-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-3801 JPCERT/CC 2016-09-28 <<< JPCERT/CC WEEKLY REPORT 2016-09-28 >>> ―――――――――――――――――――――――――――――――――――――― ■09/18(日)〜09/24(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla Firefox に複数の脆弱性 【2】OpenSSL に複数の脆弱性 【3】複数の Cisco 製品に脆弱性 【4】Drupal に複数の脆弱性 【5】複数の Apple 製品に脆弱性 【6】Android アプリ「マネーフォワード」に複数の脆弱性 【7】Geeklog IVYWE版の複数のプラグインにクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】CEATEC JAPAN 2016 開催 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr163801.html https://www.jpcert.or.jp/wr/2016/wr163801.xml ============================================================================ 【1】Mozilla Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/09/20/Mozilla-Releases-Security-Updates 概要 Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となる製品は以下の通りです。 - Firefox 49 より前のバージョン - Firefox ESR 45.4 より前のバージョン この問題は、Firefox を Mozilla が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2016 年 9 月 20 日) http://www.mozilla-japan.org/security/announce/ 【2】OpenSSL に複数の脆弱性 情報源 US-CERT Current Activity OpenSSL Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/09/23/OpenSSL-Releases-Security-Updates 概要 OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.1.0b より前のバージョン - OpenSSL 1.0.2j より前のバージョン - OpenSSL 1.0.1u より前のバージョン この問題は、OpenSSL を、使用している OS のベンダや配布元が提供する修正 済みのバージョンに更新することで解決します。詳細は、開発者が提供する情 報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98667810 OpenSSL に複数の脆弱性 https://jvn.jp/vu/JVNVU98667810/ Japan Vulnerability Notes JVNVU#99474230 OpenSSL に複数の脆弱性 https://jvn.jp/vu/JVNVU99474230/ 関連文書 (英語) OpenSSL Project OpenSSL Security Advisory [22 Sep 2016] https://www.openssl.org/news/secadv/20160922.txt OpenSSL Project OpenSSL Security Advisory [26 Sep 2016] https://www.openssl.org/news/secadv/20160926.txt 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/09/21/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Cloud Services Platform 2100 version 2.0 - Cisco IOS - IOS XE Software - Cisco Firepower Management Center - Cisco FireSIGHT System software - Cisco Prime Home - Cisco APIC software - Cisco RV320 Dual Gigabit WAN VPN Router - Cisco RV325 Dual Gigabit WAN VPN Router - Cisco RVS4000 4-port Gigabit Security Router - VPN - Cisco WRV210 Wireless-G VPN Router - RangeBooster - Cisco WAP4410N Wireless-N Access Point - PoE/Advanced Security - Cisco WRV200 Wireless-G VPN Router - RangeBooster - Cisco WRVS4400N Wireless-N Gigabit Security Router - VPN V2.0 - Cisco WAP200 Wireless-G Access Point - PoE/Rangebooster - Cisco WVC2300 Wireless-G Business Internet Video Camera - Audio - Cisco PVC2300 Business Internet Video Camera - Audio/PoE - Cisco SRW224P 24-port 10/100 + 2-port Gigabit Switch - WebView/PoE - Cisco WET200 Wireless-G Business Ethernet Bridge - Cisco WAP2000 Wireless-G Access Point - PoE - Cisco WAP4400N Wireless-N Access Point - PoE - Cisco RV120W Wireless-N VPN Firewall - Cisco RV180 VPN Router - Cisco RV180W Wireless-N Multifunction VPN Router - Cisco RV315W Wireless-N VPN Router - Cisco Small Business SRP520 Models - Cisco Small Business SRP520-U Models - Cisco WRP500 Wireless-AC Broadband Router with 2 Phone Ports - Cisco SPA400 Internet Telephony Gateway with 4 FXO Ports - Cisco RTP300 Broadband Router - Cisco RV220W Wireless Network Security Firewall この問題は、該当する製品を、Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Cloud Services Platform 2100 Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-csp2100-1 Cisco Security Advisory Cisco Cloud Services Platform 2100 Remote Command Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-csp2100-2 Cisco Security Advisory Cisco IOS and IOS XE iox Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-iox Cisco Security Advisory Cisco Firepower Management Center and FireSIGHT System Software SSLIinspection Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-fmc Cisco Security Advisory Cisco IOS and IOS XE Software Data in Motion Component Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-dmo Cisco Security Advisory Cisco Prime Home Web-Based User Interface XML External Entity Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-cph Cisco Security Advisory Cisco Application-Hosting Framework HTTP Header Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-caf1 Cisco Security Advisory Cisco Application Policy Infrastructure Controller Binary Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-apic Cisco Security Advisory Multiple Cisco Products Confidential Information Decryption