カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

複数の Apple 製品に脆弱性

最終更新日: 2016/12/22

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/12/12/Apple-Releases-Security-Updates

US-CERT Current Activity
Apple Releases Security Updates

https://www.us-cert.gov/ncas/current-activity/2016/12/14/Apple-Releases-Security-Updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、情報を取得したりするなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。

– iOS 10.2 より前のバージョン
– tvOS 10.1 より前のバージョン
– macOS Sierra 10.12.2 より前のバージョン
– iTunes 12.5.4 for Windows より前のバージョン
– Safari 10.0.2 より前のバージョン
– iCloud for Windows 6.1 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。なお、watchOS のアップデートには不具合があったとのことで、2016年12月20日現在、このアップデートは取り下げられています。

 

関連文書(日本語)

Japan Vulnerability Notes JVNVU#93979172
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93979172/

Japan Vulnerability Notes JVNVU#97133642
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU97133642/

関連文書(英語)

Apple
About the security content of iOS 10.2
https://support.apple.com/en-us/HT207422

Apple
About the security content of tvOS 10.1
https://support.apple.com/en-us/HT207425
Apple
About the security content of macOS Sierra 10.12.2
https://support.apple.com/en-us/HT207423
Apple
About the security content of iTunes 12.5.4 for Windows
https://support.apple.com/en-us/HT207427
Apple
About the security content of Safari 10.0.2
https://support.apple.com/en-us/HT207421
Apple
About the security content of iCloud for Windows 6.1
https://support.apple.com/en-us/HT207424
CNET
Apple rolls back watchOS for bricking devices
https://www.cnet.com/news/apple-rolls-back-watch-update-to-save-your-devices/

複数の Adobe 製品に脆弱性

最終更新日: 2016/12/22

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/12/13/Adobe-Releases-Security-Updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。

– Adobe Flash Player デスクトップランタイム 23.0.0.207 およびそれ以前 (Windows 版、Macintosh 版)
– Adobe Flash Player 11.2.202.644 およびそれ以前 (Linux 版)
– Adobe Animate 15.2.1.95 およびそれ以前 (Windows 版、Macintosh 版)
– Adobe Experience Manager Forms 6.2 (Windows 版、Linux 版、Solaris 版、AIX 版、Unix 版、OS X 版)
– Adobe Experience Manager Forms 6.1 (Windows 版、Linux 版、Solaris 版、AIX 版、Unix 版、OS X 版)
– Adobe Experience Manager Forms 6.0 (Windows 版、Linux 版、Solaris 版、AIX 版、Unix 版、OS X 版)
– LiveCycle 11.0.1 (Windows 版、Linux 版、Solaris 版、AIX 版)
– LiveCycle 10.0.4 (Windows 版、Linux 版、Solaris 版、AIX 版)
– Adobe DNG Converter 9.7 およびそれ以前 (Windows 版、Macintosh 版)
– InDesign 11.4.1 およびそれ以前 (Windows 版、Macintosh 版)
– InDesign Server 11.0.0 およびそれ以前 (Windows 版、Macintosh 版)
– ColdFusion Builder 2016 Update 2 およびそれ以前 (Windows 版、Linux 版、Macintosh 版)
– ColdFusion Builder 3.0.3 およびそれ以前 (Windows 版、Linux 版、Macintosh 版)
– Adobe Digital Editions 4.5.2 およびそれ以前 (Windows 版、Macintosh 版、Android 版)
– RoboHelp 2015.0.3 およびそれ以前 (Windows 版)
– RoboHelp 11 およびそれ以前 (Windows 版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

 

関連文書(日本語)

Adobe セキュリティ情報
Adobe Animate に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/animate/apsb16-38.html

Adobe セキュリティ情報

Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html

Adobe セキュリティ情報

Adobe Experience Manager Forms を対象としたセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/aem-forms/apsb16-40.html

Adobe セキュリティ情報

Adobe DNG Converter に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/dng-converter/apsb16-41.html

Adobe セキュリティ情報

Adobe Experience Manager 用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/experience-manager/apsb16-42.html

Adobe セキュリティ情報

InDesign を対象としたセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/indesign/apsb16-43.html

Adobe セキュリティ情報

ColdFusion Builder に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/coldfusion/apsb16-44.html

Adobe セキュリティ情報

Adobe Digital Editions に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb16-45.html

Adobe セキュリティ情報

RoboHelp に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/robohelp/apsb16-46.html

Japan Vulnerability Notes JVNVU#90937983

Adobe Flash Player における解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU90937983/

JPCERT/CC Alert 2016-12-14

Adobe Flash Player の脆弱性 (APSB16-39) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160048.html

複数の Microsoft 製品に脆弱性

最終更新日: 2016/12/22

情報源

US-CERT Current Activity
Microsoft Releases December 2016 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2016/12/13/Microsoft-Releases-December-2016-Security-Bulletin

