<<< JPCERT/CC WEEKLY REPORT 2017-01-18 >>>

■01/08(日)〜01/14(土) のセキュリティ関連情報

目　次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

【4】WordPress に複数の脆弱性

【5】サイボウズ リモートサービスマネージャーにクライアント証明書の検証不備の脆弱性

【6】iOS 用 ThreatMetrix SDK に SSL サーバ証明書の検証不備の脆弱性

【7】CodeLathe FileCloud にクロスサイトリクエストフォージェリの脆弱性

【今週のひとくちメモ】Windows Vista のサポート期間について

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases January 2017 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2017/01/10/Microsoft-Releases-January-2017-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Microsoft Edge
- Microsoft Office
- Microsoft Office Services および Web Apps

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2017 年 1 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms17-Jan

JPCERT/CC Alert 2017-01-11
2017年 1月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170003.html

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/01/10/Adobe-Releases-Security-Updates

概要

複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Acrobat DC 連続トラック 15.020.20042 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat Reader DC 連続トラック 15.020.20042 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat DC クラシック 15.006.30244 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat Reader DC クラシック 15.006.30244 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat XI デスクトップ 11.0.18 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Reader XI デスクトップ 11.0.18 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player デスクトップランタイム 24.0.0.186 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe セキュリティ情報
Adobe Acrobat および Reader に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/acrobat/apsb17-01.html

Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-02.html

JPCERT/CC Alert 2017-01-11
Adobe Reader および Acrobat の脆弱性 (APSB17-01) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170001.html

JPCERT/CC Alert 2017-01-11
Adobe Flash Player の脆弱性 (APSB17-02) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170002.html

【3】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

情報源

US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2017/01/11/ISC-Releases-Security-Updates-BIND

概要

ISC BIND 9 には複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- BIND 9.4.0 から 9.6-ESV-R11-W1 まで
- BIND 9.8.5 から 9.8.8 まで
- BIND 9.9.3 から 9.9.9-P4 まで
- BIND 9.9.8-S1 から 9.9.8-S3 まで
- BIND 9.9.9-S1 から 9.9.9-S6 まで
- BIND 9.10.0 から 9.10.4-P4 まで
- BIND 9.11.0 から 9.11.0-P1 まで

この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

株式会社日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2016-9131）
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-malformed-any.html

株式会社日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2016-9147）
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-inconsistent-dnssec.html

株式会社日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2016-9444）
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-unusually-formed-ds.html

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2016-9778）
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-nxdomain-redirect.html

一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
BIND 9における複数の脆弱性について(2017年1月)
https://www.nic.ad.jp/ja/topics/2017/20170112-01.html

Japan Vulnerability Notes JVNVU#94085539
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU94085539/

JPCERT/CC Alert 2017-01-12
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170004.html

関連文書 (英語)

ISC Knowledge Base
CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion
https://kb.isc.org/article/AA-01439

ISC Knowledge Base
CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure
https://kb.isc.org/article/AA-01440

ISC Knowledge Base
CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure
https://kb.isc.org/article/AA-01441

ISC Knowledge Base
CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c
https://kb.isc.org/article/AA-01442

【4】WordPress に複数の脆弱性

情報源

WordPress
WordPress 4.7.1 セキュリティ・メンテナンスリリース
https://ja.wordpress.org/2017/01/12/wordpress-4-7-1-security-and-maintenance-release/

概要

WordPress には複数の脆弱性があります。結果として、遠隔の第三者が、任意
のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行したり
するなどの可能性があります。

対象となるバージョンは以下の通りです。

- WordPress 4.7.1 より前のバージョン

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。

【5】サイボウズ リモートサービスマネージャーにクライアント証明書の検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#19241292
サイボウズ リモートサービスマネージャーにおけるクライアント証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN19241292/

概要

サイボウズ リモートサービスマネージャーにはクライアント証明書の検証不
備の脆弱性があります。結果として、当該製品のユーザが外部からサービスに
アクセスする可能性があります。

対象となるバージョンは以下の通りです。

- リモートサービスマネージャー 3.0.0 から 3.1.4 まで

この問題は、リモートサービスマネージャーをサイボウズ株式会社が提供する
修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株式
会社が提供する情報を参照してください。

関連文書 (日本語)

サイボウズ株式会社
[CyVDB-1277]MDMオプションに関する不適切な認証の脆弱性
https://support.cybozu.com/ja-jp/article/9689

【6】iOS 用 ThreatMetrix SDK に SSL サーバ証明書の検証不備の脆弱性

情報源

CERT/CC Vulnerability Note VU#767208
ThreatMetrix SDK for iOS fails to validate SSL certificates
https://www.kb.cert.org/vuls/id/767208

概要

iOS 用 ThreatMetrix SDK には SSL サーバ証明書の検証不備の脆弱性があり
ます。結果として、第三者が、中間者攻撃によって、暗号通信を盗聴するなど
の可能性があります。

対象となるバージョンは以下の通りです。

- ThreatMetrix SDK 3.2 より前のバージョン

この問題は、ThreatMetrix SDK を ThreatMetrix が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、ThreatMetrix が提供する情報
を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#95516811
iOS 用 ThreatMetrix SDK に SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/vu/JVNVU95516811/

【7】CodeLathe FileCloud にクロスサイトリクエストフォージェリの脆弱性

情報源

CERT/CC Vulnerability Note VU#865216
CodeLathe FileCloud is vulnerable to cross-site request forgery
https://www.kb.cert.org/vuls/id/865216

概要

FileCloud にはクロスサイトリクエストフォージェリの脆弱性があります。結
果として、遠隔の第三者がユーザの意図しない操作を行う可能性があります。

対象となるバージョンは以下の通りです。

- FileCloud 13.0.0.32841 およびそれ以前

この問題は、FileCloud を CodeLathe が提供する修正済みのバージョンに更
新することで解決します。詳細は、CodeLathe が提供する情報を参照してくだ
さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#91580972
CodeLathe FileCloud にクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/vu/JVNVU91580972/

関連文書 (英語)

CodeLathe
FILECLOUD VERSION 14.0.0.34030 (JAN 12, 2017)
https://www.getfilecloud.com/releasenotes/

■今週のひとくちメモ

○Windows Vista のサポート期間について

2017年4月11日をもって、Windows Vista の延長サポートが終了します。サポー
ト終了後は、セキュリティ上の脅威が高まります。Windows Vista を利用して
いる場合、サポートが行われているバージョンへの早めの移行をお勧めします。
また、同日に Microsoft Exchange Server 2007 の延長サポートも終了する予
定です。

参考文献 (日本語)

Microsoft
Windows Vista または Windows XP を Windows 7 にアップグレードする際に必要な事前準備
https://support.microsoft.com/ja-jp/kb/2028274

Microsoft
Windows ライフサイクルのファクトシート
https://support.microsoft.com/ja-jp/help/13853/windows-lifecycle-fact-sheet

Microsoft
製品のライフサイクルの検索 - Microsoft Exchange Server 2007 Service Pack 3
https://support.microsoft.com/ja-jp/lifecycle/search?alpha=Microsoft%20Exchange%20Server%202007%20Service%20Pack%203

■JPCERT/CC からのお願い