JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2016 > Weekly Report 2016-03-30号

最終更新: 2016-03-30

Weekly Report 2016-03-30号


JPCERT-WR-2016-1301
JPCERT/CC
2016-03-30

<<< JPCERT/CC WEEKLY REPORT 2016-03-30 >>>

■03/20(日)〜03/26(土) のセキュリティ関連情報

目 次

【1】Oracle Java SE に任意のコードが実行可能な脆弱性

【2】複数の Apple 製品に脆弱性

【3】複数の Cisco 製品に脆弱性

【4】WordPress 用プラグイン WP Favorite Posts にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」公表

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr161301.txt
https://www.jpcert.or.jp/wr/2016/wr161301.xml

【1】Oracle Java SE に任意のコードが実行可能な脆弱性

情報源

US-CERT Current Activity
Oracle Releases Security Update for Java SE
https://www.us-cert.gov/ncas/current-activity/2016/03/24/Oracle-Releases-Security-Update-Java-SE

概要

Oracle Java SE には、脆弱性があります。結果として、遠隔の第三者が、細
工したコンテンツをユーザに開かせることで、任意のコードを実行する可能性
があります。

対象となるバージョンは以下の通りです。

- Oracle Java SE JDK/JRE 8 Update 74 およびそれ以前

この問題は、Oracle が提供する修正済みのバージョンに Oracle Java SE を
更新することで解決します。詳細は、Oracle が提供する情報を参照してくだ
さい。

関連文書 (日本語)

JPCERT/CC Alert 2016-03-24
Oracle Java SE の脆弱性 (CVE-2016-0636) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160015.html

関連文書 (英語)

Oracle
Oracle Security Alert for CVE-2016-0636
http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0636-2949497.html

【2】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/03/21/Apple-Releases-Multiple-Security-Updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- iOS 9.3 より前のバージョン
- watchOS 2.2 より前のバージョン
- tvOS 9.2 より前のバージョン
- Xcode 7.3 より前のバージョン
- OS X El Capitan 10.11.4 より前のバージョン
- OS X Mavericks v10.9.5 (Security Update 2016-002) より前のバージョン
- OS X Yosemite v10.10.5 (Security Update 2016-002) より前のバージョン
- Safari 9.1 より前のバージョン
- OS X Server 5.1 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#97668313
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU97668313/

関連文書 (英語)

Apple
About the security content of iOS 9.3
https://support.apple.com/en-us/HT206166

Apple
About the security content of watchOS 2.2
https://support.apple.com/en-us/HT206168

Apple
About the security content of tvOS 9.2
https://support.apple.com/en-us/HT206169

Apple
About the security content of Xcode 7.3
https://support.apple.com/en-us/HT206172

Apple
About the security content of OS X El Capitan v10.11.4 and Security Update 2016-002
https://support.apple.com/en-us/HT206167

Apple
About the security content of Safari 9.1
https://support.apple.com/en-us/HT206171

Apple
About the security content of OS X Server 5.1
https://support.apple.com/en-us/HT206173

【3】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/03/23/Cisco-Release-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品およびバージョンは以下の通りです。なお、以下に挙げた製品
の複数のバージョンが影響を受ける可能性があります。影響を受けるバージョ
ンの詳細は、Cisco が提供する情報を参照してください。

- Cisco Unified Communications Manager 8.x 系
- Cisco Unified Communications Manager 9.1(2)su4 より前のバージョンの 9.x 系
- Cisco Unified Communications Manager 10.5(2)su3 より前のバージョンの 10.x 系
- Cisco Unified Communications Manager 11.0(1)su1 より前のバージョンの 11.x 系
- Cisco IOS
- Cisco IOS XE
- Cisco Catalyst 6500 シリーズ
- Cisco Catalyst 6800 シリーズ
- Cisco Nexus 7000 シリーズ
- Cisco Nexus 7700 シリーズ

この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco IOS and IOS XE and Cisco Unified Communications Manager Software Session Initiation Protocol Memory Leak Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160323-sip

Cisco Security Advisory
Cisco IOS and NX-OS Software Locator/ID Separation Protocol Packet Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160323-lisp

Cisco Security Advisory
Cisco IOS and IOS XE Software Internet Key Exchange Version 2 Fragmentation Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160323-ios-ikev2

Cisco Security Advisory
Cisco IOS and IOS XE Software DHCPv6 Relay Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160323-dhcpv6

Cisco Security Advisory
Cisco IOS and IOS XE Software Smart Install Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160323-smi

Cisco Security Advisory
Cisco IOS Software Wide Area Application Services Express Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160323-l4f

【4】WordPress 用プラグイン WP Favorite Posts にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#86517621
WordPress 用プラグイン WP Favorite Posts におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN86517621/

概要

WordPress 用プラグイン WP Favorite Posts には、クロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上
で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- WP Favorite Posts 1.6.6 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに WP Favorite Posts
を更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。

関連文書 (英語)

WP Favorite Posts
Changelog
https://wordpress.org/plugins/wp-favorite-posts/changelog/

■今週のひとくちメモ

○「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」公表

2016年3月24日、国家公安委員会、総務省および経済産業省は、アクセス行為
の禁止等に関する法律に基づき、「不正アクセス行為の発生状況及びアクセス
制御機能に関する技術の研究開発の状況」を公表しました。この文書では、平
成27年1月1日から 12月31日までの状況が公表されています。

参考文献 (日本語)

経済産業省
不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を取りまとめました
http://www.meti.go.jp/press/2015/03/20160324002/20160324002.pdf

経済産業省
不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
http://www.meti.go.jp/press/2015/03/20160324002/20160324002-1.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english