Samba には、複数の脆弱性があります。結果として、遠隔の第三者がサービス
運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.7.12 より前のバージョン
- Samba 4.8.7 より前のバージョン
- Samba 4.9.3 より前のバージョン

なお、既に更新が終了している Samba version 4.0 系 から 4.6 系について
も、本脆弱性の影響を受けるとのことです。

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新することで解決します。詳細は、The Samba Team が提供する情報を参照し
てください。

【2】Wireshark に複数の脆弱性

情報源

Wireshark
Wireshark 2.6.5 and 2.4.11 Released
https://www.wireshark.org/news/20181128.html

概要

Wireshark には、複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Wireshark 2.6.5 より前のバージョン
- Wireshark 2.4.11 より前のバージョン

この問題は、Wireshark を Wireshark Foundation が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Wireshark Foundation が提供
する情報を参照してください。

【3】Cisco Prime License Manager に SQL インジェクションの脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2018/11/28/Cisco-Releases-Security-Update

概要

Cisco Prime License Manager には、SQL インジェクションの脆弱性がありま
す。結果として、遠隔の第三者が、細工された HTTP POST 要求を送信するこ
とで、任意の SQL クエリを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Cisco Prime License Manager 11.0.1 およびそれ以降

この問題は、Cisco Prime License Manager に Cisco が提供するパッチを適
用することで解決します。詳細は、Cisco が提供する情報を参照してください。

【4】パナソニック製アプリケーションが登録する一部の Windows サービスに脆弱性

情報源

Japan Vulnerability Notes JVN#36895151
パナソニック製アプリケーションが登録する一部の Windows サービスにおいて実行ファイルのパスが引用符で囲まれていない脆弱性
https://jvn.jp/jp/JVN36895151/

概要

パナソニック製アプリケーションが登録する一部の Windows サービスには、
脆弱性があります。結果として、本脆弱性の影響を受ける製品へのアクセス権
を持つローカルユーザが、当該サービスの動作に使われる権限を取得する可能
性があります。

対象となる製品は次のとおりです。

- 2009年10月以降に発売されたパナソニック製の PC で、工場出荷時に次の OS がプリインストールされている機種
  - Windows 7 (32bit)
  - Windows 7 (64bit)
  - Windows 8 (64bit)
  - Windows 8.1 (64bit)
  - Windows 10 (64bit)

この問題は、該当する製品にパナソニック株式会社が提供する「サービスパス
脆弱性対応ユーティリティ」を適用することで解決します。詳細は、パナソニッ
ク株式会社が提供する情報を参照してください。

【5】EC-CUBE にオープンリダイレクトの脆弱性

情報源

Japan Vulnerability Notes JVN#25359688
EC-CUBE におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN25359688/

概要

株式会社ロックオンが提供する EC-CUBE には、オープンリダイレクトの脆弱
性があります。結果として、遠隔の第三者が、ユーザに細工したページを開か
せることで、任意のウェブサイトにリダイレクトさせる可能性があります。

対象となるバージョンは次のとおりです。

- EC-CUBE 3.0.0 から 3.0.16 まで

この問題は、EC-CUBE を株式会社ロックオンが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社ロックオンが提供する情報を
参照してください。

【6】RICOH Interactive Whiteboard に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#55263945
RICOH Interactive Whiteboard における複数の脆弱性
https://jvn.jp/jp/JVN55263945/

