-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2016-2401
                                                                   JPCERT/CC
                                                                  2016-06-22

            <<< JPCERT/CC WEEKLY REPORT 2016-06-22 >>>

――――――――――――――――――――――――――――――――――――――
■06/12(日)〜06/18(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】VMware vCenter Server にクロスサイトスクリプティングの脆弱性
【4】複数の Cisco 製品に脆弱性
【5】Deep Discovery Inspector に任意のコードを実行可能な脆弱性
【6】ETX-R に複数の脆弱性
【今週のひとくちメモ】NICT と IPA が「CRYPTREC Report 2015」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2016/wr162401.html
        https://www.jpcert.or.jp/wr/2016/wr162401.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

    情報源
      US-CERT Current Activity
      Microsoft Releases June 2016 Security Bulletin
      https://www.us-cert.gov/ncas/current-activity/2016/06/14/Microsoft-Releases-June-2016-Security-Bulletin

    概要
      複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行するなどの可能性があります。

      対象となる製品は以下の通りです。

      - Microsoft Windows
      - Internet Explorer
      - Microsoft Edge
      - Microsoft Office
      - Microsoft Office Services および Web Apps
      - Microsoft Exchange Server

      この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
      で解決します。詳細は、Microsoft が提供する情報を参照してください。

    関連文書 (日本語)
      マイクロソフト株式会社
      2016 年 6 月のマイクロソフト セキュリティ情報の概要
      https://technet.microsoft.com/ja-jp/library/security/ms16-Jun

      JPCERT/CC Alert 2016-06-15
      2016年 6月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起
      https://www.jpcert.or.jp/at/2016/at160025.html

【2】複数の Adobe 製品に脆弱性

    情報源
      US-CERT Current Activity
      Adobe Releases Security Updates
      https://www.us-cert.gov/ncas/current-activity/2016/06/14/Adobe-Releases-Security-Updates

      US-CERT Current Activity
      Adobe Releases Security Updates
      https://www.us-cert.gov/ncas/current-activity/2016/06/16/Adobe-Releases-Security-Updates

    概要
      複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行するなどの可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Adobe Flash Player デスクトップランタイム 21.0.0.242 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash Player 継続サポートリリース 18.0.0.352 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash Player 11.2.202.621 およびそれ以前 (Linux 版)
      - Adobe AIR デスクトップランタイム 21.0.0.215 およびそれ以前 (Windows 版)
      - Adobe DNG Software Development Kit (SDK) 1.4 (2012 年リリース) およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Brackets 1.6 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
      - Creative Cloud デスクトップアプリケーション Creative Cloud 3.6.0.248 およびそれ以前 (Windows 版)
      - ColdFusion (2016 リリース) アップデート 1
      - ColdFusion 11 アップデート 8 およびそれ以前
      - ColdFusion 10 アップデート 19 およびそれ以前

      この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
      るか、ホットフィックスを適用することで解決します。詳細は、Adobe が提供
      する情報を参照してください。

    関連文書 (日本語)
      Adobe セキュリティ情報
      Adobe Flash Player に関するセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/flash-player/apsb16-18.html

      Adobe セキュリティ情報
      Adobe DNG Software Development Kit （SDK）用のセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/dng-sdk/apsb16-19.html

      Adobe セキュリティ情報
      Adobe Brackets 用のセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/brackets/apsb16-20.html

      Adobe セキュリティ情報
      Creative Cloud デスクトップアプリケーション用のセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/creative-cloud/apsb16-21.html

      Adobe セキュリティ情報
      セキュリティアップデート：ColdFusion用ホットフィックス公開
      https://helpx.adobe.com/jp/security/products/coldfusion/apsb16-22.html

      Adobe セキュリティ情報
      Adobe AIR 用のセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/air/apsb16-23.html

      Japan Vulnerability Notes JVNVU#99609116
      Adobe Flash Player にメモリ破損の脆弱性
      https://jvn.jp/vu/JVNVU99609116/

      JPCERT/CC Alert 2016-06-17
      Adobe Flash Player の脆弱性 (APSB16-18) に関する注意喚起
      https://www.jpcert.or.jp/at/2016/at160026.html

【3】VMware vCenter Server にクロスサイトスクリプティングの脆弱性

    情報源
      US-CERT Current Activity
      VMware Releases Security Updates
      https://www.us-cert.gov/ncas/current-activity/2016/06/15/VMware-Releases-Security-Updates

    概要
      VMware vCenter Server には、脆弱性があります。結果として、遠隔の第三者
      が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - VMware vCenter Server 5.5 update 2d より前のバージョンの 5.5 系
      - VMware vCenter Server 5.1 update 3d より前のバージョンの 5.1 系
      - VMware vCenter Server 5.0 update 3g より前のバージョンの 5.0 系

      この問題は、VMware が提供する修正済みのバージョンに vCenter Server を
      更新することで解決します。詳細は、VMware が提供する情報を参照してくだ
      さい。

    関連文書 (英語)
      VMware Security Advisories
      VMware vCenter Server updates address an important reflective cross-site scripting issue
      https://www.vmware.com/security/advisories/VMSA-2016-0009.html

【4】複数の Cisco 製品に脆弱性

    情報源
      US-CERT Current Activity
      Cisco Releases Security Updates
      https://www.us-cert.gov/ncas/current-activity/2016/06/15/Cisco-Releases-Security-Updates

