JPCERT コーディネーションセンター

Weekly Report 2017-11-22号

JPCERT-WR-2017-4501
JPCERT/CC
2017-11-22

<<< JPCERT/CC WEEKLY REPORT 2017-11-22 >>>

■11/12(日)〜11/18(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】Mozilla Firefox に複数の脆弱性

【4】Oracle Tuxedo に複数の脆弱性

【5】Cisco Voice Operating System にアクセス権限不備の脆弱性

【6】Windows 8 およびそれ以降のバージョンにおいて ASLR が適切に行われない問題

【7】WordPress 用プラグイン TablePress に XML 外部実体参照 (XXE) 処理の脆弱性

【8】CS-Cart日本語版にクロスサイトスクリプティングの脆弱性

【9】Packetbeat にサービス運用妨害 (DoS) の脆弱性

【10】ロボット家電 COCOROBO にセッション管理不備の脆弱性

【今週のひとくちメモ】経済産業省と IPA が「サイバーセキュリティ経営ガイドライン Ver2.0」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr174501.txt
https://www.jpcert.or.jp/wr/2017/wr174501.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases November 2017 Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/11/14/Microsoft-Releases-November-2017-Security-Updates

CERT/CC Vulnerability Note VU#421280
Microsoft Office Equation Editor stack buffer overflow
https://www.kb.cert.org/vuls/id/421280

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office and Microsoft Office Services および Web Apps
- ASP.NET Core and .NET Core
- Chakra Core

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2017 年 11 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/bae9d0d8-e497-e711-80e5-000d3a32fc99

マイクロソフト株式会社
CVE-2017-11882 | Microsoft Office のメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2017-11882

Japan Vulnerability Notes JVNVU#90967793
Microsoft Office 数式エディタにスタックベースのバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU90967793/

JPCERT/CC Alert 2017-11-15
2017年 11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170044.html

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/11/14/Adobe-Releases-Security-Updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player デスクトップランタイム 27.0.0.183 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
- Photoshop CC 2017 18.1.1 (2017.1.1) およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Connect 9.6.2 およびそれ以前
- Adobe Acrobat DC (Continuous Track) 2017.012.20098 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat Reader DC (Continuous Track) 2017.012.20098 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat 2017 2017.011.30066 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat Reader 2017 2017.011.30066 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat DC (Classic Track) 2015.006.30355 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat Reader DC (Classic Track) 2015.006.30355 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat XI 11.0.22 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Reader XI 11.0.22 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe DNG Converter 9.12.1 およびそれ以前 (Windows 版)
- Adobe InDesign 12.1.0 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Digital Editions 4.5.6 およびそれ以前 (Windows 版、Macintosh 版、iOS 版、Android 版)
- Adobe Shockwave Player 12.2.9.199 およびそれ以前 (Windows 版)
- Adobe Experience Manager 6.3
- Adobe Experience Manager 6.2
- Adobe Experience Manager 6.1
- Adobe Experience Manager 6.0

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe
Flash Player 用のセキュリティアップデート公開 | APSB17-33
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-33.html

Adobe
Adobe Photoshop CC に関するセキュリティアップデート公開| APSB17-34
https://helpx.adobe.com/jp/security/products/photoshop/apsb17-34.html

Adobe
Adobe Connect 用のセキュリティアップデート | APSB17-35
https://helpx.adobe.com/jp/security/products/connect/apsb17-35.html

Adobe
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB17-36
https://helpx.adobe.com/jp/security/products/acrobat/apsb17-36.html

Adobe
Adobe DNG Converter に関するセキュリティアップデート公開| APSB17-37
https://helpx.adobe.com/jp/security/products/dng-converter/apsb17-37.html

Adobe
InDesign を対象としたセキュリティアップデート公開 | APSB17-38
https://helpx.adobe.com/jp/security/products/indesign/apsb17-38.html

Adobe
Adobe Digital Editions に関するセキュリティアップデート公開 | APSB17-39
https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb17-39.html

Adobe
Shockwave Player 用のセキュリティアップデート公開 | APSB17-40
https://helpx.adobe.com/jp/security/products/shockwave/apsb17-40.html

Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB17-41
https://helpx.adobe.com/jp/security/products/experience-manager/apsb17-41.html