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは以下の通りです。

– Microsoft Windows
– Internet Explorer
– Microsoft Edge
– Microsoft Office
– Microsoft Office Services および Web Apps
– Microsoft .NET Framework

ここの問題は、Microsoft Update 等を用いて、更新プログラムを適用すること解決します。詳細は、Microsoft が提供する情報を参照してください。

 

関連文書(日本語)

マイクロソフト株式会社
2016 年 12 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms16-Dec

JPCERT/CC Alert 2016-12-14

2016年 12月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160049.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2016-11-30」
https://www.jpcert.or.jp/wr/2016/wr164701.html

 

phpMyAdmin に複数の脆弱性

最終更新日: 2016/11/30

情報源

phpMyAdmin
phpMyAdmin 4.0.10.18, 4.4.15.9, and 4.6.5 are released
https://www.phpmyadmin.net/news/2016/11/25/phpmyadmin-401018-44159-and-465-are-released/

概要

phpMyAdmin には、複数の脆弱性 (PMASA-2016-57~PMASA-2016-71) があります。結果として、遠隔の攻撃者が権限がないテーブルにアクセスしたり、セキュリティ機構をバイパスしたり、ログインページに不正なコードを挿入したりするなどの可能性があります。
対象となるバージョンは以下の通りです。

– phpMyAdmin 4.0.10.18 より前のバージョン
– phpMyAdmin 4.4.15.9 より前のバージョン
– phpMyAdmin 4.6.5 より前のバージョン

この問題は、phpMyAdmin が提供する修正済みのバージョンに更新することで解決します。詳細は、phpMyAdmin が提供する情報を参照してください。

 

関連文書(英語)

phpMyAdmin
Security
https://www.phpmyadmin.net/security/

phpMyAdmin

phpMyAdmin 4.0.10.18
https://www.phpmyadmin.net/files/4.0.10.18/

phpMyAdmin

phpMyAdmin 4.4.15.9
https://www.phpmyadmin.net/files/4.4.15.9/

phpMyAdmin

phpMyAdmin 4.6.5
https://www.phpmyadmin.net/files/4.6.5/

phpMyAdmin

phpMyAdmin 4.6.5.1 is released
https://www.phpmyadmin.net/news/2016/11/26/phpmyadmin-4651-released/

phpMyAdmin

phpMyAdmin security issues
https://blog.cihar.com/archives/2016/11/28/phpmyadmin-security-issues/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2016-11-30」
https://www.jpcert.or.jp/wr/2016/wr164701.html

 

複数の VMware 製品に脆弱性

最終更新日: 2016/11/30

情報源

VMware Security Advisories
VMSA-2016-0021
https://www.vmware.com/security/advisories/VMSA-2016-0021.html

VMware Security Advisories

VMSA-2016-0022
https://www.vmware.com/security/advisories/VMSA-2016-0022.html

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の攻撃者がVMware 製品が動作するサーバに対してサービス運用妨害 (DoS) 攻撃を行ったり、設定ファイルの情報を読み取ったりするなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。

– VMware Identity Manager 2.7.1 より前のバージョンの 2 系
– vRealize Automation 7.2.0 より前のバージョンの 7 系
– vRealize Automation 6.2.5 より前のバージョンの 6 系
– vSphere Client 5.5 / 6.0
– vCenter Server 5.5 / 6.0

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新することで解決します。詳細は、VMware が提供する情報を参照してください。

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2016-11-30」
https://www.jpcert.or.jp/wr/2016/wr164701.html

 

NTP.org の ntpd に複数の脆弱性

最終更新日: 2016/11/30

情報源

US-CERT Current Activity
Vulnerabilities Identified in Network Time Protocol Daemon (ntpd)
https://www.us-cert.gov/ncas/current-activity/2016/11/21/Vulnerabilities-Identified-Network-Time-Protocol-Daemon-ntpd

概要

Network Time Protocol Project (NTP.org) の ntpd には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは以下の通りです。

– ntp-4.2.8p9 より前のバージョンの ntp-4 系

この問題は、ntpd を、NTP.org が提供する修正済みのバージョンに更新することで解決します。また、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
– mode 6 のクエリは、ファイアウォールや ntpd の設定 (ntp.conf) などを
用いて信頼できるネットワークやホストからのみ許可する詳細は、NTP.org が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99531229
NTP.org の ntpd に複数の脆弱性
https://jvn.jp/vu/JVNVU99531229/

関連文書(英語)

Network Time Protocol Project

November 2016 ntp-4.2.8p9 NTP Security Vulnerability Announcement (HIGH for Windows, MEDUIM otherwise)
http://support.ntp.org/bin/view/Main/SecurityNotice#November_2016_ntp_4_2_8p9_NTP_Se

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2016-11-30」
https://www.jpcert.or.jp/wr/2016/wr164701.html

 

Apache Tomcat に複数の脆弱性

最終更新日: 2016/11/30

情報源

Japan Vulnerability Notes JVNVU#92250735
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92250735/

概要

Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となるバージョンは以下の通りです。

– Apache Tomcat 9.0.0.M1 から 9.0.0.M11 まで
– Apache Tomcat 8.5.0 から 8.5.6 まで
– Apache Tomcat 8.0.0.RC1 から 8.0.38 まで
– Apache Tomcat 7.0.0 から 7.0.72 まで
– Apache Tomcat 6.0.0 から 6.0.47 まで

この問題は、Apache Tomcat を、The Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。

関連文書 (英語)

The Apache Software Foundation
Fixed in Apache Tomcat 9.0.0.M13
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M13

The Apache Software Foundation

Fixed in Apache Tomcat 8.5.8
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.8

The Apache Software Foundation

Fixed in Apache Tomcat 8.0.39
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.39

The Apache Software Foundation

Fixed in Apache Tomcat 7.0.73
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.73

The Apache Software Foundation

Fixed in Apache Tomcat 6.0.48
https://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.48

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2016-11-30」
https://www.jpcert.or.jp/wr/2016/wr164701.html

 

細工された PDF による情報詐取について

最終更新日: 2016/11/25

情報源

Japan Vulnerability Notes JVNTA#94087669
細工された PDF による情報詐取について
https://jvn.jp/ta/JVNTA94087669/

概要

PDF ファイルに FormCalc 言語で書かれたスクリプトを埋め込むことで、そのファイルがホストされているサーバ上の情報を取得することが可能です。結果として、遠隔の第三者が、アップロードされた PDF ファイルにユーザを誘導することで、ユーザが所有する任意の情報を取得する可能性があります。
この問題は、以下の対策を適用することで解決します。
サーバ側の対策

– PDF コンテンツを別のサンドボックス・ドメイン上に格納する

クライアント側の対策

– ウェブブラウザ (IE11、Firefox) の Adobe PDF プラグインを無効にする

関連文書 (英語)

OWASP AppSecEU 15
PDF – Mess with the web
https://2015.appsec.eu/wp-content/uploads/2015/09/owasp-appseceu2015-infuhr.pdf

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2016-11-24」
https://www.jpcert.or.jp/wr/2016/wr164601.html

 

複数の VMware 製品に脆弱性

最終更新日: 2016/11/25

情報源

US-CERT Current Activity
VMWare Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/11/14/VMWare-Releases-Security-Updates

概要

複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユーザがホスト OS 上で任意のコードを実行したり、第三者がサービス運用妨害(DoS) 攻撃を行ったりするなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。

– VMware Workstation Pro 12.5.2 より前のバージョン
– VMware Workstation Player 12.5.2 より前のバージョン
– VMware Fusion Pro 8.5.2 より前のバージョン
– VMware Fusion 8.5.2 より前のバージョン
– VMware vRealize Operations 6.4.0 より前のバージョンの 6 系

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2016-0019
https://www.vmware.com/security/advisories/VMSA-2016-0019.html

VMware Security Advisories

VMSA-2016-0020
https://www.vmware.com/security/advisories/VMSA-2016-0020.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2016-11-24」
https://www.jpcert.or.jp/wr/2016/wr164601.html

 

複数の Symantec 製品に脆弱性

最終更新日: 2016/11/25

情報源

US-CERT Current Activity
Symantec Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/11/15/Symantec-Releases-Security-Updates

概要

複数の Symantec 製品には、脆弱性があります。結果として、第三者が任意のコードを実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。

– Symantec IT Management Suite 8.0 HF4 より前のバージョン
– Symantec Ghost Solution Suite 3.1 MP4 より前のバージョン
– Symantec Endpoint Virtualization 7.6 HF7 より前のバージョン
– Norton Family NGC 22.7 より前のバージョン
– Norton Antivirus NGC 22.7 より前のバージョン
– Norton AntiVirus with Backup NGC 22.7 より前のバージョン
– Norton Security NGC 22.7 より前のバージョン
– Norton Security with Backup NGC 22.7 より前のバージョン
– Norton Internet Security NGC 22.7 より前のバージョン
– Norton 360 NGC 22.7 より前のバージョン
– Symantec Endpoint Protection Small Business Enterprise Client NGC 22.8.0.50 より前のバージョン
– Symantec Endpoint Protection Cloud Client NGC 22.8.0.50 より前のバージョン

この問題は、該当する製品を Symantec が提供する修正済みのバージョンに更新することで解決します。詳細は、Symantec が提供する情報を参照してください。

関連文書 (英語)

Symantec
Security Advisories Relating to Symantec Products – DLL Loading Issue in Symantec Enterprise Products
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20161115_00

Symantec

Security Advisories Relating to Symantec Products – Symantec Norton Client DLL Pre-Loading Uncontrolled Search Path Elevation of Privilege
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20161117_00

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2016-11-24」
https://www.jpcert.or.jp/wr/2016/wr164601.html