<<< JPCERT/CC WEEKLY REPORT 2016-12-21 >>>
■12/11(日)〜12/17(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の Apple 製品に脆弱性
【4】Mozilla Firefox に複数の脆弱性
【5】Apache Tomcat に情報漏えいの脆弱性
【6】McAfee VirusScan Enterprise for Linux に複数の脆弱性
【7】Joomla! に複数の脆弱性
【8】サイボウズ デヂエに複数のアクセス制限不備の脆弱性
【9】Apache ActiveMQ にクロスサイトスクリプティングの脆弱性
【10】複数のソニー製ビデオ会議システムに認証不備の脆弱性
【11】EpubCheck に脆弱性
【今週のひとくちメモ】NISC が「ネットワークビギナーのための情報セキュリティハンドブック」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr165001.txt
https://www.jpcert.or.jp/wr/2016/wr165001.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases December 2016 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2016/12/13/Microsoft-Releases-December-2016-Security-Bulletin
概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Edge - Microsoft Office - Microsoft Office Services および Web Apps - Microsoft .NET Framework この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2016 年 12 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms16-DecJPCERT/CC Alert 2016-12-14
2016年 12月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160049.html
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/12/13/Adobe-Releases-Security-Updates
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 23.0.0.207 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.644 およびそれ以前 (Linux 版) - Adobe Animate 15.2.1.95 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Experience Manager Forms 6.2 (Windows 版、Linux 版、Solaris 版、AIX 版、Unix 版、OS X 版) - Adobe Experience Manager Forms 6.1 (Windows 版、Linux 版、Solaris 版、AIX 版、Unix 版、OS X 版) - Adobe Experience Manager Forms 6.0 (Windows 版、Linux 版、Solaris 版、AIX 版、Unix 版、OS X 版) - LiveCycle 11.0.1 (Windows 版、Linux 版、Solaris 版、AIX 版) - LiveCycle 10.0.4 (Windows 版、Linux 版、Solaris 版、AIX 版) - Adobe DNG Converter 9.7 およびそれ以前 (Windows 版、Macintosh 版) - InDesign 11.4.1 およびそれ以前 (Windows 版、Macintosh 版) - InDesign Server 11.0.0 およびそれ以前 (Windows 版、Macintosh 版) - ColdFusion Builder 2016 Update 2 およびそれ以前 (Windows 版、Linux 版、Macintosh 版) - ColdFusion Builder 3.0.3 およびそれ以前 (Windows 版、Linux 版、Macintosh 版) - Adobe Digital Editions 4.5.2 およびそれ以前 (Windows 版、Macintosh 版、Android 版) - RoboHelp 2015.0.3 およびそれ以前 (Windows 版) - RoboHelp 11 およびそれ以前 (Windows 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe セキュリティ情報
Adobe Animate に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/animate/apsb16-38.htmlAdobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.htmlAdobe セキュリティ情報
Adobe Experience Manager Forms を対象としたセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/aem-forms/apsb16-40.htmlAdobe セキュリティ情報
Adobe DNG Converter に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/dng-converter/apsb16-41.htmlAdobe セキュリティ情報
Adobe Experience Manager 用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/experience-manager/apsb16-42.htmlAdobe セキュリティ情報
InDesign を対象としたセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/indesign/apsb16-43.htmlAdobe セキュリティ情報
ColdFusion Builder に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/coldfusion/apsb16-44.htmlAdobe セキュリティ情報
Adobe Digital Editions に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb16-45.htmlAdobe セキュリティ情報
RoboHelp に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/robohelp/apsb16-46.htmlJapan Vulnerability Notes JVNVU#90937983
Adobe Flash Player における解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU90937983/JPCERT/CC Alert 2016-12-14
Adobe Flash Player の脆弱性 (APSB16-39) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160048.html
