-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-3501 JPCERT/CC 2016-09-07 <<< JPCERT/CC WEEKLY REPORT 2016-09-07 >>> ―――――――――――――――――――――――――――――――――――――― ■08/28(日)〜09/03(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Cisco 製品に脆弱性 【2】Adobe ColdFusion に情報漏えいの脆弱性 【3】OS X および Safari に脆弱性 【4】APCERT Annual General Meeting & Conference 2016 一般聴講参加者募集開始 【今週のひとくちメモ】銀行をかたるフィッシングサイトに注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr163501.html https://www.jpcert.or.jp/wr/2016/wr163501.xml ============================================================================ 【1】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/08/31/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユー ザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Wireless LAN Controller 8.0.140.0 より前のバージョン - Cisco Wireless LAN Controller 8.2.121.0 より前のバージョン - Cisco Wireless LAN Controller 8.3.102.0 より前のバージョン - Cisco WebEx Meetings Player T29.10 for WRF files - Media Origination System Suite Software 2.6 およびそれ以前が稼働している Cisco Virtual Media Packager (VMP) - Cisco Small Business 220 Series Smart Plus (Sx220) Switch ファームウェアバージョン 1.0.0.17 - Cisco Small Business 220 Series Smart Plus (Sx220) Switch ファームウェアバージョン 1.0.0.18 - Cisco Small Business 220 Series Smart Plus (Sx220) Switch ファームウェアバージョン 1.0.0.19 - Cisco Small Business SPA300 Series IP Phone ファームウェアバージョン 7.5.7(6) およびそれ以前 - Cisco Small Business SPA500 Series IP Phone ファームウェアバージョン 7.5.7(6) およびそれ以前 - Cisco Small Business SPA51x IP Phone ファームウェアバージョン 7.5.7(6) およびそれ以前 - Cisco Hosted Collaboration Mediation Fulfillment (HCM-F) 10.6(3) およびそれ以前 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Wireless LAN Controller wIPS Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-wlc-2 Cisco Security Advisory Cisco Wireless LAN Controller TSM SNMP Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-wlc-1 Cisco Security Advisory Cisco WebEx Meetings Player Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-webex Cisco Security Advisory Cisco Virtual Media Packager PAM API Unauthorized Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-vmp Cisco Security Advisory Cisco Small Business 220 Series Smart Plus Switches SNMP Unauthorized Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-sps3 Cisco Security Advisory Cisco Small Business 220 Series Smart Plus Switches Web Interface Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-sps2 Cisco Security Advisory Cisco Small Business 220 Series Smart Plus Switches Web Interface Cross-Site Scripting Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-sps1 Cisco Security Advisory Cisco Small Business 220 Series Smart Plus Switches Web Interface Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-sps Cisco Security Advisory Cisco Small Business SPA3x/5x Series Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-spa Cisco Security Advisory Cisco WebEx Meetings Player Arbitrary Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-meetings-player Cisco Security Advisory Cisco Hosted Collaboration Mediation Fulfillment Directory Traversal File System Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-hcmf Cisco Security Advisory Cisco Hosted Collaboration Mediation Fulfillment Authenticated Directory Traversal Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-hcm 【2】Adobe ColdFusion に情報漏えいの脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for ColdFusion https://www.us-cert.gov/ncas/current-activity/2016/08/30/Adobe-Releases-Security-Updates-ColdFusion 概要 Adobe ColdFusion には、XML の処理に脆弱性があります。