カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Ghostscript に任意のコードが実行可能な脆弱性

最終更新日: 2017/05/10

情報源

Japan Vulnerability Notes JVNVU#98641178
Ghostscript に任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU98641178/

概要

Ghostscript には、任意のコードが実行可能な脆弱性があります。結果として、第三者が、細工した .eps ファイルをユーザに開かせることで、任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。

– Ghostscript 9.21 およびそれ以前

この問題は、Ghostscript に開発者が提供するパッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書(英語)

Ghostscript

Bug 697799: have .eqproc check its parameters
https://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=4f83478c88

Ghostscript

Bug 697799: have .rsdparams check its parameters
https://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=04b37bbce1

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-05-10」
https://www.jpcert.or.jp/wr/2017/wr171701.html

WordPress 用プラグイン Booking Calendar に複数の脆弱性

最終更新日: 2017/04/26

情報源

Japan Vulnerability Notes JVN#18739672
WordPress 用プラグイン Booking Calendar におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN18739672/

Japan Vulnerability Notes JVN#54762089

WordPress 用プラグイン Booking Calendar におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN54762089/

概要

WordPress 用プラグイン Booking Calendar には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、サーバ上のファイルを取得したりする可能性があります。
対象となるバージョンは以下の通りです。

– Booking Calendar 7.1 およびそれ以前

この問題は、Booking Calendar を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

WP Booking Calendar
Changelog
http://wpbookingcalendar.com/changelog/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-04-26」
https://www.jpcert.or.jp/wr/2017/wr171601.html

 

Drupal にアクセス制限不備の脆弱性

最終更新日: 2017/04/26

情報源

US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/04/19/Drupal-Releases-Security-Updates

概要

Drupal には、アクセス制限不備の脆弱性があります。結果として、遠隔の第三者が、セキュリティ制限を回避して情報を取得する可能性があります。
対象となるバージョンは以下の通りです。

– Drupal 8.2.8 より前のバージョン
– Drupal 8.3.1 より前のバージョン

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新することで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal Core – Critical – Access Bypass – SA-CORE-2017-002
https://www.drupal.org/SA-CORE-2017-002

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-04-26」
https://www.jpcert.or.jp/wr/2017/wr171601.html

 

複数の Cisco 製品にサービス運用妨害 (DoS) の脆弱性

最終更新日: 2017/04/26

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/04/19/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となる製品は以下の通りです。

– Cisco ASA 1000V Cloud Firewall
– Cisco ASA 5500 Series Adaptive Security Appliances
– Cisco ASA 5500-X Series Next-Generation Firewalls
– Cisco ASA 5500-X Series with FirePOWER Services
– Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches
– Cisco ASA Services Module for Cisco 7600 Series Routers
– Cisco ASA for Firepower 9300 Series
– Cisco Adaptive Security Virtual Appliance (ASAv)
– Cisco Firepower 9300 ASA Security Module
– Cisco ISA 3000 Industrial Security Appliance
– Cisco Advanced Malware Protection (AMP) for Networks, 7000 Series Appliances
– Cisco Advanced Malware Protection (AMP) for Networks, 8000 Series Appliances
– Cisco Firepower 4100 Series Security Appliances
– Cisco FirePOWER 7000 Series Appliances
– Cisco FirePOWER 8000 Series Appliances
– Cisco Firepower 9300 Series Security Appliances
– Cisco FirePOWER Threat Defense for Integrated Services Routers (ISRs)
– Cisco Industrial Security Appliance 3000
– Cisco Sourcefire 3D System Appliances
– Cisco Virtual Next-Generation Intrusion Prevention System (NGIPSv) for VMware
– Cisco Unified Communications Manager (CallManager)
– Cisco IOS
– Cisco IOS XE

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco ASA Software DNS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-dns

Cisco Security Advisory

Cisco ASA Software IPsec Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-ipsec

Cisco Security Advisory

Cisco ASA Software SSL/TLS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-tls

Cisco Security Advisory

Cisco ASA Software Internet Key Exchange Version 1 XAUTH Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-xauth

Cisco Security Advisory

Cisco IOS and IOS XE Software EnergyWise Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-energywise

Cisco Security Advisory

Cisco Firepower Detection Engine Pragmatic General Multicast Protocol Decoding Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-fpsnort

Cisco Security Advisory

Cisco Unified Communications Manager Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-ucm

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-04-26」
https://www.jpcert.or.jp/wr/2017/wr171601.html

 

複数の VMware 製品に脆弱性

最終更新日: 2017/04/26

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/04/18/VMware-Releases-Security-Updates

