JPCERT-WR-2016-1801
2016-05-11
2016-04-24
2016-05-07
OpenSSL に複数の脆弱性
OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの
可能性があります。
対象となるバージョンは以下の通りです。
- OpenSSL 1.0.2h より前のバージョン
- OpenSSL 1.0.1t より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン
に OpenSSL を更新することで解決します。詳細は、開発者が提供する情報を
参照してください。
Japan Vulnerability Notes JVNVU#93163809
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU93163809/
OpenSSL
OpenSSL Security Advisory [3rd May 2016]
https://www.openssl.org/news/secadv/20160503.txt
ImageMagick に任意のコードを実行可能な脆弱性
ImageMagick には、入力値検証不備に起因する脆弱性があります。結果として、
遠隔の第三者が、細工したコンテンツをユーザに開かせることで、任意のコー
ドを実行する可能性があります。
対象となるバージョンは以下の通りです。
- ImageMagick 6.9.3-10 より前のバージョン
- ImageMagick 7.0.1-1 より前のバージョン
この問題は、ImageMagick が提供する修正済みのバージョンに ImageMagick
を更新することで解決します。なお、2016年5月10日現在、本件とは別の脆弱
性の修正を行った ImageMagick 6.9.4-0 および 7.0.1-2 がリリースされてい
ます。詳細は、ImageMagick が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#92998929
ImageMagick に入力値検証不備の脆弱性
https://jvn.jp/vu/JVNVU92998929/
JPCERT/CC Alert 2016-05-06
ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160021.html
ImageMagick
ImageMagick Security Issue
http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588
Apache Struts2 に任意のコードを実行可能な脆弱性
Apache Struts2 には、脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Struts 2.3.20 から 2.3.28 まで (Struts 2.3.20.3 および Struts 2.3.24.3 を除く)
この問題は、Apache が提供する修正済みのバージョンに Struts を更新する
ことで解決します。詳細は、Apache が提供する情報を参照してください。
JPCERT/CC Alert 2016-04-28
Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160020.html
Apache
Apache Struts 2 Documentation S2-032
https://struts.apache.org/docs/s2-032.html
ケータイキット for Movable Type に OS コマンドインジェクションの脆弱性
ケータイキット for Movable Type には、OS コマンドインジェクションの脆
弱性があります。結果として、遠隔の第三者が、任意のコードを実行する可能
性があります。
対象となるバージョンは以下の通りです。
- ケータイキット for Movable Type 1.35 から 1.641 まで
この問題は、アイデアマンズ株式会社が提供する修正済みのバージョンにケー
タイキット for Movable Type を更新することで解決します。なお、2016年5月
10日現在、本件とは別の脆弱性の修正を行ったケータイキット for Movable
Type 1.66 がリリースされています。詳細は、アイデアマンズ株式会社が提供
する情報を参照してください。
アイデアマンズ株式会社
[重要] ケータイキット for Movable Type 1.65 の提供を開始
https://www.ideamans.com/release/20160423/
アイデアマンズ株式会社
ImageMagickの脆弱性に対応したケータイキット for Movable Type Ver.1.66の提供を開始
https://www.ideamans.com/release/20160510/
JPCERT/CC Alert 2016-04-26
ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160019.html
Firefox に複数の脆弱性
Firefox には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの
可能性があります。
対象となるバージョンは以下の通りです。
- Firefox 46 より前のバージョン
- Firefox ESR 38.8 より前のバージョン
- Firefox ESR 45.1 より前のバージョン
この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す
ることで解決します。詳細は、Mozilla が提供する情報を参照してください。
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2016 年 4 月 26 日)
http://www.mozilla-japan.org/security/announce/
NTP daemon (ntpd) に複数の脆弱性
NTP daemon (ntpd) には、脆弱性があります。結果として、遠隔の第三者が、
細工したパケットを送信することで、サービス運用妨害 (DoS) 攻撃を行った
り、設定を変更したりするなどの可能性があります。
対象となるバージョンは以下の通りです。
- ntp-4.2.8p7 より前のバージョン
この問題は、Network Time Protocol Project が提供する修正済みのバージョン
に ntpd を更新することで解決します。詳細は、Network Time Protocol
Project が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#91176422
NTP daemon (ntpd) に複数の脆弱性
https://jvn.jp/vu/JVNVU91176422/
Network Time Protocol Project
