カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Norton Download Manager に任意の DLL 読み込みに関する脆弱性

最終更新日: 2017/02/15

情報源

Japan Vulnerability Notes JVN#40667528
Norton Download Manager における任意の DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN40667528/

概要

Norton Download Manager には、任意の DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。

– Norton Download Manager 5.6 およびそれ以前

この問題は、Norton Download Manager を株式会社シマンテックが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社シマンテックが提供する情報を参照してください。

関連文書 (英語)

Symantec
Security Advisories Relating to Symantec Products – Norton Download Manager DLL Loading
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20170117_00

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-02-15」
https://www.jpcert.or.jp/wr/2017/wr170601.html

 

脆弱性体験学習ツール AppGoat に複数の脆弱性

最終更新日: 2017/02/15

情報源

Japan Vulnerability Notes JVN#39008927
脆弱性体験学習ツール AppGoat におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN39008927/

Japan Vulnerability Notes JVN#88176589

脆弱性体験学習ツール AppGoat における認証不備の脆弱性
https://jvn.jp/jp/JVN88176589/

Japan Vulnerability Notes JVN#87662835

脆弱性体験学習ツール AppGoat における DNS リバインディングの脆弱性
https://jvn.jp/jp/JVN87662835/

Japan Vulnerability Notes JVN#71666779

脆弱性体験学習ツール AppGoat において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN71666779/

概要

脆弱性体験学習ツール AppGoat には、複数の脆弱性があります。結果として、遠隔の第三者が、AppGoat のユーザに悪意のある Web サーバへのアクセスを行わせることで、任意のコードを実行するなどの可能性があります。
対象となるバージョンは以下の通りです。

– 脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール V3.0.0 およびそれ以前

2017年2月13日、この問題を修正した AppGoat V3.0.1 に不具合があることが判明したため、情報処理推進構 (IPA) は当該製品の提供を一時的に停止し、使用停止を促しています。詳細は、情報処理推進構 (IPA) が提供する情報を参照してください。

関連文書 (日本語)

情報処理推進構 (IPA)
脆弱性体験学習ツール AppGoat
https://www.ipa.go.jp/security/vuln/appgoat/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-02-15」
https://www.jpcert.or.jp/wr/2017/wr170601.html

 

Cisco の複数の製品のクロック信号部品に問題

最終更新日: 2017/02/15

情報源

US-CERT Current Activity
Cisco Clock Signal Component Failure Advisory
https://www.us-cert.gov/ncas/current-activity/2017/02/06/Cisco-Clock-Signal-Component-Failure-Advisory

概要

Cisco の複数の製品のクロック信号部品には、問題があります。結果として、当該製品を約 18ヶ月間以上稼動させると障害が発生する可能性があります。
対象となる製品は複数あります。詳細は、Cisco が提供する情報を参照してください。

関連文書 (日本語)

Cisco Meraki
クロック信号部品に関するお知らせ
https://meraki.cisco.com/blog/%E3%82%AF%E3%83%AD%E3%83%83%E3%82%AF%E4%BF%A1%E5%8F%B7%E9%83%A8%E5%93%81%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%81%8A%E7%9F%A5%E3%82%89%E3%81%9B/

関連文書(英語)

Cisco

Clock Signal Component Issue
https://www.cisco.com/c/en/us/support/web/clock-signal.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-02-15」
https://www.jpcert.or.jp/wr/2017/wr170601.html

Android アプリ「LaLa Call」および「ビジネスLaLa Call」に SSL サーバー証明書の検証不備の脆弱性

最終更新日: 2017/02/08

情報源

Japan Vulnerability Notes JVN#01014759
Android アプリ「LaLa Call」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN01014759/

Japan Vulnerability Notes JVN#21114208

Android アプリ「ビジネスLaLa Call」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN21114208/

概要

Android アプリ「LaLa Call」および「ビジネスLaLa Call」には、SSL サーバ証明書の検証不備の脆弱性があります。結果として、遠隔の第三者が、中間者攻撃によって暗号通信を盗聴するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。

– Android アプリ「LaLa Call」 ver2.4.7 およびそれ以前
– Android アプリ「ビジネスLaLa Call」 ver1.4.7 およびそれ以前

この問題は、Android アプリ「LaLa Call」および「ビジネスLaLa Call」を株式会社ケイ・オプティコムが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社ケイ・オプティコムが提供する情報を参照してください。

関連文書 (日本語)

LaLa Call
Android版アプリにおけるSSLサーバー証明書の脆弱性と修正完了のお知らせ
https://support.lalacall.jp/news/510/

LaLa Call

Android版ビジネスLaLaCallにおけるアップデートのお願いについて
https://business.lalacall.jp/support/news/511/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-02-08」
https://www.jpcert.or.jp/wr/2017/wr170501.html

 

Microsoft Windows の SMB パケットの処理にメモリ破損の脆弱性

最終更新日: 2017/02/08

情報源

US-CERT Current Activity
CERT/CC Reports a Microsoft SMB Vulnerability
https://www.us-cert.gov/ncas/current-activity/2017/02/03/CERTCC-Reports-Microsoft-SMB-Vulnerability

概要

Microsoft Windows の SMB Tree Connect Response パケットの処理には、メモリ破損の脆弱性があります。結果として、遠隔の第三者が、悪意のある SMBサーバに接続させることで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。