【3】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/12/12/Apple-Releases-Security-UpdatesUS-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/12/14/Apple-Releases-Security-Updates
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を取得したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 10.2 より前のバージョン - tvOS 10.1 より前のバージョン - macOS Sierra 10.12.2 より前のバージョン - iTunes 12.5.4 for Windows より前のバージョン - Safari 10.0.2 より前のバージョン - iCloud for Windows 6.1 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 なお、watchOS のアップデートには不具合があったとのことで、 2016年12月20日現在、このアップデートは取り下げられています。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93979172
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93979172/Japan Vulnerability Notes JVNVU#97133642
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU97133642/
関連文書 (英語)
Apple
About the security content of iOS 10.2
https://support.apple.com/en-us/HT207422Apple
About the security content of tvOS 10.1
https://support.apple.com/en-us/HT207425Apple
About the security content of macOS Sierra 10.12.2
https://support.apple.com/en-us/HT207423Apple
About the security content of iTunes 12.5.4 for Windows
https://support.apple.com/en-us/HT207427Apple
About the security content of Safari 10.0.2
https://support.apple.com/en-us/HT207421Apple
About the security content of iCloud for Windows 6.1
https://support.apple.com/en-us/HT207424CNET
Apple rolls back watchOS for bricking devices
https://www.cnet.com/news/apple-rolls-back-watch-update-to-save-your-devices/
【4】Mozilla Firefox に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/12/14/Mozilla-Releases-Security-Updates
概要
Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となるバージョンは以下の通りです。 - Mozilla Firefox 50.1 より前のバージョン - Mozilla Firefox ESR 45.6 より前のバージョン この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2016 年 12 月 13 日)
http://www.mozilla-japan.org/security/announce/
【5】Apache Tomcat に情報漏えいの脆弱性
情報源
Japan Vulnerability Notes JVNVU#97321122
Apache Tomcat に情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU97321122/
概要
Apache Tomcat には、情報漏えいの脆弱性があります。結果として、攻撃者が 通信内容を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Apache Tomcat 9.0.0.M1 から 9.0.0.M13 まで - Apache Tomcat 8.5.0 から 8.5.8 まで この問題は、Apache Tomcat を The Apache Software Foundation が提供する 修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。
関連文書 (英語)
The Apache Software Foundation
Fixed in Apache Tomcat 9.0.0.M15
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M15The Apache Software Foundation
Fixed in Apache Tomcat 8.5.9
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.9
【6】McAfee VirusScan Enterprise for Linux に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#245327
McAfee VirusScan for Linux contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/245327
概要
McAfee VirusScan Enterprise for Linux には、複数の脆弱性があります。結 果として、遠隔の第三者が、任意のコードを実行したり、ユーザのブラウザ上 で任意のスクリプトを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - VirusScan Enterprise for Linux version 2.0.3 およびそれ以前 この問題は、VirusScan Enterprise for Linux を McAfee が提供する修正済 みのバージョンに更新することで解決します。詳細は、McAfee が提供する情 報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90572729
McAfee Virus Scan Enterprise for Linux に複数の脆弱性
https://jvn.jp/vu/JVNVU90572729/
関連文書 (英語)
McAfee
VirusScan Enterprise for Linux/LinuxShield update fixes multiple vulnerabilities
https://kc.mcafee.com/corporate/index?page=content&id=SB10181
【7】Joomla! に複数の脆弱性
情報源
US-CERT Current Activity
Joomla! Releases Security Update for CMS
https://www.us-cert.gov/ncas/current-activity/2016/12/14/Joomla-Releases-Security-Update-CMS
概要