April 2016 NTP-4.2.8p7 Security Vulnerability Announcement (Medium)
http://support.ntp.org/bin/view/Main/SecurityNotice#April_2016_NTP_4_2_8p7_Security
PHP に複数の脆弱性
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。
対象となるバージョンは以下の通りです。
- PHP 7.0.6 より前のバージョン
- PHP 5.6.21 より前のバージョン
- PHP 5.5.35 より前のバージョン
この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。
PHP Group
PHP 7 ChangeLog Version 7.0.6
https://secure.php.net/ChangeLog-7.php#7.0.6
PHP Group
PHP 5 ChangeLog Version 5.6.21
https://secure.php.net/ChangeLog-5.php#5.6.21
PHP Group
PHP 5 ChangeLog Version 5.5.35
https://secure.php.net/ChangeLog-5.php#5.5.35
WordPress に複数の脆弱性
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。
対象となるバージョンは以下の通りです。
- WordPress 4.5.2 より前のバージョン
この問題は、WordPress が提供する修正済みのバージョンに WordPress を更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。
複数の Cisco 製品に脆弱性
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
設定を変更したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ
ります。
対象となる製品およびバージョンは以下の通りです。
- TelePresence EX シリーズ
- TelePresence Integrator C シリーズ
- TelePresence MX シリーズ
- TelePresence Profile シリーズ
- TelePresence SX シリーズ
- TelePresence SX Quick Set シリーズ
- TelePresence VX Clinical Assistant
- TelePresence VX Tactical
- Cisco ASA 5585-X FirePOWER SSP 向け Firepower System Software
- Cisco FirePOWER 7000 シリーズアプライアンス
- Cisco FirePOWER 8000 シリーズアプライアンス
- Cisco FirePOWER 7000 シリーズアプライアンスのネットワーク向け Cisco AMP(高度なマルウェア防御)
- Cisco FirePOWER 8000 シリーズアプライアンスのネットワーク向け Cisco AMP(高度なマルウェア防御)
この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco TelePresence XML Application Programming Interface Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160504-tpxml
Cisco Security Advisory
Cisco Adaptive Security Appliance with FirePOWER Services Kernel Logging Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160504-fpkern
Cisco Security Advisory
Cisco FirePOWER System Software Packet Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160504-firepower
Xcode にバッファオーバーフローの脆弱性
Xcode には、ヒープバッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Xcode 7.3.1 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに Xcode を更新するこ
とで解決します。詳細は、Apple が提供する情報を参照してください。
Apple
About the security content of Xcode 7.3.1
https://support.apple.com/en-us/HT206338
libarchive にバッファオーバーフローの脆弱性
libarchive には、入力値検証不備に起因するバッファオーバーフローの脆弱
性があります。結果として、遠隔の第三者が、細工した ZIP ファイルをユー
ザに解凍させることで、任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- libarchive version 3.2.0 より前のバージョン
この問題は、開発者が提供する修正済みのバージョンに libarchive を更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#93657776
libarchive の入力値検証不備に起因するバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU93657776/
Github
Issue #656: Fix CVE-2016-1541, VU#862384
https://github.com/libarchive/libarchive/commit/d0331e8e5b05b475f20b1f3101fe1ad772d7e7e7
Little CMS 2 に double-free の脆弱性
Little CMS 2 には、double-free の脆弱性があります。結果として、遠隔の
第三者が、細工した ICC プロファイルをユーザに処理させることで、任意の
コードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Little CMS 2.5 およびそれ以前の 2 系 (liblcms2)
この問題は、開発者や使用している OS のベンダ、配布元が提供する修正済み
のバージョンに Little CMS 2 を更新することで解決します。詳細は、開発者
が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#92923836
