<<< JPCERT/CC WEEKLY REPORT 2017-04-05 >>>

■03/26(日)〜04/01(土) のセキュリティ関連情報

目　次

【1】複数の VMware 製品に脆弱性

【2】Internet Information Services (IIS) 6.0 にバッファオーバーフローの脆弱性

【3】複数の Apple 製品に脆弱性

【4】CentreCOM AR260S V2 に権限昇格の脆弱性

【今週のひとくちメモ】Ruby 2.1 の公式サポート終了

【1】複数の VMware 製品に脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/03/28/VMware-Releases-Security-Updates

概要

複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー
ザがホスト OS 上で任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- VMware ESXi 6.5
- VMware ESXi 6.0 U3
- VMware ESXi 6.0 U2
- VMware ESXi 6.0 U1
- VMware ESXi 5.5
- VMware Workstation 12 系のバージョン
- VMware Fusion 8 系のバージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMSA-2017-0006
https://www.vmware.com/security/advisories/VMSA-2017-0006.html

【2】Internet Information Services (IIS) 6.0 にバッファオーバーフローの脆弱性

情報源

US-CERT Current Activity
Internet Information Services (IIS) 6.0 Vulnerability
https://www.us-cert.gov/ncas/current-activity/2017/03/30/Internet-Information-Services-IIS-60-Vulnerability

概要

Internet Information Services (IIS) 6.0 には、バッファオーバーフローの
脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能
性があります。

対象となる製品は以下の通りです。

- Internet Information Services (IIS) 6.0

2017年4月5日現在、IIS 6.0 のサポートは終了しています。IIS 6.0 の使用を
停止してください。

関連文書 (英語)

National Vulnerability Database
CVE-2017-7269 Detail
https://nvd.nist.gov/vuln/detail/CVE-2017-7269

【3】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/03/27/Apple-Releases-Security-Update-iWork

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- macOS Server 5.3 より前のバージョン
- tvOS 10.2 より前のバージョン
- watchOS 3.2 より前のバージョン
- iOS 10.3 より前のバージョン
- macOS Sierra 10.12.4 より前のバージョン
- OS X El Capitan
- OS X Yosemite
- Safari 10.1 より前のバージョン
- Pages 6.1 for Mac より前のバージョン
- Numbers 4.1 for Mac より前のバージョン
- Keynote 7.1 for Mac より前のバージョン
- Pages 3.1 for iOS より前のバージョン
- Numbers 3.1 for iOS より前のバージョン
- Keynote 3.1 for iOS より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90482935
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90482935/

関連文書 (英語)

Apple
About the security content of macOS Server 5.3
https://support.apple.com/en-us/HT207604

Apple
About the security content of tvOS 10.2
https://support.apple.com/en-us/HT207601

Apple
About the security content of watchOS 3.2
https://support.apple.com/en-us/HT207602

Apple
About the security content of iOS 10.3
https://support.apple.com/en-us/HT207617

Apple
About the security content of macOS Sierra 10.12.4, Security Update 2017-001 El Capitan, and Security Update 2017-001 Yosemite
https://support.apple.com/en-us/HT207615

Apple
About the security content of Safari 10.1
https://support.apple.com/en-us/HT207600

Apple
About the security content of Pages 6.1, Numbers 4.1, and Keynote 7.1 for Mac and Pages 3.1, Numbers 3.1, and Keynote 3.1 for iOS
https://support.apple.com/en-us/HT207595

【4】CentreCOM AR260S V2 に権限昇格の脆弱性

情報源

Japan Vulnerability Notes JVN#55121369
CentreCOM AR260S V2 における権限昇格の脆弱性
https://jvn.jp/jp/JVN55121369/

概要

CentreCOM AR260S V2 には、権限昇格の脆弱性があります。結果として、アカ
ウント「guest」でログイン可能なユーザが、管理者権限で任意の操作を行う
可能性があります。

対象となる製品は以下の通りです。

- CentreCOM AR260S V2

以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

- アカウント「guest」のパスワードを変更する
- 信頼できないユーザに認証情報を使用させない
- ファイアウォール機能を有効にする

詳細は、アライドテレシス株式会社が提供する情報を参照してください。

関連文書 (日本語)

アライドテレシス株式会社
CentreCOM AR260S V2 における権限昇格の脆弱性
https://www.allied-telesis.co.jp/support/list/faq/vuls/20170330a.html

■今週のひとくちメモ

○Ruby 2.1 の公式サポート終了

2017年3月31日をもって、Ruby 2.1 は、公式サポートを終了しました。サポー
ト終了後は、セキュリティ上の脅威が高まります。Ruby 2.1 を利用している
場合、サポートが行われているバージョンへの移行をお勧めします。また、
Ruby 2.2 は、2017年3月に重大なセキュリティ修正のみを行うセキュリティメン
テナンスフェーズに移行しており、2018年3月末で公式サポートを終了する予
定とのことです。

参考文献 (日本語)

Ruby
Ruby 2.1 公式サポート終了
https://www.ruby-lang.org/ja/news/2017/04/01/support-of-ruby-2-1-has-ended/

Ruby
Ruby 2.2.7 リリース
https://www.ruby-lang.org/ja/news/2017/03/28/ruby-2-2-7-released/

■JPCERT/CC からのお願い