.11 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-aironet1

Cisco Security Advisory

Cisco IOS XE Software Ethernet Virtual Private Network Border Gateway Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171103-bgp

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-11-08」
https://www.jpcert.or.jp/wr/2017/wr174301.html

 

複数の Apple 製品に脆弱性

最終更新日: 2017/11/08

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/10/31/Apple-Releases-Multiple-Security-Updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– iOS 11.1 より前のバージョン
– Safari 11.0.1 より前のバージョン
– tvOS 11.1 より前のバージョン
– watchOS 4.1 より前のバージョン
– iTunes 12.7.1 for Windows より前のバージョン
– iCloud for Windows 7.1 より前のバージョン
– macOS High Sierra 10.13.1 より前のバージョン
– macOS Sierra
– OS X El Capitan

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99000953
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99000953/

関連文書(英語)

Apple

About the security content of iOS 11.1
https://support.apple.com/en-us/HT208222

Apple

About the security content of Safari 11.0.1
https://support.apple.com/en-us/HT208223

Apple

About the security content of tvOS 11.1
https://support.apple.com/en-us/HT208219

Apple

About the security content of watchOS 4.1
https://support.apple.com/en-us/HT208220

Apple

About the security content of iTunes 12.7.1 for Windows
https://support.apple.com/en-us/HT208224

Apple

About the security content of iCloud for Windows 7.1
https://support.apple.com/en-us/HT208225

Apple

About the security content of macOS High Sierra 10.13.1, Security Update 2017-001 Sierra, and Security Update 2017-004 El Capitan
https://support.apple.com/en-us/HT208221

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-11-08」
https://www.jpcert.or.jp/wr/2017/wr174301.html

 

Wi-Fi Protected Access II (WPA2) に関する脆弱性が公開

最終更新日: 2017/10/25

 

2017年10月16日 (米国時間)、CERT/CC は WPA2 に関する脆弱性の情報を公開しました。この一連の脆弱性を報告した研究者によると、WPA2 のハンドシェイク中に Nonce およびセッション鍵の再利用を許容してしまう問題があるとのことです。この問題を悪用された場合、第三者が、中間者攻撃によって得たパケットを復号するなどの可能性があり、研究者からは説明を含めた動画が公開されています。当該脆弱性の影響を受けるとされる製品は複数存在しています。影響を受ける製品の利用者は、開発者からの情報に基づいて、修正済みのバージョンにアップデートするなど、適切な対応をとることが望まれます。

参考文献 (日本語)

Japan Vulnerability Notes JVNVU#90609033
Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題
https://jvn.jp/vu/JVNVU90609033/

情報処理推進機構 (IPA)

WPA2 における複数の脆弱性について
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html

参考文献 (英語)

CERT/CC Vulnerability Note VU#228519
Wi-Fi Protected Access (WPA) handshake traffic can be manipulated to induce nonce and session key reuse
https://www.kb.cert.org/vuls/id/228519/

KRACK Attacks: Breaking WPA2

Key Reinstallation Attacks
https://www.krackattacks.com/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-10-25」
https://www.jpcert.or.jp/wr/2017/wr174101.html

 

複数の Cisco 製品に脆弱性

最終更新日: 2017/10/25

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/10/18/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、製品にログイン可能な第三者が任意の操作を実行したり、遠隔の第三者がサービス運用妨害 (DoS)攻撃を行ったりする可能性があります。
対象となる製品およびバージョンは次のとおりです。
– Cisco Cloud Services Platform (CSP) 2100 2.1.0、2.1.1、2.1.2、2.2.0、2.2.1、2.2.2

– AAA サービスを有効にしている Cisco FXOS
– AAA サービスを有効にしている Cisco NX-OS
– Cisco Small Business SPA50x Series IP Phone 7.6.2SR1 およびそれ以前
– Cisco Small Business SPA51x Series IP Phone 7.6.2SR1 およびそれ以前
– Cisco Small Business SPA52x Series IP Phone 7.6.2SR1 およびそれ以前