– Microsoft Windows 8.1
– Microsoft Windows 10

2017年2月7日現在、対策済みのバージョンは公開されていません。以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
– LAN から外部への SMB 接続をブロックする (宛先ポート 137/udp, 138/udp, 139/tcp, 445/tcp)

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#95841181
Microsoft Windows の SMB Tree Connect Response パケットの処理にメモリ破損の脆弱性
https://jvn.jp/vu/JVNVU95841181/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-02-08」
https://www.jpcert.or.jp/wr/2017/wr170501.html

 

WordPress の脆弱性に関する注意喚起

 JPCERT/CCからの「WordPress の脆弱性に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2017-0006
JPCERT/CC
2017-02-06
<<< JPCERT/CC Alert 2017-02-06 >>>
WordPress の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170006.html

I.概要

 WordPress の REST API には、脆弱性が存在します。本脆弱性を悪用された場合、リモートからの攻撃によって、WordPressのコンテンツが改ざんされる恐れがあります。
 すでに、本脆弱性を悪用する実証コードが公開されており、JPCERT/CC にて実証コードを用いて検証した結果、WordPress のコンテンツが改ざんできることを確認しました。また、対象となる WordPress を利用していると思われる国内の複数のサイトが改ざん被害を受けています。また、本脆弱性を悪用した改ざん事例も確認されています。
Web サイトを改ざんなどの攻撃から守るために、「III. 対策」に記載した情報を参考に、早期の対応を行うことを推奨します。

II.対象

 対象となる製品とバージョンは以下の通りです。

– WordPress 4.7 及び 4.7.1

III.対策

 WordPress を以下の最新のバージョンに更新してください。

– WordPress 4.7.2
対策を適用するまでの間の保護として、WordPress にて REST API を使用しない、REST API に対するアクセスを制限するなど、本脆弱性の影響を軽減することを検討してください。ただし、WordPress の動作変更を行う修正や、Web サーバの設定を変更するなどの必要があります。

IV. 参考情報

WordPress
WordPress 4.7.2 Security Release
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

Sucuri

Content Injection Vulnerability in WordPress
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

独立行政法人情報処理推進機構 (IPA)

WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

2017年1月 Oracle Critical Patch Update について

最終更新日: 2017/01/25

情報源

US-CERT Current Activity
Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2017/01/18/Oracle-Releases-Security-Bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC Alert 2017-01-18
2017年 1月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170005.html

関連文書(英語)

Oracle

Oracle Critical Patch Update Advisory – January 2017
http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-01-25」
https://www.jpcert.or.jp/wr/2017/wr170301.html

 

WordPress に複数の脆弱性

最終更新日: 2017/01/18

情報源

WordPress
WordPress 4.7.1 セキュリティ・メンテナンスリリース
https://ja.wordpress.org/2017/01/12/wordpress-4-7-1-security-and-maintenance-release/

概要

WordPress には複数の脆弱性があります結果として、遠隔の第三者が、任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります
対象となるバージョンは以下の通りです。
– WordPress 4.7.1 より前のバージョン
この問題は、WordPress を WordPress が提供する修正済みのバージョンに更新することで解決します詳細は、WordPress が提供する情報を参照してください。

 

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-01-18」
https://www.jpcert.or.jp/wr/2017/wr170201.html

 

複数の Adobe 製品に脆弱性

最終更新日: 2017/01/18

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/01/10/Adobe-Releases-Security-Updates

概要

複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
– Adobe Acrobat DC 連続トラック 15.020.20042 およびそれ以前 (Windows 版、Macintosh 版)
– Adobe Acrobat Reader DC 連続トラック 15.020.20042 およびそれ以前 (Windows 版、Macintosh 版)
– Adobe Acrobat DC クラシック 15.006.30244 およびそれ以前 (Windows 版、Macintosh 版)
– Adobe Acrobat Reader DC クラシック 15.006.30244 およびそれ以前 (Windows 版、Macintosh 版)
– Adobe Acrobat XI デスクトップ 11.0.18 およびそれ以前 (Windows 版、Macintosh 版)
– Adobe Reader XI デスクトップ 11.0.18 およびそれ以前 (Windows 版、Macintosh 版)
– Adobe Flash Player デスクトップランタイム 24.0.0.186 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe セキュリティ情報
Adobe Acrobat および Reader に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/acrobat/apsb17-01.html

Adobe セキュリティ情報

Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-02.html

JPCERT/CC Alert 2017-01-11

Adobe Reader および Acrobat の脆弱性 (APSB17-01) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170001.html

JPCERT/CC Alert 2017-01-11

Adobe Flash Player の脆弱性 (APSB17-02) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170002.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-01-18」
https://www.jpcert.or.jp/wr/2017/wr170201.html

 

複数の Microsoft 製品に脆弱性

最終更新日: 2017/01/18

情報源

US-CERT Current Activity
Microsoft Releases January 2017 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2017/01/10/Microsoft-Releases-January-2017-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は以下の通りです。

– Microsoft Windows
– Microsoft Edge
– Microsoft Office
– Microsoft Office Services および Web Apps

この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2017 年 1 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms17-Jan

JPCERT/CC Alert 2017-01-11

2017年 1月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170003.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-01-18」
https://www.jpcert.or.jp/wr/2017/wr170201.html