US-CERT Current Activity
Microsoft Releases September 2016 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2016/09/13/Microsoft-Releases-September-2016-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Edge
- Microsoft Office
- Microsoft Office Services および Web Apps
- Microsoft Exchange

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/09/13/Adobe-Releases-Security-Updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Digital Editions 4.5.1 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版)
- Adobe Flash Player デスクトップランタイム 22.0.0.211  およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 継続サポートリリース 18.0.0.366 およびそれ以前 (Windows 版、Macintosh 版)
- Linux 向け Adobe Flash Player 11.2.202.632 およびそれ以前 (Linux 版)
- Adobe AIR SDK およびコンパイラー 22.0.0.153 およびそれ以前 (Windows 版、Macintosh 版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

【3】複数の VMware 製品に脆弱性

情報源

US-CERT Current Activity
VMWare Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/09/16/VMWare-Releases-Security-Updates

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- VMware Workstation Pro 12.5.0 より前のバージョン (Windows 版)
- VMware Workstation Player 12.5.0 より前のバージョン (Windows 版)
- VMware Tools 10.0.9 (Macintosh 版)

この問題は、該当する製品を、VMware が提供する修正済みのバージョンに更
新することで解決します。詳細は、VMware が提供する情報を参照してくださ
い。

【4】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/09/15/Cisco-Releases-Security-Updates

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/09/16/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユー
ザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Cisco Web Security Appliance
- Cisco WebEx Meetings Server 2.6
- Cisco Unified Computing System (UCS) Manager
- Cisco Fog Director for IOx
- Cisco UCS 6200 Series Fabric Interconnects
- Cisco NCS 6000 Series の Cisco IOS XR Software (64 ビット版)
- IOx feature set が有効な Cisco IOS
- IOx feature set が有効な IOS XE Software
- CRS-1 の Cisco CRS Carrier Grade Service
- CRS-3 の Cisco CRS Carrier Grade Service
- Cisco IOS XR 4.3.x
- Cisco IOS XR 5.0.x
- Cisco IOS XR 5.1.x
- Cisco IOS XR 5.2.x

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

【5】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/09/13/Apple-Releases-Security-Updates

概要

複数の Apple 製品には、脆弱性があります。結果として、第三者が、任意の
コードを実行したり、情報を取得したりするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- iOS 10.0.1 より前のバージョン
- Xcode 8 より前のバージョン
- watchOS 3 より前のバージョン
- iTunes 12.5.1 for Windows より前のバージョン
- tvOS 10 より前のバージョン

この問題は、該当する製品を、Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

【6】ウイルスバスタークラウドに検索対象に関する脆弱性

情報源

Japan Vulnerability Notes JVN#98126322
ウイルスバスタークラウドにおける検索対象に関する脆弱性
https://jvn.jp/jp/JVN98126322/

概要

ウイルスバスター クラウドには、検索対象に関する脆弱性があります。結果
として、第三者が特定の条件の下で任意のファイルまたはフォルダを検索対象
から除外する可能性があります。

対象となるバージョンは以下の通りです。

- ウイルスバスター クラウド 8
- ウイルスバスター クラウド 10

この問題は、ウイルスバスター クラウドを、トレンドマイクロ株式会社が提
供する修正済みのバージョンに更新するか、修正モジュールを適用することで
解決します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してく
ださい。

【7】Splunk Enterprise および Splunk Light に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#74244518
Splunk Enterprise および Splunk Light におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN74244518/

Japan Vulnerability Notes JVN#64800312
Splunk Enterprise および Splunk Light におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN64800312/

Japan Vulnerability Notes JVN#39926655
Splunk Enterprise および Splunk Light におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN39926655/

Japan Vulnerability Notes JVN#71462075
Splunk Enterprise および Splunk Light におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN71462075/

概要

Splunk Enterprise および Splunk Light には、複数の脆弱性があります。結
果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行し
たり、細工した URL にアクセスさせることで、任意のウェブサイトにリダイ
レクトさせたりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Splunk Enterprise 6.4.3 より前のバージョンの 6.4.x
- Splunk Enterprise 6.3.6 より前のバージョンの 6.3.x
- Splunk Enterprise 6.2.11 より前のバージョンの 6.2.x
- Splunk Enterprise 6.1.11 より前のバージョンの 6.1.x
- Splunk Enterprise 6.0.12 より前のバージョンの 6.0.x
- Splunk Enterprise 5.0.16 より前のバージョンの 5.0.x
- Splunk Light 6.3.5 より前のバージョンの 6.3.x
- Splunk Light 6.4.3 より前のバージョン

