セキュリティ情報 – ページ 71

バッファロー製の複数の無線 LAN アクセスポイントに認証不備の脆弱性

最終更新日: 2017/07/26

情報源

Japan Vulnerability Notes JVN#48823557
バッファロー製の複数の無線 LAN アクセスポイントにおける認証不備の脆弱性
https://jvn.jp/jp/JVN48823557/

概要

バッファロー製の複数の無線 LAN アクセスポイントには、認証不備の脆弱性があります。結果として、遠隔の第三者が任意の操作を行う可能性があります。

対象となる製品およびバージョンは以下のとおりです。

– WAPM-1166D ファームウェア Ver.1.2.7 およびそれ以前
– WAPM-APG600H ファームウエア Ver.1.16.1 およびそれ以前

この問題は、該当する製品のファームウェアを株式会社バッファローが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社バッファローが提供する情報を参照してください。

情報源

Japan Vulnerability Notes JVN#48413726
バッファロー製の複数の無線 LAN ルータに複数の脆弱性
https://jvn.jp/jp/JVN48413726/

概要

バッファロー製の複数の無線 LAN ルータには、脆弱性があります。結果として、遠隔の第三者が、細工したページをユーザに開かせることで、ユーザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。

対象となる製品およびバージョンは以下のとおりです。

– WMR-433 ファームウエア Ver.1.02 およびそれ以前
– WMR-433W ファームウエア Ver.1.40 およびそれ以前

情報源

US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/07/19/Apple-Releases-Security-Updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユーザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。

対象となる製品およびバージョンは以下のとおりです。

– Safari 10.1.2 より前のバージョン
– macOS Sierra 10.12.6 より前のバージョン
– OS X El Capitan
– OS X Yosemite
– iOS 10.3.3 より前のバージョン
– tvOS 10.2.2 より前のバージョン
– watchOS 3.2.3 より前のバージョン
– iCloud for Windows 6.2.2 より前のバージョン
– iTunes 12.6.2 for Windows より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

2017年7月 Oracle Critical Patch Update について

最終更新日: 2017/07/26

情報源

US-CERT Current Activity
Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2017/07/18/Oracle-Releases-Security-Bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

複数の Cisco 製品に脆弱性

最終更新日: 2017/07/26

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/07/17/Cisco-Releases-Security-Updates

US-CERT Current Activity

Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/07/20/Cisco-Releases-Security-Update

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下のとおりです。

– Cisco WebEx extension on Google Chrome 1.0.12 より前のバージョン
– Cisco WebEx extension on Mozilla Firefox 1.0.12 より前のバージョン

– Cisco Web Security Appliance (WSA) 上で稼働している Cisco AsyncOS Software 10.0 およびそれ以降のバージョン

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

2017年 7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起

　JPCERT/CCからの「2017年 7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起」をお知らせします。

各位

JPCERT-AT-2017-0029
JPCERT/CC
2017-01-18

<<< JPCERT/CC Alert 2017-07-19 >>>
2017年 7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170029.html

I.概要

Oracle の Java SE JDK および JRE には、複数の脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって Java が不正終了したり、任意のコードが実行されたりする恐れがあります。脆弱性の詳細については、Oracle の情報を確認してください。

Oracle が提供する修正済みソフトウエアへアップデートすることをお勧めします。

Oracle Critical Patch Update Advisory – July 2017
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html

II.対象

対象となる製品とバージョンは以下の通りです。

– Java SE JDK/JRE 8 Update 131 およびそれ以前

※ Oracle によると既に公式アップデートを終了している Java SE JDK/JRE 6 および 7 も脆弱性の影響を受けるとのことです。

※ 一部メーカー製 PC では、JRE がプリインストールされている場合があります。念のため、利用中の PC に JRE がインストールされているかどうかを確認してください。

III.対策

Oracle から修正済みソフトウエアが公開されています。次の修正済みソフトウエアへアップデートを行ってください。

– Java SE JDK/JRE 8 Update 141

Java SE Downloads
http://www.oracle.com/technetwork/java/javase/downloads/index.html

無料 Java のダウンロード

https://java.com/ja/download/

なお、Oracle によると、前回のパッチアップデートから MD5 で署名されたJAR ファイルは、Oracle JRE 環境下においてデフォルトで動作しなくなるとのことです。MD5 で署名された JAR ファイルをお使いの場合、よりセキュアなアルゴリズムに移行することをお勧めします。
詳細は、次の URL を参照してください。

