JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2016 > Weekly Report 2016-01-14号

最終更新: 2016-01-14

Weekly Report 2016-01-14号


JPCERT-WR-2016-0201
JPCERT/CC
2016-01-14

<<< JPCERT/CC WEEKLY REPORT 2016-01-14 >>>

■01/03(日)〜01/09(土) のセキュリティ関連情報

目 次

【1】PHP に複数の脆弱性

【2】WordPress にクロスサイトスクリプティングの脆弱性

【3】Windows 版 QuickTime に任意のコードが実行可能な脆弱性

【4】DXライブラリにバッファオーバーフローの脆弱性

【5】Ipswitch WhatsUp Gold の XML オブジェクトのデシリアライズ処理に脆弱性

【6】古野電気製 Voyage Data Recorder (VDR) にユーザ入力値を適切に検証しない脆弱性

【今週のひとくちメモ】Internet Explorer のバージョンアップを

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr160201.txt
https://www.jpcert.or.jp/wr/2016/wr160201.xml

【1】PHP に複数の脆弱性

情報源

PHP Group
PHP 7.0.2 Released
http://php.net/index.php#id2016-01-07-1

PHP Group
PHP 5.6.17 is available
http://php.net/index.php#id2016-01-07-3

PHP Group
PHP 5.5.31 is available
http://php.net/index.php#id2016-01-07-2

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意の
コードを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- PHP 7.0.2 より前のバージョン
- PHP 5.6.17 より前のバージョン
- PHP 5.5.31 より前のバージョン

この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。

関連文書 (英語)

PHP Group
PHP 7 ChangeLog Version 7.0.2
https://secure.php.net/ChangeLog-7.php#7.0.2

PHP Group
PHP 5 ChangeLog Version 5.6.17
https://secure.php.net/ChangeLog-5.php#5.6.17

PHP Group
PHP 5 ChangeLog Version 5.5.31
https://secure.php.net/ChangeLog-5.php#5.5.31

【2】WordPress にクロスサイトスクリプティングの脆弱性

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/01/06/WordPress-Releases-Security-Update

概要

WordPress には、クロスサイトスクリプティングの脆弱性があります。結果と
して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可
能性があります。

対象となるバージョンは以下の通りです。

- WordPress 4.4 およびそれ以前

この問題は、WordPress が提供する修正済みのバージョンに WordPress を更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。

関連文書 (英語)

WordPress.org
WordPress 4.4.1 Security and Maintenance Release
https://wordpress.org/news/2016/01/wordpress-4-4-1-security-and-maintenance-release/

【3】Windows 版 QuickTime に任意のコードが実行可能な脆弱性

情報源

Apple
About the security content of QuickTime 7.7.9
https://support.apple.com/en-us/HT205638

概要

Windows 版 QuickTime には、任意のコードが実行可能な脆弱性があります。
結果として、遠隔の第三者が、ユーザに細工したファイルを開かせることで、
任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- QuickTime 7.7.9 より前のバージョン (Windows 版)

この問題は、Apple が提供する修正済みのバージョンに QuickTime を更新す
ることで解決します。詳細は、Apple が提供する情報を参照してください。

【4】DXライブラリにバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#49476817
DXライブラリにおけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN49476817/

概要

DXライブラリには、バッファオーバーフローの脆弱性があります。結果とし
て、遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- DXライブラリ VisualC++用 Ver3.15e およびそれ以前
- DXライブラリ BorlandC++用 Ver3.15e およびそれ以前
- DXライブラリ Gnu C++用 Ver3.15e およびそれ以前
- DXライブラリ VisualC#用 Ver3.15e およびそれ以前

この問題は、アプリケーションの開発者が修正済みのバージョンにDXライブ
ラリを更新し、アプリケーションをリビルドすることで解決します。詳細は、
DXライブラリの開発者が提供する情報を参照してください。

関連文書 (日本語)

DXライブラリ置き場
DXライブラリの脆弱性情報
http://homepage2.nifty.com/natupaji/DxLib/dxvulnerability.html

独立行政法人情報処理推進機構 (IPA)
「DXライブラリ」におけるバッファオーバーフローの脆弱性対策について(JVN#49476817)
https://www.ipa.go.jp/security/ciadr/vul/20160105-jvn.html

【5】Ipswitch WhatsUp Gold の XML オブジェクトのデシリアライズ処理に脆弱性

情報源

CERT/CC Vulnerability Note VU#753264
IPSwitch WhatsUp Gold does not validate commands when deserializing XML objects
https://www.kb.cert.org/vuls/id/753264

概要

Ipswitch WhatsUp Gold の XML オブジェクトのデシリアライズ処理には脆弱
性があります。結果として、遠隔の第三者が、任意の SQL コマンドを実行す
る可能性があります。

対象となるバージョンは以下の通りです。

- WhatsUp Gold version 16.3

この問題は、Ipswitch が提供する修正済みのバージョンに WhatsUp Gold を
更新することで解決します。詳細は、Ipswitch が提供する情報を参照してく
ださい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90674343
Ipswitch WhatsUp Gold の XML オブジェクトのデシリアライズ処理に脆弱性
https://jvn.jp/vu/JVNVU90674343/

【6】古野電気製 Voyage Data Recorder (VDR) にユーザ入力値を適切に検証しない脆弱性

情報源

CERT/CC Vulnerability Note VU#820196
Furuno Voyage Data Recorder (VDR) moduleserv firmware update utility fails to properly sanitize user-provided input
https://www.kb.cert.org/vuls/id/820196

概要

古野電気製 Voyage Data Recorder (VDR) には、ユーザ入力値を適切に検証し
ない脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行す
る可能性があります。

対象となるバージョンは以下の通りです。

- VR-3000/VR-3000S ファームウェアバージョン V1.50 から V1.54 まで
- VR-3000/VR-3000S ファームウェアバージョン V1.61
- VR-3000/VR-3000S ファームウェアバージョン V2.06 から V2.54 まで
- VR-3000/VR-3000S ファームウェアバージョン V2.60 から V2.61 まで
- VR-7000 ファームウェアバージョン V1.02

この問題は、古野電気株式会社が提供する修正済みのバージョンに該当する製
品のファームウェアを更新することで解決します。詳細は、古野電気株式会社
が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98928449
古野電気製 Voyage Data Recorder (VDR) にユーザ入力値を適切に検証しない脆弱性
https://jvn.jp/vu/JVNVU98928449/

■今週のひとくちメモ

○Internet Explorer のバージョンアップを

2016年1月12日、Microsoft は、各 Windows OS で利用可能な最新版以外の
Internet Explorer のサポートを終了しました。サポートされない Internet
Explorer は、セキュリティ上の脅威が高まることが懸念されるため、サポート
が行われる最新版の使用を強くお勧めします。

参考文献 (日本語)

Microsoft MSBC
Internet Explorer のサポートポリシーが変わりました。
https://www.microsoft.com/japan/msbc/Express/ie_support/

The Official Microsoft Japan Blog
最新の" Internet Explorer "をご利用ください
http://blogs.technet.com/b/microsoft_japan_corporate_blog/archive/2014/08/09/quot-internet-explorer-quot.aspx

独立行政法人情報処理推進機構 (IPA)
【注意喚起】 Internet Explorer のサポートポリシーが変更、バージョンアップが急務に
https://www.ipa.go.jp/security/ciadr/vul/20151215-IEsupport.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english