結果として、遠隔 の第三者が、細工した XML ファイルを開かせることで、情報を取得する可能 性があります。 対象となるバージョンは以下の通りです。 - ColdFusion 11 Update 9 およびそれ以前 - ColdFusion 10 Update 20 およびそれ以前 この問題は、ColdFusion を Adobe が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (英語) Adobe Security Update: Hotfixes available for ColdFusion https://helpx.adobe.com/security/products/coldfusion/apsb16-30.html 【3】OS X および Safari に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/09/01/Apple-Releases-Security-Updates 概要 OS X および Safari には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を取得したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - OS X Yosemite v10.10.5 およびそれ以前 - OS X El Capitan v10.11.6 およびそれ以前 - Safari 9.1.3 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92267426 複数の Apple 製品の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU92267426/ 情報処理推進機構 (IPA) 更新:Apple iOS および OS X の脆弱性対策について(CVE-2016-4655 等) https://www.ipa.go.jp/security/ciadr/vul/20160829-ios.html 関連文書 (英語) Apple About the security content of Security Update 2016-001 El Capitan and Security Update 2016-005 Yosemite https://support.apple.com/en-us/HT207130 Apple About the security content of Safari 9.1.3 https://support.apple.com/en-us/HT207131 【4】APCERT Annual General Meeting & Conference 2016 一般聴講参加者募集開始 情報源 APCERT Annual General Meeting & Conference 2016 REGISTRATION https://www.apcert.org/apcert2016/registration.html 概要 JPCERT/CC が主催し、2016年10月に開催されるアジア太平洋コンピュータ緊急 対応チーム (APCERT) のカンファレンス「APCERT Annual General Meeting & Conference 2016」で、10月27日に行われる一般公開講演 (Open Conference) の聴講参加者を募集しています。国際会議のため、同時通訳なしで全編英語の 講演となりますが、興味のある方はふるってご参加ください。 講演日時: 2016年10月27日 (木) 9時30分〜17時 (予定) 会場: 東京都中央区日本橋蠣殻町 2-1-1 ロイヤルパークホテル 2F 参加費: 無料 応募期限: 2016年9月30日 (金) ※ただし、満席になり次第受付終了 関連文書 (英語) APCERT Annual General Meeting & Conference 2016 PROGRAM https://www.apcert.org/apcert2016/program.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○銀行をかたるフィッシングサイトに注意 2016年8月29日および 30日、フィッシング対策協議会は、りそな銀行、三井住 友銀行およびゆうちょ銀行をかたるフィッシングサイトに関する緊急情報を公 開しました。いずれもメール本文に含まれる URL から悪意のあるサイトにア クセスさせようとするものです。2016年9月6日現在、これらのフィッシングサ イトはいずれも閉鎖が確認されていますが、今後も類似のサイトが作成される 可能性があります。このようなサイトにアカウント情報を入力するなどしない ようご注意ください。 また、フィッシング対策協議会から、フィッシングによる被害を受ける可能性 のあるサービス事業者および一般消費者向けのガイドラインが公開されていま すので、ご参考ください。 参考文献 (日本語) フィッシング対策協議会 りそな銀行をかたるフィッシング (2016/08/29) https://www.antiphishing.jp/news/alert/resonabank_20160829.html フィッシング対策協議会 三井住友銀行をかたるフィッシング (2016/08/29) https://www.antiphishing.jp/news/alert/smbc_20160829.html フィッシング対策協議会 ゆうちょ銀行をかたるフィッシング (2016/08/30) https://www.antiphishing.jp/news/alert/japanpost_20160830.html フィッシング対策協議会 フィッシング対策ガイドライン 2016年度版 https://www.antiphishing.jp/report/pdf/antiphishing_guide.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJXz1w7AAoJEDF9l6Rp7OBIozwH+wVkrXXPtFkxKIYQAwtdKzxi A+2to20n+Fmfiw070ymwjoR1kfZQ3cg/oQmulA7pP8el8QK2eMuV46PKQbTeEzWO uX1WItrvtI1gaSKqwd9WFdlgflMUwQzmbGL867Chm49fd3PTUn4Ad8wrAwKpr5H7 CcV7z0Q4sEgosoWUOGxQPp7/TZC7N/ZFNSzG/LNRUHXuX8akjZN17opbusNHkXHP LmfLR+Zqk5N7OdOGFuny10x0eT2NZlU6+qZ4BZ9t/lOE3ShYOddptxNK1Y9hSIMd z6mQkgneDiYHXKgRFaqXYHw93ivXZYKcrmL1vmYgY8m+4R71QOu/Xn9DHEScBa4= =mOt1 -----END PGP SIGNATURE-----