この問題は、該当する製品を、Splunk Inc. が提供する修正済みのバージョン
に更新することで解決します。詳細は、Splunk Inc. が提供する情報を参照し
てください。

【8】Zend Framework に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#18926672
Zend Framework における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN18926672/

概要

Zend Framework には、SQL インジェクションの脆弱性があります。結果とし
て、遠隔の第三者が、データベース内の情報を取得したり、改ざんしたりする
可能性があります。

対象となるバージョンは以下の通りです。

- Zend Framework 1.12.20 より前のバージョン

この問題は、Zend Framework を、Zend Technologies Ltd. が提供する修正済
みのバージョンに更新することで解決します。詳細は、Zend Technologies Ltd.
が提供する情報を参照してください。

【9】STARDOM コントローラに任意の操作が行われる脆弱性

情報源

Japan Vulnerability Notes JVNVU#98542287
STARDOM コントローラに任意のコマンドを実行される脆弱性
https://jvn.jp/vu/JVNVU98542287/

概要

STARDOM コントローラには、ロジックデザイナからの接続時に、認証が行われ
ない問題があります。結果として、STARDOM コントローラにアクセス可能な第
三者が、任意の操作を行う可能性があります。

対象となるバージョンは以下の通りです。

- STARDOM FCN/FCJ R1.01 から R4.01 まで

この問題は、STARDOM を、横河電機株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、横河電機株式会社が提供する情報を参
照してください。

【10】H2O に書式指定文字列に関する脆弱性

情報源

Japan Vulnerability Notes JVN#94779084
H2O における書式指定文字列に関する脆弱性
https://jvn.jp/jp/JVN94779084/

概要

H2O には、書式指定文字列に関する脆弱性があります。結果として、遠隔の第
三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- H2O version 2.0.3 およびそれ以前
- H2O version 2.1.0-beta2 およびそれ以前

この問題は、H2O を、開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。

【11】CS-Cart 用アドオン「Twigmo」に PHP オブジェクトインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#55389065
CS-Cart 用アドオン「Twigmo」における PHP オブジェクトインジェクションの脆弱性
https://jvn.jp/jp/JVN55389065/

概要

CS-Cart 用アドオン「Twigmo」には、PHP オブジェクトインジェクションの脆
弱性があります。結果として、遠隔の第三者が、任意の PHP コードを実行す
る可能性があります。

対象となる製品およびバージョンは以下の通りです。

- CS-Cart バージョン 4.3.9 およびそれ以前に同梱されている「Twigmo」
- CS-Cart マーケットプレイス版 バージョン 4.3.9 およびそれ以前に同梱されている「Twigmo」

2016年9月21日現在、対策済みのバージョンは公開されていません。以下の回
避策を適用することで、本脆弱性の影響を軽減することが可能です。

- app/addons/twigmo/controllers/backend/twigmo.php に記述されている
「$_REQUEST['status'] = unserialize($_REQUEST['status']);」という箇所を
削除またはコメントアウトする

詳細は、有限会社フロッグマンオフィスが提供する情報を参照してください。

■今週のひとくちメモ

○JSSECが「Androidアプリのセキュア設計・セキュアコーディングガイド 2016年9月1日版」を公開

2016年9月12日、日本スマートフォンセキュリティ協会 (JSSEC) は、「Android
アプリのセキュア設計・セキュアコーディングガイド」の改訂版(2016年9月1
日版)を公開しました。このガイドは、Androidアプリケーション開発者向けに、
セキュア設計、セキュアコーディングのノウハウを、サンプルコードとともに
まとめたものです。
この改訂版では、Google Play 開発者サービスの Provider Installer を利用
した脆弱性対策、ピンニングによる検証の注意点と実装例などが追記されてい
ます。

参考文献 (日本語)

日本スマートフォンセキュリティ協会 (JSSEC)
JSSEC、「Androidアプリのセキュア設計・セキュアコーディングガイド」2016年9月1日版を公開
https://www.jssec.org/report/20160912_securecoding.html

日本スマートフォンセキュリティ協会 (JSSEC)
Androidアプリのセキュア設計・セキュアコーディングガイド 2016年9月1日版
https://www.jssec.org/dl/android_securecoding.pdf

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2016-09-23号

<<< JPCERT/CC WEEKLY REPORT 2016-09-23 >>>

■09/11(日)〜09/17(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○JSSECが「Androidアプリのセキュア設計・セキュアコーディングガイド 2016年9月1日版」を公開

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次