JPCERT/CC Alert 2017-11-15
Adobe Flash Player の脆弱性 (APSB17-33) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170042.html

JPCERT/CC Alert 2017-11-15
Adobe Reader および Acrobat の脆弱性 (APSB17-36) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170043.html

【3】Mozilla Firefox に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/11/14/Mozilla-Releases-Security-Updates

概要

Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
るなどの可能性があります。

対象となるバージョンは次のとおりです。

- Mozilla Firefox 57 より前のバージョン
- Mozilla Firefox ESR 52.5 より前のバージョン

この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (英語)

Mozilla
Mozilla Foundation Security Advisories (November 14, 2017)
https://www.mozilla.org/en-US/security/advisories/

【4】Oracle Tuxedo に複数の脆弱性

情報源

US-CERT Current Activity
Oracle Releases Security Alert
https://www.us-cert.gov/ncas/current-activity/2017/11/16/Oracle-Releases-Security-Alert

概要

Oracle Tuxedo には、複数の脆弱性があります。結果として、遠隔の第三者が
任意の操作を行う可能性があります。

対象となるバージョンは次のとおりです。

- Oracle Tuxedo 11.1.1、12.1.1、12.1.3、12.2.2

この問題は、Oracle Tuxedo を Oracle が提供する修正済みのバージョンに更
新することで解決します。詳細は、Oracle が提供する情報を参照してくださ
い。

関連文書 (英語)

Oracle
Oracle Security Alert Advisory - CVE-2017-10269
http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10269-4021872.html

【5】Cisco Voice Operating System にアクセス権限不備の脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/11/15/Cisco-Releases-Security-Update

概要

Cisco Voice Operating System の refresh upgrade (RU) 機能および Prime
Collaboration Deployment (PCD) 機能には、脆弱性があります。結果として、
遠隔の第三者が任意の操作を行う可能性があります。

対象となる製品は次のとおりです。

- Cisco Unified Communications Manager (UCM)
- Cisco Unified Communication Manager Session Management Edition (SME)
- Cisco Emergency Responder
- Cisco Unity Connection
- Cisco Unified Communications Manager IM and Presence Service (IM&P)
- Cisco Prime License Manager
- Cisco Hosted Collaboration Mediation Fulfillment
- Cisco Unified Contact Center Express (UCCx)
- Cisco SocialMiner
- Cisco Unified Intelligence Center (UIC)
- Cisco Finesse
- Cisco MediaSense

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco
Cisco Voice Operating System-Based Products Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171115-vos

【6】Windows 8 およびそれ以降のバージョンにおいて ASLR が適切に行われない問題

情報源

CERT/CC Vulnerability Note VU#817544
Windows 8 and later fail to properly randomize every application if system-wide mandatory ASLR is enabled via EMET or Windows Defender Exploit Guard
https://www.kb.cert.org/vuls/id/817544

概要

EMET および Windows Defender Exploit Guard には、アドレスのランダマイ
ズの設定を適切に行わない問題があります。結果として、遠隔の第三者が ASLR
を回避する可能性があります。

対象となる製品は次のとおりです。

- Windows 8 およびそれ以降のバージョンにインストールされている EMET
- Windows 8 およびそれ以降のバージョンにインストールされている Windows Defender Exploit Guard

2017年11月21日現在、対策済みのバージョンは公開されていません。以下の回
避策を適用することで、本脆弱性の影響を軽減することが可能です。

- システム全体に ASLR の強制を適用する場合、システム全体の bottom-up ASLR も合わせて有効にする

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#91363799
Windows 8 およびそれ以降のバージョンにおいて、アドレス空間配置のランダム化が適切に行われない脆弱性
https://jvn.jp/vu/JVNVU91363799/

【7】WordPress 用プラグイン TablePress に XML 外部実体参照 (XXE) 処理の脆弱性

情報源

Japan Vulnerability Notes JVN#05398317
WordPress 用プラグイン TablePress における XML 外部実体参照 (XXE) 処理の脆弱性
https://jvn.jp/jp/JVN05398317/

概要

WordPress 用プラグイン TablePress には、XML 外部実体参照 (XXE) 処理の
脆弱性があります。結果として、当該プラグインの管理ページにアクセスでき
る「投稿者」以上の権限を持つユーザが、任意のファイルにアクセスする可能
性があります。