概要

株式会社リコーが提供する RICOH Interactive Whiteboard には、複数の脆弱
性があります。結果として、遠隔の第三者が、管理者権限によって任意のコマン
ドを実行したり、改ざんされたプログラムを実行したりするなどの可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- RICOH Interactive Whiteboard D2200 V1.1 から V2.2 まで
- RICOH Interactive Whiteboard D5500 V1.1 から V2.2 まで
- RICOH Interactive Whiteboard D5510 V1.1 から V2.2 まで
- RICOH Interactive Whiteboard Controller Type1 V1.1 から V2.2 までを搭載した次のディスプレイ製品
  - RICOH Interactive Whiteboard D5520
  - RICOH Interactive Whiteboard D6500
  - RICOH Interactive Whiteboard D6510
  - RICOH Interactive Whiteboard D7500
  - RICOH Interactive Whiteboard D8400
- RICOH Interactive Whiteboard Controller Type2 V3.0 から V3.1 までを搭載した次のディスプレイ製品
  - RICOH Interactive Whiteboard D5520
  - RICOH Interactive Whiteboard D6510
  - RICOH Interactive Whiteboard D7500
  - RICOH Interactive Whiteboard D8400

この問題は、該当する製品を株式会社リコーが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社リコーが提供する情報を参照
してください。

【7】マーケットスピードのインストーラに DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#78422300
マーケットスピードのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN78422300/

概要

楽天証券株式会社が提供するマーケットスピードのインストーラには、DLL 読
み込みに関する脆弱性があります。結果として、第三者が任意のコードを実行
する可能性があります。

対象となるバージョンは次のとおりです。

- マーケットスピード Ver.16.4 およびそれ以前

開発者によると、デジタル署名のタイムスタンプの日付が「2018年9月28日」
あるいはそれより前の日付となっているインストーラが対象とのことです。

この問題は、楽天証券株式会社が提供する最新のインストーラでは解決してい
ます。なお、すでにマーケットスピードをインストールしている場合には、こ
の問題の影響はありません。詳細は、楽天証券株式会社が提供する情報を参照
してください。

【8】Node.js に複数の脆弱性

情報源

Node.js
November 2018 Security Releases
https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/

概要

Node.js には、複数の脆弱性があります。結果として、遠隔の第三者がサービ
ス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Node.js 11.3.0 (Current) より前のバージョン
- Node.js 10.14.0 (LTS "Dubnium") より前のバージョン
- Node.js 8.14.0 (LTS "Carbon") より前のバージョン
- Node.js 6.15.0 (LTS "Boron") より前のバージョン

この問題は、Node.js を Node.js Foundation が提供する修正済みのバージョ
ンに更新することで解決します。詳細は、Node.js Foundation が提供する情
報を参照してください。

【9】PowerDNS Recursor にサービス運用妨害 (DoS) の脆弱性

情報源

株式会社日本レジストリサービス (JPRS)
PowerDNS Recursorの脆弱性情報が公開されました（CVE-2018-16855）
https://jprs.jp/tech/security/2018-11-28-powerdns-recursor.html

概要

PowerDNS Recursor には、パケットの処理に脆弱性があります。結果として、
遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは次のとおりです。

- PowerDNS Recursor 4.1.8 より前の 4.1 系のバージョン

この問題は、PowerDNS Recursor を PowerDNS.COM BV が提供する修正済みの
バージョンに更新することで解決します。詳細は、PowerDNS.COM BV が提供す
る情報を参照してください。

■今週のひとくちメモ

○SecurityDay2018開催のお知らせ

2018年12月21日(金)、「SecurityDay2018」が開催されます。SecurityDay運営
委員会が主催する本イベントは、2018年を振り返り、これからのセキュリティ
について、参加者と意見交換を行うことを目的としています。
JPCERT/CC は、本イベントに協力しています。

参加には事前登録が必要です。
登録は、先着順にて受け付け、定員になり次第締切となります。

日時および場所:
2018年12月21日(金) 09:55 - 18:00
KKRホテル熱海
静岡県熱海市春日町7-39

参考文献 (日本語)

SecurityDay運営委員会
SecurityDay2018
http://www.securityday.jp/home

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2018-12-05号

<<< JPCERT/CC WEEKLY REPORT 2018-12-05 >>>

■11/25(日)〜12/01(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

情報源

概要

関連文書 (英語)

○SecurityDay2018開催のお知らせ

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次