JPCERT-WR-2016-2301

JPCERT/CC

2016-06-15

<<< JPCERT/CC WEEKLY REPORT 2016-06-15 >>>

■06/05(日)〜06/11(土) のセキュリティ関連情報

目　次

【1】Apache Struts 1 に複数の脆弱性

【2】Mozilla 製品群に複数の脆弱性

【3】複数の VMware 製品に脆弱性

【4】複数の Symantec 製品に脆弱性

【5】TERASOLUNA Server Framework for Java(WEB) に制限回避の脆弱性

【6】NETGEAR D6000 および D3600 に複数の脆弱性

【7】ＤＸライブラリに任意のコードを実行可能な脆弱性

【今週のひとくちメモ】CCDS が「製品分野別セキュリティガイドライン第１版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr162301.txt
https://www.jpcert.or.jp/wr/2016/wr162301.xml

【1】Apache Struts 1 に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#03188560
Apache Struts 1 におけるメモリ上にあるコンポーネントを操作可能な脆弱性
https://jvn.jp/jp/JVN03188560/

Japan Vulnerability Notes JVN#65044642
Apache Struts 1 における入力値検証機能に関する脆弱性
https://jvn.jp/jp/JVN65044642/

概要

Apache Struts 1 には、複数の脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
るなどの可能性があります。

対象となるバージョンは以下の通りです。

- Apache Struts バージョン 1.0 から 1.3.10 まで

2016年6月15日現在、Apache Struts 1 の開発は終了しています。Apache Struts
1 の使用を停止してください。また、配布元が修正パッチを公開している場合
があります。詳細は、開発者や配布元が提供する情報を参照してください。

【2】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/06/07/Mozilla-Releases-Security-Updates

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- Firefox 47 より前のバージョン
- Firefox ESR 45.2 より前のバージョン
- NSS 3.23 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細は、Mozilla が提供する情報を参照してください。

【3】複数の VMware 製品に脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/06/10/VMware-Releases-Security-Updates

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
情報を取得したり、ユーザのブラウザ上で任意のスクリプトを実行したりする
などの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- VMware NSX 6.2.3 より前の 6.2 系のバージョン
- VMware NSX 6.1.7 より前の 6.1 系のバージョン
- VMware vCNS 5.5.4.3 より前の 5.5.4 系のバージョン
- VMware vRealize Log Insight 3.3.2 より前のバージョン

この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細は、VMware が提供する情報を参照してください。

【4】複数の Symantec 製品に脆弱性

情報源

US-CERT Current Activity
Symantec Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/06/07/Symantec-Releases-Security-Updates

概要

複数の Symantec 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、データベースに対して任意の SQL コマンドを実
行したりするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Symantec Embedded Security: Critical System Protection (SES:CSP) 1.0.x
- Symantec Embedded Security: Critical System Protection for Controllers and Devices (SES:CSP) 6.5.0
- Symantec Critical System Protection (SCSP) 5.2.9 およびそれ以前
- Symantec Data Center Security: Server Advanced Server (DCS:SA) 6.0.x
- Symantec Data Center Security: Server Advanced Server (DCS:SA) 6.5.x
- Symantec Data Center Security: Server Advanced Server (DCS:SA) 6.6
- Symantec Data Center Security: Server Advanced Server and Agents (DCS:SA) 6.6 MP1

この問題は、Symantec が提供する修正済みのバージョンに該当する製品を更
新することで解決します。詳細は、Symantec が提供する情報を参照してくだ
さい。

【5】TERASOLUNA Server Framework for Java(WEB) に制限回避の脆弱性

情報源

Japan Vulnerability Notes JVN#74659077
TERASOLUNA Server Framework for Java(WEB) の拡張子直接アクセス禁止機能における制限回避の脆弱性
https://jvn.jp/jp/JVN74659077/

概要

TERASOLUNA Server Framework for Java(WEB) には、拡張子直接アクセス禁止
機能の制限を回避可能な脆弱性があります。結果として、遠隔の第三者が、情
報を取得するなどの可能性があります。

対象となるバージョンは以下の通りです。

- TERASOLUNA Server Framework for Java(WEB) 2.0.0.1 から 2.0.6.1 まで

この問題は、株式会社エヌ・ティ・ティ・データが提供する修正モジュールを
TERASOLUNA Server Framework for Java(WEB) に適用することで解決します。
詳細は、株式会社エヌ・ティ・ティ・データが提供する情報を参照してくださ
い。

【6】NETGEAR D6000 および D3600 に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#778696
Netgear D6000 and D3600 contain hard-coded cryptographic keys and are vulnerable to authentication bypass
https://www.kb.cert.org/vuls/id/778696

概要

NETGEAR D6000 および D3600 には、複数の脆弱性があります。結果として、
遠隔の第三者が、認証を回避したり、中間者攻撃を行ったりするなどの可能性
があります。

対象となる製品およびバージョンは以下の通りです。

- D6000 v1.0.0.49 およびそれ以前
- D3600 v1.0.0.49

この問題は、NETGEAR, Inc. が提供する修正済みのバージョンに該当する製品
のファームウェアを更新することで解決します。詳細は、NETGEAR, Inc. が提
供する情報を参照してください。

【7】ＤＸライブラリに任意のコードを実行可能な脆弱性

情報源

Japan Vulnerability Notes JVN#15205734
ＤＸライブラリにおいて任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN15205734/

概要

ＤＸライブラリには、書式指定文字列の処理に関する脆弱性があります。結果
として、遠隔の第三者が、細工した文字列を処理させることで、任意のコード
を実行する可能性があります。

対象となるバージョンは以下の通りです。

- ＤＸライブラリ VisualC++用 Ver3.13f から Ver3.16b まで
- ＤＸライブラリ BorlandC++用 Ver3.13f から Ver3.16b まで
- ＤＸライブラリ Gnu C++用 Ver3.13f から Ver3.16b まで

この問題は、開発者が提供する修正済みのバージョンにＤＸライブラリを更新
し、アプリケーションをリビルドすることで解決します。詳細は、開発者が提
供する情報を参照してください。

■今週のひとくちメモ

○CCDS が「製品分野別セキュリティガイドライン第１版」を公開

2016年6月8日、重要生活機器連携セキュリティ協議会 (CCDS) は、「製品分野
別セキュリティガイドライン第１版」を公開しました。このガイドラインは、
2016年3月に情報処理推進機構 (IPA) が公開した「つながる世界の開発指針」
を基本的な考え方として、車載・IoT ゲートウェイ・金融端末 (ATM)・決裁端
末 (POS) それぞれの製品分野ごとに脅威やリスク、取り組むべきセキュリティ
対策をまとめたものです。

参考文献 (日本語)

重要生活機器連携セキュリティ協議会 (CCDS)
CCDS、製品分野別セキュリティガイドライン第１版を策定
https://www.ccds.or.jp/public_document/index.html#guidelines1.0

情報処理推進機構 (IPA)
「つながる世界の開発指針」を公開
https://www.ipa.go.jp/sec/reports/20160324.html

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2016-06-15号

<<< JPCERT/CC WEEKLY REPORT 2016-06-15 >>>

■06/05(日)〜06/11(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○CCDS が「製品分野別セキュリティガイドライン第１版」を公開

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次