Apache Tomcat には、アクセス制限不備の脆弱性があります。結果として、遠
隔の第三者が、細工した HTTP リクエストを処理させることで、エラーページ
の削除や上書きを行う可能性があります。

対象となるバージョンは以下の通りです。

- Apache Tomcat 9.0.0.M1 から 9.0.0.M20 まで
- Apache Tomcat 8.5.0 から 8.5.14 まで
- Apache Tomcat 8.0.0.RC1 から 8.0.43 まで
- Apache Tomcat 7.0.0 から 7.0.77 まで

この問題は、Apache Tomcat を Apache Tomcat が提供する修正済みのバージョン
に更新することで解決します。詳細は、Apache Tomcat が提供する情報を参照
してください。

【2】vSphere Data Protection に複数の脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/06/07/VMware-Releases-Security-Updates

概要

vSphere Data Protection には、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- vSphere Data Protection 6.1.4 より前のバージョンの 6.1 系
- vSphere Data Protection 6.0.5 より前のバージョンの 6.0 系
- vSphere Data Protection 5.8 系
- vSphere Data Protection 5.5 系

この問題は、vSphere Data Protection を VMware が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、VMware が提供する情報を参照
してください。

【3】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/06/07/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Cisco Prime Data Center Network Manager (DCNM) 10.1(1) (Windows 版、Linux 版、Virtual Appliance 版)
- Cisco Prime Data Center Network Manager (DCNM) 10.1(2) (Windows 版、Linux 版、Virtual Appliance 版)
- Cisco Prime Data Center Network Manager (DCNM) 10.2(1) より前のバージョン (Windows 版、Linux 版、Virtual Appliance 版)
- Cisco AnyConnect Secure Mobility Client for Windows 4.4.02034 より前のバージョン
- Cisco TelePresence Codec (TC) 7.3.8 より前のバージョン
- Cisco Collaboration Endpoint (CE) 8.3.0 より前のバージョン

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

【4】脆弱性体験学習ツール AppGoat に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#01404851
脆弱性体験学習ツール AppGoat において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN01404851/

Japan Vulnerability Notes JVN#20870477
脆弱性体験学習ツール AppGoat において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN20870477/

Japan Vulnerability Notes JVN#32120290
脆弱性体験学習ツール AppGoat における情報漏えいの脆弱性
https://jvn.jp/jp/JVN32120290/

Japan Vulnerability Notes JVN#80238098
脆弱性体験学習ツール AppGoat において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN80238098/

概要

脆弱性体験学習ツール AppGoat には、複数の脆弱性があります。結果として、
遠隔の第三者が、細工した URL にユーザをアクセスさせることで、任意のコー
ドを実行したり、情報を取得したりする可能性があります。

対象となるバージョンは以下の通りです。

- 脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール V3.0.2 およびそれ以前

この問題は、脆弱性体験学習ツール AppGoat を情報処理推進機構 (IPA) が提
供する修正済みのバージョンに更新することで解決します。詳細は、情報処理
推進機構 (IPA) が提供する情報を参照してください。

【5】CalAmp LMU-3030 デバイスの SMS インターフェースに脆弱性

情報源

CERT/CC Vulnerability Note VU#251927
CalAmp LMU-3030 devices may not authenticate SMS interface
https://www.kb.cert.org/vuls/id/251927

概要

CalAmp LMU-3030 デバイスを使用している構成の複数のシステムについて、当
該デバイスの SMS インターフェースに認証設定が行われていない問題が確認
されています。結果として、遠隔の第三者が、情報を取得したり、当該デバイ
スのファームウェアを上書きしたりするなどの可能性があります。

対象となる製品は以下の通りです。

- CalAmp LMU-3030 シリーズ

この問題は、以下のいずれかの設定を行うことで解決します。

- SMS インターフェースにパスワードを設定する
- SMS インターフェースを無効にする

詳細は、開発者が提供する情報を参照してください。

【6】電子納品チェックシステム (農林水産省農業農村整備事業版) のインストーラに DLL 読み込みの脆弱性

情報源

Japan Vulnerability Notes JVN#65154137
電子納品チェックシステム（農林水産省農業農村整備事業版）のインストーラにおける DLL 読み込みの脆弱性
https://jvn.jp/jp/JVN65154137/

概要

電子納品チェックシステム (農林水産省農業農村整備事業版) のインストーラ
には、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意の
コードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- 電子納品チェックシステム (農林水産省農業農村整備事業版) 平成26年3月版 (Ver.8.0.001.001)［平成28年5月31日更新］およびそれ以前