Joomla! には、複数の脆弱性があります。結果として、遠隔の第三者がユーザ のアカウント情報を変更するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Joomla! 1.6.0 から 3.6.4 まで この問題は、Joomla! を Joomla! が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Joomla! が提供する情報を参照してください。
関連文書 (英語)
Joomla! Developer Network
Security Announcements [20161201] - Core - Elevated Privileges
https://developer.joomla.org/security-centre/664-20161201-core-elevated-privileges.htmlJoomla! Developer Network
Security Announcements [20161202] - Core - Shell Upload
https://developer.joomla.org/security-centre/665-20161202-core-shell-upload.htmlJoomla! Developer Network
Security Announcements [20161203] - Core - Information Disclosure
https://developer.joomla.org/security-centre/666-20161203-core-information-disclosure.html
【8】サイボウズ デヂエに複数のアクセス制限不備の脆弱性
情報源
Japan Vulnerability Notes JVN#16781735
サイボウズ デヂエにおける複数のアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN16781735/
概要
サイボウズ デヂエには、複数のアクセス制限不備の脆弱性があります。結果 として、遠隔の第三者が、任意のファイルを取得したり、削除したりする可能 性があります。 対象となるバージョンは以下の通りです。 - サイボウズ デヂエ 8.0.0 から 8.1.1 まで この問題は、サイボウズ デヂエをサイボウズ株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供 する情報を参照してください。
関連文書 (日本語)
サイボウズ株式会社
[CyVDB-1240]ライブラリに関する操作制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/9741サイボウズ株式会社
[CyVDB-1238]ライブラリに関する操作制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/9742
【9】Apache ActiveMQ にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#78980598
Apache ActiveMQ におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN78980598/
概要
Apache ActiveMQ には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となるバージョンは以下の通りです。 - Apache ActiveMQ 5.0.0 から 5.14.1 まで この問題は、Apache ActiveMQ を The Apache Software Foundation が提供す る修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。
関連文書 (英語)
The Apache Software Foundation
CVE-2016-6810: ActiveMQ Web Console - Cross-Site Scripting
https://activemq.apache.org/security-advisories.data/CVE-2016-6810-announcement.txt
【10】複数のソニー製ビデオ会議システムに認証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#42070907
複数のソニー製ビデオ会議システムにおける認証不備の脆弱性
https://jvn.jp/jp/JVN42070907/
概要
複数のソニー製ビデオ会議システムには、認証不備の脆弱性があります。結果 として、遠隔の第三者が管理者権限で任意の操作を行う可能性があります。 対象となる製品は以下の通りです。 - PCS-XG100 - PCS-XG100S - PCS-XG77 - PCS-XG77S - PCS-XC1 この問題は、該当する製品のファームウェアをソニー株式会社が提供する修正 済みのバージョンに更新することで解決します。詳細は、ソニー株式会社が提 供する情報を参照してください。
関連文書 (日本語)
ソニー株式会社
ビデオ会議システム『PCS-XG77, PCS-XG77S, PCS-XG100, PCS-XG100S, PCS-XC1』をご愛用のお客様へ セキュリティ対策ソフトウェアバージョンアップのお願い
https://www.sony.jp/pcs/info/20160325.html
【11】EpubCheck に脆弱性
情報源
CERT/CC Vulnerability Note VU#779243
EpubCheck 4.0.1 contains a XML external entity processing vulnerability
https://www.kb.cert.org/vuls/id/779243
概要
EpubCheck には、XML データの処理に関する脆弱性があります。結果として、 遠隔の第三者が、任意のファイルにアクセスしたり、任意のリクエストを送信 したりする可能性があります。 対象となるバージョンは以下の通りです。 - EpubCheck 4.0.1 この問題は、EpubCheck を International Digital Publishing Forum が提供 する修正済みのバージョンに更新することで解決します。詳細は、 International Digital Publishing Forum が提供する情報を参照してくださ い。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96226231
EpubCheck に XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/vu/JVNVU96226231/
関連文書 (英語)
International Digital Publishing Forum
EpubCheck 4.0.2
https://github.com/IDPF/epubcheck/releases/tag/v4.0.2
■今週のひとくちメモ
○NISC が「ネットワークビギナーのための情報セキュリティハンドブック」を公開
2016年12月15日、内閣官房内閣サイバーセキュリティセンター (NISC) は、「ネッ トワークビギナーのための情報セキュリティハンドブック」を公開しました。 このハンドブックは、家庭で使用するパソコンやスマートフォンなど、身近な ものを題材に、セキュリティの基本や、安全に使用するための方法などを解説 したものです。
参考文献 (日本語)
内閣官房内閣サイバーセキュリティセンター (NISC)
ネットワークビギナーのための情報セキュリティハンドブック
http://www.nisc.go.jp/security-site/files/handbook-all.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