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となる製品およびバージョンは以下の通りです。

– VMware Unified Access Gateway 2.8.1 より前のバージョン
– VMware Horizon View 7.1.0 より前のバージョン
– VMware Horizon View 6.2.4 より前のバージョン
– VMware Horizon View Client for Windows 4.4.0 より前のバージョン
– VMware Workstation 12.5.3 より前のバージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2017-0008.2
https://www.vmware.com/security/advisories/VMSA-2017-0008.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-04-26」
https://www.jpcert.or.jp/wr/2017/wr171601.html

 

複数のジャストシステム製品に任意の DLL 読み込みに関する脆弱性

最終更新日: 2017/04/26

情報源

Japan Vulnerability Notes JVN#54268888
花子を含む複数の製品における任意の DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN54268888/

概要

花子を含む複数のジャストシステム製品には、任意の DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコードを実行する可能性があります。
対象となる製品は以下の通りです。

– 花子2017
– 花子2016
– 花子2015
– 花子Pro 3
– JUST Office 3 [Standard]
– JUST Office 3 [エコ印刷パック]
– JUST Office 3 & Tri-De DataProtect パック
– JUST Government 3
– ジャストジャンプ クラス2
– ジャストフロンティア3
– ジャストスクール6 Premium
– 花子Police 5
– JUST Police 3
– 花子2017 体験版

この問題は、該当する製品を株式会社ジャストシステムが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社ジャストシステムが提供する情報を参照してください。

関連文書 (日本語)

株式会社ジャストシステム
花子の脆弱性を悪用した不正なプログラムの実行危険性について
https://www.justsystems.com/jp/info/js17002.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-04-26」
https://www.jpcert.or.jp/wr/2017/wr171601.html

 

Mozilla Firefox に複数の脆弱性

最終更新日: 2017/04/26

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/04/19/Mozilla-Releases-Security-Updates

概要

Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。

– Mozilla Firefox 53 より前のバージョン
– Mozilla Firefox ESR 52.1 より前のバージョン
– Mozilla Firefox ESR 45.9 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2017 年 4 月 19 日)
http://www.mozilla-japan.org/security/announce/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-04-26」
https://www.jpcert.or.jp/wr/2017/wr171601.html

 

2017年4月 Oracle Critical Patch Update について

最終更新日: 2017/04/26

情報源

US-CERT Current Activity
Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2017/04/18/Oracle-Releases-Security-Bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

Oracle
Oracle Critical Patch Update Advisory – April 2017
http://www.oracle.com/technetwork/jp/topics/ojkbcpuapr2017-3684180-ja.html

JPCERT/CC Alert 2017-04-19

2017年 4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170017.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-04-26」
https://www.jpcert.or.jp/wr/2017/wr171601.html

 

Adobe Reader および Acrobat の脆弱性 (APSB17-11) に関する注意喚起

 JPCERT/CCからの「Adobe Reader および Acrobat の脆弱性 (APSB17-11) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2017-0014
JPCERT/CC
2017-01-11
<<< JPCERT/CC Alert 2017-04-12 >>>
Adobe Reader および Acrobat の脆弱性 (APSB17-11) に関する注意喚起https://www.jpcert.or.jp/at/2017/at170014.html

I.概要

PDF ファイル閲覧ソフトウエア Adobe Reader および PDF ファイル作成・変換ソフトウエア Adobe Acrobat には複数の脆弱性があります。脆弱性を悪用したコンテンツをユーザが開いた場合、リモートからの攻撃によって AdobeReader や Acrobat が不正終了したり、任意のコードが実行されたりする恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

Security Updates Available for Adobe Acrobat and Reader
https://helpx.adobe.com/security/products/acrobat/apsb17-11.html

II.対象

 対象となる製品とバージョンは以下の通りです。

– Adobe Acrobat Reader DC Continuous (15.023.20070) およびそれ以前
– Adobe Acrobat Reader DC Classic (15.006.30280) およびそれ以前
– Adobe Acrobat DC Continuous (15.023.20070) およびそれ以前
– Adobe Acrobat DC Classic (15.006.30280)およびそれ以前
– Adobe Acrobat XI (11.0.19) およびそれ以前
– Adobe Reader XI (11.0.19) およびそれ以前