Oracle JRE will no longer trust MD5-signed code by default
https://blogs.oracle.com/java-platform-group/entry/oracle_jre_will_no_longer

Oracle JRE and JDK Cryptographic Roadmap

https://www.java.com/en/jre-jdk-cryptoroadmap.html

また、64bit 版 Windows を使用している場合、32bit 版 JDK/JRE、64bit 版JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用してください。

お使いの Java のバージョンは次のページで確認可能です。なお、32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)

Java のバージョンの確認

https://www.java.com/ja/download/installed.jsp

※ Java を最新に更新した場合、一部の Java 上で動作するアプリケーションが動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。

IV.参考情報

Oracle Corporation
Oracle Critical Patch Update Advisory – July 2017
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html

Oracle Corporation

Release Notes for JDK 8 and JDK 8 Update Releases
http://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html

Oracle Corporation

Oracle Critical Patch Update for July 2017 Released
https://blogs.oracle.com/portalsproactive/oracle-critical-patch-update-for-july-2017-released

日本オラクル株式会社

Oracle Java SEサポート・ロードマップ
http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html

US-CERT

Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2017/07/18/Oracle-Releases-Security-Bulletin

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

WordPress 用プラグイン Responsive Lightbox にクロスサイトスクリプティングの脆弱性

最終更新日: 2017/07/12

情報源

Japan Vulnerability Notes JVN#39819446
WordPress 用プラグイン Responsive Lightbox におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN39819446/

概要

WordPress 用プラグイン Responsive Lightbox には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、当該製品にログインしているユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

– Responsive Lightbox 1.7.2 より前のバージョン

この問題は、Responsive Lightbox を dFactory が提供する修正済みのバージョンに更新することで解決します。詳細は、dFactory が提供する情報を参照してください。

WordPress 用プラグイン Shortcodes Ultimate にディレクトリトラバーサルの脆弱性

最終更新日: 2017/07/12

情報源

Japan Vulnerability Notes JVN#63249051
WordPress 用プラグイン Shortcodes Ultimate におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN63249051/

概要

WordPress 用プラグイン Shortcodes Ultimate には、ディレクトリトラバーサルの脆弱性があります。結果として、当該製品にログイン可能なユーザが任意のファイルにアクセスする可能性があります。

対象となるバージョンは次のとおりです。

– Shortcodes Ultimate 4.10.0 より前のバージョン

この問題は、Shortcodes Ultimate を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Lhaz と Lhaz+ のインストーラおよび Lhaz や Lhaz+ で作成された自己解凍書庫に DLL 読み込みに関する脆弱性

最終更新日: 2017/07/12

情報源

Japan Vulnerability Notes JVN#21369452
Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN21369452/

概要

Lhaz と Lhaz+ のインストーラおよび Lhaz や Lhaz+ で作成された自己解凍書庫には、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Lhaz バージョン 2.4.0 およびそれ以前のバージョンのインストーラ
– Lhaz バージョン 2.4.0 およびそれ以前を使用して作成された自己解凍書庫
– Lhaz+ バージョン 3.4.0 およびそれ以前のバージョンのインストーラ
– Lhaz+ バージョン 3.4.0 およびそれ以前を使用して作成された自己解凍書庫

この問題は、該当する製品を、ちとらsoft が提供する修正済みのバージョンに更新することで解決します。詳細は、ちとらsoft が提供する情報を参照してください。

サイボウズガルーンに複数の脆弱性

最終更新日: 2017/07/12

情報源

Japan Vulnerability Notes JVN#43534286
サイボウズガルーンにおける複数の脆弱性
https://jvn.jp/jp/JVN43534286/

概要

サイボウズガルーンには、複数の脆弱性があります。結果として、遠隔の第三者が、任意の操作を実行したり、ユーザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。

対象となるバージョンは次のとおりです。

– サイボウズガルーン 3.0.0 から 4.2.4 まで

この問題は、サイボウズガルーンをサイボウズ株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を参照してください。

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書（英語）

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書（英語）

I.概要

II.対象

III.対策

IV.参考情報

情報源

概要

関連文書（英語）

情報源

概要

関連文書（英語）

情報源

概要

関連文書（日本語）

情報源

概要

関連文書（日本語）