対象となるバージョンは次のとおりです。

- TablePress 1.8.1 より前のバージョン

この問題は、TablePress を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

TablePress
Changelog
https://wordpress.org/plugins/tablepress/#developers

【8】CS-Cart日本語版にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#29602086
CS-Cart日本語版におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN29602086/

概要

CS-Cart日本語版には、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。

対象となるバージョンは次のとおりです。

- CS-Cart日本語版スタンダード版 v4.3.10 およびそれ以前 (v2系、v3系は除く)
- CS-Cart日本語版マーケットプレイス版 v4.3.10 およびそれ以前 (v2系、v3系は除く)

この問題は、CS-Cart日本語版を有限会社フロッグマンオフィスが提供する修
正済みのバージョンに更新することで解決します。詳細は、有限会社フロッグ
マンオフィスが提供する情報を参照してください。

関連文書 (日本語)

有限会社フロッグマンオフィス
【JVN#29602086】 2017年11月13日に公表されたXSS脆弱性への対応方法
https://tips.cs-cart.jp/fix-jvn-29602086.html

【9】Packetbeat にサービス運用妨害 (DoS) の脆弱性

情報源

Japan Vulnerability Notes JVNVU#94371484
Packetbeat におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU94371484/

概要

Packetbeat には、脆弱性があります。結果として、遠隔の第三者が、細工し
たパケットを送信することで、サービス運用妨害 (DoS) 攻撃を行う可能性が
あります。

対象となるバージョンは次のとおりです。

- Packetbeat 5.6.4 より前のバージョン

この問題は、Packetbeat を Elastic が提供する修正済みのバージョンに更新
することで解決します。詳細は、Elastic が提供する情報を参照してください。

関連文書 (英語)

Elastic
Beats 5.6.4 security update
https://discuss.elastic.co/t/beats-5-6-4-security-update/106739

【10】ロボット家電 COCOROBO にセッション管理不備の脆弱性

情報源

Japan Vulnerability Notes JVN#76382932
ロボット家電 COCOROBO におけるセッション管理不備の脆弱性
https://jvn.jp/jp/JVN76382932/

概要

ロボット家電 COCOROBO には、セッション管理不備の脆弱性があります。結果
として、第三者が、任意の操作を実行したり、情報を取得したりするなどの可
能性があります。

対象となるバージョンは次のとおりです。

- RX-V200 ファームウェア バージョン 09.87.17.09 より前のバージョン
- RX-V100 ファームウェア バージョン 03.29.17.09 より前のバージョン
- RX-CLV1-P ファームウェア バージョン 79.17.17.09 より前のバージョン
- RX-CLV2-B ファームウェア バージョン 89.07.17.09 より前のバージョン
- RX-CLV3-N ファームウェア バージョン 91.09.17.10 より前のバージョン

この問題は、ロボット家電 COCOROBO のファームウェアをシャープ株式会社が
提供する修正済みのバージョンに更新することで解決します。詳細は、シャー
プ株式会社が提供する情報を参照してください。

関連文書 (日本語)

シャープ株式会社
COCOROBOアップデート
http://www.sharp.co.jp/cocorobo/manual/firmware.html

■今週のひとくちメモ

○経済産業省と IPA が「サイバーセキュリティ経営ガイドライン Ver2.0」を公開

2017年11月16日、経済産業省と情報処理推進機構 (IPA) は、「サイバーセキュ
リティ経営ガイドライン Ver2.0」を公開しました。このガイドラインは、2016年
12月に企業の経営者に向けて公開された「サイバーセキュリティ経営ガイドラ
イン Ver 1.1」の改訂版です。「サイバーセキュリティリスクに対応するため
の仕組みの構築」、「付録C インシデント発生時に組織内で整理しておくべき
事項」などの項目の追加や、既存の重要項目の再整理などが行われています。

参考文献 (日本語)

経済産業省
サイバーセキュリティ経営ガイドライン
http://www.meti.go.jp/policy/netsecurity/mng_guide.html

経済産業省
サイバーセキュリティ経営ガイドライン Ver2.0
http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter