glibc には、バッファオーバーフローの脆弱性があります。結果として、遠隔
の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となるバージョンは以下の通りです。

- glibc 2.9 から 2.22 まで

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン
に glibc を更新することで解決します。詳細は、ベンダや配布元が提供する
情報を参照してください。

【2】複数の VMware 製品に脆弱性

情報源

VMware Security Advisories
VMSA-2015-0007.3
https://www.vmware.com/security/advisories/VMSA-2015-0007.html

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- VMware ESXi 5.5 ESXi550-201509101-SG より前のバージョン
- VMware ESXi 5.1 ESXi510-201510101-SG より前のバージョン
- VMware ESXi 5.0 ESXi500-201510101-SG より前のバージョン
- VMware vCenter Server 6.0.0b より前のバージョン
- VMware vCenter Server 5.5 update 3 より前のバージョン
- VMware vCenter Server 5.1 update u3b より前のバージョン
- VMware vCenter Server 5.0 update u3e より前のバージョン

この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細は、VMware が提供する情報を参照してください。

【3】Thunderbird に複数の脆弱性

情報源

Mozilla Japan
Thunderbirdセキュリティアドバイザリ (Thunderbird 38.6 で修正済み)
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird38.5

概要

Thunderbird には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Thunderbird 38.6 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに Thunderbird を更新
することで解決します。詳細は、Mozilla が提供する情報を参照してください。

【4】Android Platform の URLConnection クラスに HTTP ヘッダインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVNVU#99757346
Android Platform の URLConnection クラスに HTTP ヘッダインジェクションの脆弱性
https://jvn.jp/vu/JVNVU99757346/

概要

Android Platform には、 URLConnection クラスに HTTP ヘッダインジェク
ションの脆弱性が存在します。外部から入力された値を使用して HTTP ヘッダ
を生成しているアプリケーションのうち、入力値検査が行われていない場合に、
遠隔の第三者が、HTTP ヘッダインジェクション攻撃を行う可能性があります。

この問題は、URLConnection クラスの引数として渡される文字列の入力値検査
を行うことで解決します。Android Platform を利用するアプリケーションの
開発者は、文字列の入力値検査を行うよう注意してください。または最新の
OkHttp を使ってアプリケーションを再実装してください。

【5】Squid に脆弱性

情報源

Squid Proxy Cache Security Update Advisory SQUID-2016:1
Remote Denial of service issue in SSL/TLS processing
http://www.squid-cache.org/Advisories/SQUID-2016_1.txt

概要

Squid には、脆弱性があります。結果として、遠隔の第三者が、サービス運用
妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- Squid version 3.5.13
- Squid version 4.0.4 から 4.0.5 まで

これらのバージョンを、--with-openssl オプションを使用してビルドしてい
る場合に本脆弱性の影響を受けます。

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン
に Squid を更新することで解決します。詳細は、ベンダや配布元が提供する
情報を参照してください。

【6】サイボウズ Office に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#20246313
サイボウズ Office におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN20246313/

Japan Vulnerability Notes JVN#28042424
サイボウズ Office における情報漏えいの脆弱性
https://jvn.jp/jp/JVN28042424/

Japan Vulnerability Notes JVN#47296923
サイボウズ Office における情報漏えいの脆弱性
https://jvn.jp/jp/JVN47296923/

Japan Vulnerability Notes JVN#48720230
サイボウズ Office におけるアクセス制限回避の脆弱性
https://jvn.jp/jp/JVN48720230/

Japan Vulnerability Notes JVN#64209269
サイボウズ Office におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN64209269/

Japan Vulnerability Notes JVN#71428831
サイボウズ Office におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN71428831/

Japan Vulnerability Notes JVN#69278491
サイボウズ Office におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN69278491/

概要

サイボウズ Office には、複数の脆弱性があります。結果として、当該製品の
ユーザがサービス運用妨害 (DoS) 攻撃を行ったり、遠隔の第三者がユーザのブ
ラウザ上で任意のスクリプトを実行したりするなどの可能性があります。

対象となるバージョンは以下の通りです。

- サイボウズ Office 9.0.0 から 10.3.0 まで

この問題は、サイボウズ株式会社が提供する修正済みのバージョンにサイボウズ
Office を更新することで解決します。詳細は、サイボウズ株式会社が提供する
情報を参照してください。

【7】EC-CUBE 用プラグイン「ヘルプ機能プラグイン」に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#31524757
EC-CUBE 用プラグイン「ヘルプ機能プラグイン」における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN31524757/

概要

EC-CUBE 用プラグイン「ヘルプ機能プラグイン」には、SQL インジェクション
の脆弱性があります。結果として、遠隔の第三者が、データベース内の情報を
取得したり、改ざんしたりする可能性があります。

対象となるバージョンは以下の通りです。

- ヘルプ機能プラグイン Ver_1.3.5 およびそれ以前

この問題は、株式会社クオーレが提供する修正済みのバージョンにヘルプ機能
プラグインを更新することで解決します。詳細は、株式会社クオーレが提供す
る情報を参照してください。

【8】baserCMS に OS コマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#69854312
baserCMS における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN69854312/

概要

baserCMS には、OS コマンドインジェクションの脆弱性があります。結果とし
て、ログイン済みのユーザが、任意の OS コマンドを実行する可能性がありま
す。

対象となるバージョンは以下の通りです。

- baserCMS 3.0.2 から 3.0.8 まで

この問題は、baserCMSユーザー会が提供する修正済みのバージョンに baserCMS
を更新するか、修正パッチを適用することで解決します。詳細は、baserCMSユー
ザー会が提供する情報を参照してください。

【9】Hirschmann Classic Platform スイッチの管理者パスワードが漏えいする問題

情報源

CERT/CC Vulnerability Note VU#507216
Hirschmann "Classic Platform" switches reveal administrator password in SNMP community string by default
https://www.kb.cert.org/vuls/id/507216

概要

Hirschmann Classic Platform スイッチには、情報漏えいの脆弱性が存在しま
す。結果として、ローカルネットワーク上にいる第三者が、SNMP コミュニティ
名から管理者パスワードを取得する可能性があります。

対象となる製品は複数存在します。

2016年2月23日現在、対策済みのバージョンは公開されていません。以下の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。

- SNMP Password Sync 機能を無効にし SNMPv3 を使用する

詳細は、Belden が提供する情報を参照してください。

■今週のひとくちメモ

○IPAが「情報セキュリティ10大脅威 2016」を発表

2016年2月15日、IPA は「情報セキュリティ10大脅威 2016」を発表しました。
これは、昨年発生した情報セキュリティ関連の事件・事故の中から、社会に与
えた影響の大きさを考慮して選ばれたものです。今回は新たに「個人」と「組
織」という 2つの視点で 10大脅威を選出しています。
これらの脅威についての解説資料は、3月に公開予定とのことです。

参考文献 (日本語)

独立行政法人情報処理推進機構 (IPA)
情報セキュリティ10大脅威 2016
https://www.ipa.go.jp/security/vuln/10threats2016.html

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2016-02-24号

<<< JPCERT/CC WEEKLY REPORT 2016-02-24 >>>

■02/14(日)〜02/20(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

情報源

概要

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

○IPAが「情報セキュリティ10大脅威 2016」を発表

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次