Man-in-the-Middle Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151125-ci 【4】Drupal に複数の脆弱性 情報源 US-CERT Current Activity Drupal Releases Security Advisory https://www.us-cert.gov/ncas/current-activity/2016/09/21/Drupal-Releases-Security-Advisory 概要 Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Drupal 8.1.10 より前のバージョン この問題は、Drupal を、開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Drupal Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-004 https://www.drupal.org/SA-CORE-2016-004 【5】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/09/20/Apple-Releases-Security-Updates 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、情報 を取得したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - macOS Sierra 10.12 より前のバージョン - Safari 10 より前のバージョン - macOS Server 5.2 より前のバージョン - iCloud for Windows 6.0 より前のバージョン - iOS 10.0.2 より前のバージョン この問題は、該当する製品を、Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90950877 複数の Apple 製品の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU90950877/ 関連文書 (英語) Apple About the security content of macOS Sierra 10.12 https://support.apple.com/en-us/HT207170 Apple About the security content of Safari 10 https://support.apple.com/en-us/HT207157 Apple About the security content of macOS Server 5.2 https://support.apple.com/en-us/HT207171 Apple About the security content of iCloud for Windows 6.0 https://support.apple.com/en-us/HT207147 Apple About the security content of iOS 10.0.2 https://support.apple.com/en-us/HT207199 【6】Android アプリ「マネーフォワード」に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#49343562 Android アプリ「マネーフォワード」における任意の操作が実行可能な脆弱性 https://jvn.jp/jp/JVN49343562/ Japan Vulnerability Notes JVN#61297210 Android アプリ「マネーフォワード」における WebView クラスに関する脆弱性 https://jvn.jp/jp/JVN61297210/ 概要 Android アプリ「マネーフォワード」には、複数の脆弱性があります。結果と して、第三者が、他の不正なアプリケーションを使用させることで、任意の操 作を行ったり、情報を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - 「マネーフォワード」 Android 版 7.18.0 より前のバージョン - 「マネーフォワード for YMFG」 Android 版 1.5.0 より前のバージョン - 「マネーフォワード for 群馬銀行」 Android 版 1.2.0 より前のバージョン - 「マネーフォワード for 滋賀銀行」 Android 版 1.2.0 より前のバージョン - 「マネーフォワード for 住信SBIネット銀行」 Android 版 1.6.0 より前のバージョン - 「マネーフォワード for 静岡銀行」 Android 版 1.4.0 より前のバージョン - 「マネーフォワード for 東海東京証券」 Android 版 1.4.0 より前のバージョン - 「マネーフォワード for 東邦銀行」 Android 版 1.3.0 より前のバージョン - 「マネーフォワード for AppPass」 7.18.3 より前のバージョン - 「マネーフォワード for auスマートパス」 7.18.0 より前のバージョン - 「マネーフォワード for 超ホーダイ」 7.18.3 より前のバージョン この問題は、マネーフォワードを、開発者や配布元が提供する修正済みのバー ジョンに更新することで解決します。詳細は、開発者や配布元が提供する情報 を参照してください。 関連文書 (日本語) 株式会社マネーフォワード Android版「マネーフォワード」及び金融機関向け「マネーフォワード」の脆弱性と修正完了に関するお知らせ http://corp.moneyforward.com/info/20160920-mf-android/ ソースネクスト総合サポート マネーフォワード(Android)の脆弱性と修正完了に関するお知らせ https://www.sourcenext.com/support/i/160725_1 【7】Geeklog IVYWE版の複数のプラグインにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#46087986 Geeklog IVYWE版の複数のプラグインにおけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN46087986/ 概要 Geeklog IVYWE版の複数のプラグインには、クロスサイトスクリプティングの 脆弱性があります。結果として、遠隔の第三者が、管理者としてログインして いるユーザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Assist プラグインバージョン 1.1.2.test20160906 より前のバージョン - dataBox プラグインバージョン 0.0.0.20160906 より前のバージョン - userBox プラグインバージョン 0.0.0.20160906 より前のバージョン この問題は、該当するプラグインを、株式会社アイビー・ウィーが提供する修 正済みのバージョンに更新することで解決します。また、以下の回避策を適用 することで、本脆弱性の影響を軽減することが可能です。 - Assist、dataBox および userBox プラグインを無効にする 詳細は、株式会社アイビー・ウィーが提供する情報を参照してください。 関連文書 (日本語) 株式会社アイビー・ウィー Geeklog IVYWE版 Assist dataBox, userBoxにクロスサイトスクリプティング(XSS)の脆弱性 http://www.ivywe.co.jp/article.php/xss-ivywe-distribution2 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○CEATEC JAPAN 2016 開催 2016年10月4日 (火) から 2016年10月7日 (金) まで、幕張メッセにて CEATEC JAPAN 2016 が開催されます。本イベントは、技術および情報交流、社会的課 題の解決策の提案を行い、IT 技術の発展と生活の向上および社会貢献を目指 しています。 JPCERT/CC は、独立行政法人情報処理推進機構 (IPA) のブースにてプレゼン テーションを行います。本イベントは、全来場者登録入場制で、Web 事前登録 をした場合は、本イベントへの参加は無料です。 開催日時: 2016年10月4日 (火) - 2016年10月7日 (金) 10:00 - 17:00 会場: 幕張メッセ 千葉市美浜区中瀬 2-1 当日登録:入場料 一般 1,000円・学生 500円 (学生 20名以上の団体および小学生以下は入場無料) Web 事前登録・招待券当日登録:入場無料 参考文献 (日本語) CEATEC JAPAN 実施協議会 CEATEC JAPAN 2016 http://www.ceatec.com/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJX6weDAAoJEDF9l6Rp7OBIVqsH/1vY9/tHy8oxgk3UZBuF27uJ G6AOM4Uo9TBID4FWf+MFyDtDfyfxsNdV7J/1SwfjqhFPR6I9I6ATM/7cGiDujs5I +pTe+2sE9vDvJAbdvpFGKVGjC5iwjE1RAlCK/oBsOeLRM5QLdJWHz8HuT7L+RcNN feg/473Ve3G96rlZpb21ZWe11FRPL2xqjFIFNsTKmpnF6bPzMiG/E2rm9XVEVZMC KQDtEb0t7wlhDSOYT2OUMR1Iq56b8DdVndkOlJIlvlO8lCFBYkzGyc2yyXoLWs1L /p53SNGYVSIzDMi3eJA/BpgRWwUm6i3RfRoYun0DhhoEC1O0wLYt5MUS1zQ8JwA= =I8d9 -----END PGP SIGNATURE-----