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Cloud Services Platform 2100 Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-ccs

Cisco Security Advisory

Cisco FXOS and NX-OS System Software Authentication, Authorization, and Accounting Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-aaavty

Cisco Security Advisory

Cisco Small Business SPA50x, SPA51x, and SPA52x Series IP Phones SIP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-sip1

Cisco Security Advisory

Cisco Small Business SPA51x Series IP Phones SIP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-sip

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-10-25」
https://www.jpcert.or.jp/wr/2017/wr174101.html

 

2017年10月 Oracle Critical Patch Update について

最終更新日: 2017/10/25

情報源

US-CERT Current Activity
Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2017/10/17/Oracle-Releases-Security-Bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC Alert 2017-10-18
2017年 10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170041.html

関連文書 (英語)

Oracle

Oracle Critical Patch Update Advisory – October 2017
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

JPCERT/CC Alert 2017-10-17

Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170040.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-10-25」
https://www.jpcert.or.jp/wr/2017/wr174101.html

 

Adobe Flash Player に任意のコードが実行可能な脆弱性

最終更新日: 2017/10/25

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/10/16/Adobe-Releases-Security-Updates

概要

Adobe Flash Player には、型の混同 (Type Confusion) の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。

– Adobe Flash Player デスクトップランタイム 27.0.0.159 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)

この問題は、Adobe Flash Player を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe セキュリティ情報
Flash Player 用のセキュリティアップデート公開 | APSB17-32
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-32.html

Japan Vulnerability Notes JVNVU#92489697

Adobe Flash Player に型の混同 (Type Confusion) の脆弱性
https://jvn.jp/vu/JVNVU92489697/

JPCERT/CC Alert 2017-10-17

Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170040.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-10-25」
https://www.jpcert.or.jp/wr/2017/wr174101.html

 

サイボウズ Office にアクセス制限不備の脆弱性

最終更新日: 2017/10/18

情報源

Japan Vulnerability Notes JVN#14658424
サイボウズ Office におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN14658424/

概要

サイボウズ Office には、アクセス制限不備の脆弱性があります。結果として、当該製品のアカウントを持つユーザが、権限のないフォルダを操作する可能性があります。
対象となるバージョンは次のとおりです。

– サイボウズ Office 10.0.0 から 10.6.1 まで

この問題は、サイボウズ Office をサイボウズ株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を参照してください。

関連文書 (日本語)

サイボウズ株式会社
[CyVDB-1353]ファイル管理に関する操作制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/9811

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-10-18」
https://www.jpcert.or.jp/wr/2017/wr174001.html

 

Mozilla Thunderbird に複数の脆弱性

最終更新日: 2017/10/18

情報源

US-CERT Current Activity
Mozilla Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/10/11/Mozilla-Releases-Security-Update

概要

Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となるバージョンは次のとおりです。

– Mozilla Thunderbird 52.4 より前のバージョン

この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (英語)

Mozilla
Mozilla Foundation Security Advisories (October 9, 2017)
https://www.mozilla.org/en-US/security/advisories/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-10-18」
https://www.jpcert.or.jp/wr/2017/wr174001.html

 

複数の Microsoft 製品に脆弱性

最終更新日: 2017/10/18

情報源

US-CERT Current Activity
Microsoft Releases October 2017 Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/10/10/Microsoft-Releases-October-2017-Security-Updates

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。

– Internet Explorer
– Microsoft Edge
– Microsoft Windows
– Microsoft Office and Microsoft Office Services および Web Apps
– Skype for Business および Lync
– Chakra Core

この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2017 年 10 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/313ae481-3088-e711-80e2-000d3a32fc99

JPCERT/CC Alert 2017-10-11

2017年 10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170039.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-10-18」
https://www.jpcert.or.jp/wr/2017/wr174001.html