    概要
      複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行し
      たりするなどの可能性があります。

      対象となる製品は以下の通りです。

      - RV110W Wireless-N VPN Firewall
      - RV130W Wireless-N Multifunction VPN Router
      - RV215W Wireless-N VPN Router

      この問題は、Cisco が提供する修正済みのバージョンに該当する製品のファー
      ムウェアを更新することで解決します。なお、RV110W Wireless-N VPN Firewall
      および RV215W Wireless-N VPN Router では、cisco-sa-20160615-rv への対
      策が完了していません。修正済みのファームウェアは、2016年第3四半期にリ
      リースされるとのことです。詳細は、Cisco が提供する情報を参照してくださ
      い。

    関連文書 (英語)
      Cisco Security Advisory
      Cisco RV110W, RV130W, and RV215W Routers Arbitrary Code Execution Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160615-rv

      Cisco Security Advisory
      Cisco RV110W, RV130W, and RV215W Routers Cross-Site Scripting Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160615-rv1

      Cisco Security Advisory
      Cisco RV110W, RV130W, and RV215W Routers HTTP Request Buffer Overflow Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160615-rv2

      Cisco Security Advisory
      Cisco RV110W, RV130W, and RV215W Routers HTTP Request Buffer Overflow Vulnerability
      https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160615-rv3

【5】Deep Discovery Inspector に任意のコードを実行可能な脆弱性

    情報源
      Japan Vulnerability Notes JVN#55428526
      Deep Discovery Inspector において任意のコードが実行可能な脆弱性
      https://jvn.jp/jp/JVN55428526/

    概要
      Deep Discovery Inspector には、任意のコードを実行可能な脆弱性がありま
      す。結果として、管理者権限でアクセス可能なユーザが、任意のコードを実行
      する可能性があります。

      対象となるバージョンは以下の通りです。

      - Deep Discovery Inspector 3.8 SP1 (3.81)
      - Deep Discovery Inspector 3.7

      この問題は、トレンドマイクロ株式会社が提供するパッチを Deep Discovery
      Inspector に適用することで解決します。詳細は、トレンドマイクロ株式会社
      が提供する情報を参照してください。

    関連文書 (日本語)
      トレンドマイクロ
      アラート/アドバイザリ：ZDI-CAN-3567 Deep Discovery Inspectorのリモートコード実行の脆弱性について
      http://esupport.trendmicro.com/solution/ja-JP/1114332.aspx

【6】ETX-R に複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#96052093
      ETX-R におけるサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/jp/JVN96052093/

      Japan Vulnerability Notes JVN#61317238
      ETX-R におけるクロスサイトリクエストフォージェリの脆弱性
      https://jvn.jp/jp/JVN61317238/

    概要
      ETX-R には、複数の脆弱性があります。結果として、遠隔の第三者が、サービ
      ス運用妨害 (DoS) 攻撃を行ったり、ユーザの意図しない操作を行ったりする
      可能性があります。

      対象となる製品は以下の通りです。

      - ETX-R

      2016年6月21日現在、対策済みのバージョンは公開されていません。以下の回
      避策を適用することで、本脆弱性の影響を軽減することが可能です。

      - 「インターネットからのping拒否」を有効にする
      - 当該製品にログインしている間、他のウェブサイトにアクセスしない
      - 設定画面を閉じる際は必ずログアウトをクリックする
      - 設定画面から管理者タイムアウトの時間を設定する

      詳細は、株式会社アイ・オー・データ機器が提供する情報を参照してください。

    関連文書 (日本語)
      株式会社アイ・オー・データ機器
      有線ルーター「ETX-R」セキュリティの脆弱性について
      http://www.iodata.jp/support/information/2016/etx-r/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○NICT と IPA が「CRYPTREC Report 2015」を公開

      2016年6月17日、国立研究開発法人情報通信研究機構 (NICT) と独立行政法人
      情報処理推進機構 (IPA) は、「CRYPTREC Report 2015」を公開しました。
      CRYPTREC 暗号の安全性確保等を行う「暗号技術評価委員会」と、CRYPTREC 暗
      号の利活用に関する調査・検討等を行う「暗号技術活用委員会」それぞれの活
      動が報告されています。

    参考文献 (日本語)
      CRYPTREC
      CRYPTREC Report 2015の公開
      http://www.cryptrec.go.jp/topics/cryptrec_20160617_c15report.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2016 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJXafJrAAoJEDF9l6Rp7OBIrmQH/0Xn3eWORS3ZvGl0oNf0/Sib
oTHU0G0f9ztpWUB/t/xIY+tmHhQWz17EVW9tzvwmzN0xDte3kF91XaFoSzItAYO1
B9hH9xX8DlD/d5l1qQVovmfKrI9uc0IfzEaMOWtQp3h6qE4oFgbZURgTtQPGn4JX
BpueZoRvp5I1+432NrpQECiiyn8ikMLf47PjLIooX5oi3Y5swZa5wWa/zIS77e72
4kYVwhVvRYvLBVJkD4JuVJ3/BD96/MQ1htAo1IU4p2FwnLn40aH08U9Cw2GcQSl8
SyeTqltDMo6q6zOW0szo07+/TGwb23i8Ayx8L7oIp3SNFpQ2gOK3j4XeOHwiALU=
=BYXI
-----END PGP SIGNATURE-----