この問題は、農林水産省が提供する最新のインストーラでは解決しています。
なお、すでに電子納品チェックシステム (農林水産省農業農村整備事業版) を
インストールしている場合には、この問題の影響はありません。詳細は、農林
水産省が提供する情報を参照してください。

【7】CASL II シミュレータ（自己解凍形式）のインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#67305782
CASL II シミュレータ（自己解凍形式）のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN67305782/

概要

CASL II シミュレータ（自己解凍形式）のインストーラには、DLL 読み込みに
関する脆弱性があります。結果として、第三者が任意のコードを実行する可能
性があります。

対象となる製品は以下の通りです。

- CASL II シミュレータ（自己解凍形式）のインストーラ

2017年6月14日現在、当該製品の配布は終了しています。当該製品をインストー
ルしないでください。詳細は、情報処理推進機構 (IPA) が提供する情報を参
照してください。

【8】国土地理院が提供する複数のソフトウェアのインストーラに任意の DLL 読み込みの脆弱性

情報源

Japan Vulnerability Notes JVN#52691241
国土地理院が提供する複数のソフトウェアのインストーラにおける任意の DLL 読み込みの脆弱性
https://jvn.jp/jp/JVN52691241/

概要

国土地理院が提供する複数のソフトウェアのインストーラには、DLL 読み込み
に関する脆弱性があります。結果として、第三者が任意のコードを実行する可
能性があります。

対象となる製品とバージョンは以下の通りです。

- 座標補正ソフトウェア PatchJGD ver. 1.0.1
- 標高補正ソフトウェア PatchJGD (標高版) ver. 1.0.1
- 座標変換ソフトウェア TKY2JGD ver. 1.3.79
- セミ・ダイナミック補正支援ソフトウェア SemiDynaEXE ver. 1.0.2

2017年6月14日現在、当該製品の配布は終了しています。当該製品をインストー
ルしないでください。詳細は、国土地理院が提供する情報を参照してください。

【9】[Simeji Windows版(β)]文字入力システムのインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#31236539
[Simeji Windows版(β)]文字入力システムのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN31236539/

概要

[Simeji Windows版(β)]文字入力システムのインストーラには、DLL 読み込み
に関する脆弱性があります。結果として、第三者が任意のコードを実行する可
能性があります。

対象となる製品は以下の通りです。

- [Simeji Windows版(β)]文字入力システムのインストーラ

2017年6月14日現在、当該製品の配布は終了しています。当該製品をインストー
ルしないでください。詳細は、バイドゥ株式会社が提供する情報を参照してく
ださい。

【10】AppCheck に任意のコードが実行可能な脆弱性

情報源

Japan Vulnerability Notes JVN#99737748
AppCheck における実行ファイル呼び出しに関する脆弱性
https://jvn.jp/jp/JVN99737748/

概要

AppCheck には、意図しない実行ファイルの呼び出しに関する脆弱性がありま
す。結果として、第三者が任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- AppCheck Version 2.0.1.15 より前のバージョン
- AppCheck Pro Version 2.0.1.15 より前のバージョン

この問題は、AppCheck を株式会社 Jiransoft Japan が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社 Jiransoft Japan が
提供する情報を参照してください。

【11】WordPress 用プラグイン Multi Feed Reader に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#98617234
WordPress 用プラグイン Multi Feed Reader における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN98617234/

概要

WordPress 用プラグイン Multi Feed Reader には、SQL インジェクションの
脆弱性があります。結果として、当該製品にアクセス可能なユーザが、データ
ベース内の情報を取得したり、改ざんしたりする可能性があります。

対象となるバージョンは以下の通りです。

- Multi Feed Reader 2.2.4 より前のバージョン

この問題は、Multi Feed Reader を開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

■今週のひとくちメモ

○FIRST が学習用のプラットフォームを公開

2017年6月7日、FIRST (Forum of Incident Response and Security Teams) は、
インシデント対応に関わるスタッフ向けの e-ラーニングプラットフォームを
公開しました。現在、2015年6月に公開された共通脆弱性評価システム CVSS v3
をマスターするための「Common Vulnerability Scoring System (CVSS) v3」
コースが提供されています。あわせて 2つの資料、CSIRT の基礎的な作業を学
ぶ「FIRST CSIRT Basic Course」と、インシデント対応の際の情報分析や対策
の決定を支援する「FIRST Fusion course」が提供されています。

参考文献 (英語)

FIRST
FIRST boosts learning and development offering with launch of open training platform
https://www.first.org/newsroom/releases/20170607

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2017-06-14号

<<< JPCERT/CC WEEKLY REPORT 2017-06-14 >>>

■06/04(日)〜06/10(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

○FIRST が学習用のプラットフォームを公開

参考文献 (英語)

■JPCERT/CC からのお願い

目　次