III.対策

Adobe Reader および Acrobat を以下の最新のバージョンに更新してくださ
い。

– Adobe Acrobat Reader DC Continuous (2017.009.20044)
– Adobe Acrobat Reader DC Classic (2015.006.30306)
– Adobe Acrobat DC Continuous (2017.009.20044)
– Adobe Acrobat DC Classic (2015.006.30306)
– Adobe Acrobat XI (11.0.20)
– Adobe Reader XI (11.0.20)
更新は、Adobe Reader および Acrobat の起動後、メニューより “ヘルプ (H)”の次に “アップデートの有無をチェック (U)” をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下の URL から 最新の AdobeReader および Acrobat をダウンロードしてください。詳細は、アドビの情報をご確認ください。
Adobe.com – New downloads
https://supportdownloads.adobe.com/new.jsp

IV. 参考情報

アドビシステムズ株式会社
Security Updates Available for Adobe Acrobat and Reader
https://helpx.adobe.com/security/products/acrobat/apsb17-11.html

アドビシステムズ株式会社

Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1457

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

Adobe Flash Player の脆弱性 (APSB17-10) に関する注意喚起

 JPCERT/CCからの「Adobe Flash Player の脆弱性 (APSB17-10) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2017-0013
JPCERT/CC
2017-04-12
<<< JPCERT/CC Alert 2017-04-12 >>>
Adobe Flash Player の脆弱性 (APSB17-10) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170013.html

I.概要

 アドビから Adobe Flash Player に関する脆弱性の情報 (APSB17-10) が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、リモートからの攻撃によって Adobe Flash Player が不正終了したり、任意のコードが実行されたりする恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb17-10.html

II.対策

 対象となる製品とバージョンは以下の通りです。

– Adobe Flash Player Desktop Runtime (25.0.0.127) およびそれ以前
(Internet Explorer, Mozilla Firefox, Safari など)
– Adobe Flash Player for Google Chrome (25.0.0.127) およびそれ以前
– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (25.0.0.127) およびそれ以前

 (Windows 10 および Windows 8.1)

 お使いの Adobe Flash Player のバージョンは、以下のページで確認できます。
Adobe Flash Player: Version Information

https://www.adobe.com/jp/software/flash/about/

III.対策

 Adobe Flash Player を以下の最新のバージョンに更新してください。

– Adobe Flash Player Desktop Runtime (25.0.0.148)

 (Internet Explorer, Mozilla Firefox, Safari など)

– Adobe Flash Player for Google Chrome (25.0.0.148)
– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (25.0.0.148)

 (Windows 10 および Windows 8.1)

Adobe Flash Player ダウンロードセンター

https://get.adobe.com/jp/flashplayer/

 ブラウザに同梱されているなど、アドビ以外の配布元より提供される場合には、配布元からの情報に注意してください。なお、以下のブラウザについては、Adobe Flash Player が同梱されています。
– Internet Explorer 11 (Windows 8.1 及び Windows 10)

– Microsoft Edge (Windows 10)
– Google Chrome

 Internet Explorer 11 や Microsoft Edge では、Windows Update などで最新の Adobe Flash Player が更新プログラムとして提供されます。GoogleChrome は、Google Chrome のアップデート時に、Adobe Flash Player が更新されます。詳細は、以下の情報を参照してください。
2017-3447 | 4月の Flash のセキュリティ更新プログラム

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/2017-3447

※ Internet Explorer 以外のブラウザを使用している場合でも、MicrosoftOffice のように、Internet Explorer 用にインストールされているAdobe Flash Player を使用するソフトウエアがありますので、InternetExplorer 用の Adobe Flash Player も更新してください。

IV. 回避策

 アップデートを適用するまでの間は、脆弱性の影響を軽減するため、以下に記載する回避策を参考に、ブラウザ上で Flash を無効にしたり、Flash の表示を制限したりすることも検討してください。
なお、回避策を適用することで、一部アプリケーションが動作しなくなるなどの不具合が発生する可能性があります。
 回避策の適用については、十分に影響範囲を考慮の上、行ってください。

– ブラウザ上で Flash を無効にしてください。または Click-to-Play 機能を有効にしてください。なお、Microsoft Edge では、Flash を無効にすることが回避策として挙げられます。詳細は参考情報を参照してください。
– Internet Explorer の「インターネット オプション」からセキュリティタブを開き、インターネットゾーンおよびローカルイントラネットゾーンのセキュリティのレベルを「高」に設定してください。

V. 参考情報

アドビシステムズ株式会社
Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb17-10.html

アドビシステムズ株式会社

Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1457

マイクロソフト株式会社

2017-3447 | 4月の Flash のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/2017-3447

マイクロソフト株式会社

Microsoft Edge における Flash Player の有効・無効
https://answers.microsoft.com/ja-jp/windows/wiki/apps_windows_10-msedge/microsoft-edge/248bf728-44f4-4b4a-ae50-8b66ee7a96ca

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/