 

Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起

 JPCERT/CCからの「Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2017-0040
JPCERT/CC
2017-10-17
<<< JPCERT/CC Alert 2017-09-13 >>>
Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170040.html

I.概要

アドビから Adobe Flash Player に関する脆弱性の情報 (APSB17-32) が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、リモートからの攻撃によって、任意のコードが実行される恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

Security updates available for Flash Player | APSB17-32
https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

なお、アドビは、脆弱性 (CVE-2017-11292) が限定的な標的型攻撃に用いられたとしています。Kaspersky Lab からは、当該脆弱性を悪用した攻撃に関する情報が公開されています。攻撃が観測された地域に日本は含まれておりませんが、当該脆弱性を悪用した攻撃が行われる可能性がありますので、対策の検討を推奨いたします。

Kaspersky Lab
BlackOasis APT and new targeted attacks leveraging zero-day exploit
https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/

II.対象

対象となる製品とバージョンは次のとおりです。

– Adobe Flash Player Desktop Runtime (27.0.0.159) およびそれ以前
(Windows, Macintosh および Linux)
– Adobe Flash Player for Google Chrome (27.0.0.159) およびそれ以前
(Windows, Macintosh, Linux および Chrome OS)
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (27.0.0.130) およびそれ以前
(Windows 10 および Windows 8.1)
お使いの Adobe Flash Player のバージョンは、次のページで確認できます。
Flash Player ヘルプ

https://helpx.adobe.com/jp/flash-player.html

III.対策

Adobe Flash Player を次の最新のバージョンに更新してください。

– Adobe Flash Player Desktop Runtime (27.0.0.170)
(Windows, Macintosh および Linux)
– Adobe Flash Player for Google Chrome (27.0.0.170)
(Windows, Macintosh, Linux および Chrome OS)
Adobe Flash Player ダウンロードセンター
https://get.adobe.com/jp/flashplayer/
ブラウザに同梱されているなど、アドビ以外の配布元より提供される場合には、配布元からの情報に注意してください。なお、次のブラウザについては、Adobe Flash Player が同梱されています。
– Internet Explorer 11 (Windows 10 および Windows 8.1)
– Microsoft Edge (Windows 10)
– Google Chrome
Internet Explorer 11 や Microsoft Edge では、Windows Update などで最新の Adobe Flash Player が更新プログラムとして提供されます。Google Chrome は、Google Chrome のアップデート時に、Adobe Flash Player が更新されます。

IV. 回避策

アップデートを適用するまでの間は、脆弱性の影響を軽減するため、次に記載する回避策を参考に、ブラウザ上で Flash を無効にしたり、Flash の表示を
制限することも検討してください。
なお、回避策を適用することで、一部アプリケーションが動作しなくなるなどの不具合が発生する可能性があります。
回避策の適用については、十分に影響範囲を考慮の上、行ってください。
回避策の適用については、十分に影響範囲を考慮の上、行ってください。
– ブラウザ上で Flash を無効にしてください。または Click-to-Play 機能を有効にしてください。なお、Microsoft Edge では、Flash を無効にすることが回避策として挙げられます。詳細は参考情報を参照してください。
– Internet Explorer の「インターネット オプション」からセキュリティタブを開き、インターネットゾーンおよびローカルイントラネットゾーンのセキュリティのレベルを「高」に設定してください。

V. 参考情報

アドビシステムズ株式会社
Security updates available for Flash Player | APSB17-32
https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

アドビシステムズ株式会社

Security updates available for Adobe Flash Player (APSB17-32)
https://blogs.adobe.com/psirt/?p=1505

マイクロソフト株式会社

Microsoft Edge における Flash Player の有効・無効
https://answers.microsoft.com/ja-jp/windows/wiki/apps_windows_10-msedge/microsoft-edge/248bf728-44f4-4b4a-ae50-8b66ee7a96ca

 

 

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/