Little CMS 2 の DefaultICCintents 関数に double-free の脆弱性
https://jvn.jp/vu/JVNVU92923836/
Ubuntu
USN-2961-1: Little CMS vulnerability
http://www.ubuntu.com/usn/usn-2961-1/
Accellion File Transfer Appliance (FTA) に複数の脆弱性
Accellion File Transfer Appliance (FTA) には、脆弱性があります。結果と
して、遠隔の第三者が、任意のコードを実行したり、情報を取得したりする可
能性があります。
対象となるバージョンは以下の通りです。
- Accellion File Transfer Appliance、FTA_9_12_40 より前のバージョン
この問題は、Accellion が提供する修正済みのバージョンに FTA を更新する
ことで解決します。詳細は、Accellion が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#92314939
Accellion File Transfer Appliance (FTA) に複数の脆弱性
https://jvn.jp/vu/JVNVU92314939/
ManageEngine Password Manager Pro にアクセス制限不備の脆弱性
ManageEngine Password Manager Pro には、アクセス制限不備の脆弱性があり
ます。結果として、当該製品のユーザが、他のユーザのパスワード履歴を取得
する可能性があります。
対象となるバージョンは以下の通りです。
- Password Manager Pro 8.3.0 (Build 8303)
- Password Manager Pro 8.4.0 (Build 8400, 8401, 8402)
この問題は、Zoho Corporation が提供する修正済みのバージョンに Password
Manager Pro を更新することで解決します。詳細は、Zoho Corporation が提
供する情報を参照してください。
ManageEngine Password Manager Pro - Release Notes
Password Manager Pro Release 8.4 (8403) (April, 2016)
https://www.manageengine.com/products/passwordmanagerpro/release-notes.html
SaAT Netizen にダウンロードファイル検証不備の脆弱性
SaAT Netizen には、ダウンロードファイル検証不備の脆弱性があります。結
果として、遠隔の第三者が、不正なファイルをユーザにダウンロードさせたり、
実行させたりする可能性があります。
対象となるバージョンは以下の通りです。
- SaAT Netizen インストーラ ver.1.2.0.424 およびそれ以前
- SaAT Netizen ver.1.2.0.8 (Build427) およびそれ以前
この問題は、問題のあるバージョンの SaAT Netizen をアンインストールした
上で、ネットムーブ株式会社が提供する修正済みのバージョンをインストール
することで解決します。詳細は、ネットムーブ株式会社が提供する情報を参照
してください。
ネットムーブ株式会社
SaAT Netizen セキュリティアップデートのお知らせ
http://www.saat.jp/information/netizen/2016/0426_security_update_info.php
Allround Automations PL/SQL Developer が HTTP 経由でアップデートする問題
Allround Automations PL/SQL Developer には、HTTP 経由でアップデートす
る問題があります。結果として、遠隔の第三者が、中間者攻撃を行うことで、
任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- PL/SQL Developer version 11
この問題は、Allround Automations が提供する修正済みのバージョンに
PL/SQL Developer を更新することで解決します。詳細は、Allround
Automations が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#95625579
Allround Automations PL/SQL Developer が HTTP 経由でアップデートする問題
https://jvn.jp/vu/JVNVU95625579/
Allround Automations
April 22, 2016 - Version 11.0.6 released
https://www.allroundautomations.com/plsqldevnew.html#table68
Android アプリ「kintone mobile for Android」に複数の脆弱性
Android アプリ「kintone mobile for Android」には、複数の脆弱性がありま
す。結果として、遠隔の第三者が、認証情報を取得したり、中間者攻撃を行う
ことで暗号通信を盗聴したりするなどの可能性があります。
対象となるバージョンは以下の通りです。
- Android アプリ「kintone mobile for Android」 1.0.0 から 1.0.5 まで
この問題は、サイボウズ株式会社が提供する修正済みのバージョンに Android
アプリ「kintone mobile for Android」を更新することで解決します。詳細は、
サイボウズ株式会社が提供する情報を参照してください。
サイボウズ
[CyVDB-1045]認証情報に関する情報漏えいの脆弱性
https://support.cybozu.com/ja-jp/article/9479
サイボウズ
[CyVDB-1114]SSLサーバー証明書の検証不備の脆弱性
https://support.cybozu.com/ja-jp/article/9480
Apache Struts 2 の脆弱性を標的としたアクセスが増加
2016年4月27日、警察庁は、「Apache Struts 2の脆弱性を標的としたアクセス
の観測について」を公開しました。この文書によれば、本号【3】で紹介した
「Apache Struts2 に任意のコードを実行可能な脆弱性」を標的としていると
思われるアクセスが増加しているとのことです。修正済みのバージョンに
Apache Struts を更新することを強く推奨します。
警察庁
Apache Struts 2の脆弱性を標的としたアクセスの観測について
https://www.npa.go.jp/cyberpolice/detect/pdf/20160427.pdf