-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-0401 JPCERT/CC 2017-02-01 <<< JPCERT/CC WEEKLY REPORT 2017-02-01 >>> ―――――――――――――――――――――――――――――――――――――― ■01/22(日)〜01/28(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Mozilla 製品に脆弱性 【2】複数の Cisco 製品に脆弱性 【3】OpenSSL に複数の脆弱性 【4】複数の Apple 製品に脆弱性 【5】WordPress に複数の脆弱性 【6】Nessus にクロスサイトスクリプティングの脆弱性 【7】CubeCart にディレクトリトラバーサルの脆弱性 【8】Knowledge にクロスサイトリクエストフォージェリの脆弱性 【9】smalruby-editor に OS コマンドインジェクションの脆弱性 【今週のひとくちメモ】サイバーセキュリティ月間 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr170401.html https://www.jpcert.or.jp/wr/2017/wr170401.xml ============================================================================ 【1】複数の Mozilla 製品に脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/01/24/Mozilla-Releases-Security-Updates US-CERT Current Activity Mozilla Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/01/26/Mozilla-Releases-Security-Update 概要 複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 51 より前のバージョン - Firefox ESR 45.7 より前のバージョン - Thunderbird 45.7 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (英語) Mozilla Mozilla Foundation Security Advisories (January 24, 2017 および January 26, 2017) https://www.mozilla.org/en-US/security/advisories/ 【2】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/01/24/Cisco-Releases-Security-Updates US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/01/25/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - Chrome 向け Cisco WebEx Extension 1.0.7 より前のバージョン - Internet Explorer 向け GpcContainer Class ActiveX コントロール 10031.6.2017.0127 より前のバージョン - Firefox 向け ActiveTouch General Plugin Container 106 より前のバージョン - Cisco TelePresence MCU 5300 Series - Cisco TelePresence MCU MSE 8510 - Cisco TelePresence MCU 4500 - Cisco Expressway Series Software X8.8.2 より前のバージョン - Cisco TelePresence VCS Software X8.8.2 より前のバージョン - Cisco Adaptive Security Appliance (ASA) CX Context-Aware Security module この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90868591 ウェブブラウザ向け Cisco WebEx 拡張機能に任意のコマンドが実行可能な脆弱性 https://jvn.jp/vu/JVNVU90868591/ 関連文書 (英語) Cisco Security Advisory Cisco WebEx Browser Extension Remote Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170124-webex Cisco Security Advisory Cisco TelePresence Multipoint Control Unit Remote Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170125-telepresence Cisco Security Advisory Cisco Expressway Series and TelePresence VCS Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170125-expressway Cisco Security Advisory Cisco Adaptive Security Appliance CX Context-Aware Security Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170125-cas CERT/CC Vulnerability Note VU#909240 Cisco WebEx web browser extension allows arbitrary code execution https://www.kb.cert.org/vuls/id/909240 【3】OpenSSL に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#92830136 OpenSSL に複数の脆弱性 https://jvn.jp/vu/JVNVU92830136/ 概要 OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者がサービ ス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.1.0d より前のバージョン - OpenSSL 1.0.2k より前のバージョン この問題は、OpenSSL を、使用している OS のベンダや配布元が提供する修正 済みのバージョンに更新することで解決します。詳細は、開発者が提供する情 報を参照してください。 関連文書 (英語) OpenSSL Project OpenSSL Security Advisory [26 Jan 2017] https://www.openssl.org/news/secadv/20170126.txt 【4】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/01/23/Apple-Releases-Security-Updates 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - watchOS 3.1.3 より前のバージョン - tvOS 10.1.1 より前のバージョン - iOS 10.2.1 より前のバージョン - macOS Sierra 10.12.3 より前のバージョン - iCloud for Windows 6.1.1 より前のバージョン - Safari 10.0.3 より前のバージョン - iTunes 12.5.5 for Windows より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97915630 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU97915630/ 関連文書 (英語) Apple About the security content of watchOS 3.1.3 https://support.apple.com/en-us/HT207487 Apple About the security content of tvOS 10.1.1 https://support.apple.com/en-us/HT207485 Apple About the security content of iOS 10.2.1 https://support.apple.com/en-us/HT207482 Apple About the security content of macOS Sierra 10.12.3 https://support.apple.com/en-us/HT207483 Apple About the security content of iCloud for Windows 6.1.1 https://support.apple.com/en-us/HT207481 Apple About the security content of Safari 10.0.3 https://support.apple.com/en-us/HT207484 Apple About the security content of iTunes 12.5.5 for Windows https://support.apple.com/en-us/HT207486 【5】WordPress に複数の脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/01/26/WordPress-Releases-Security-Update 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.7.2 より前のバージョン この問題は、WordPress を WordPress が提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 関連文書 (日本語) WordPress WordPress 4.7.2 セキュリティリリース https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/ 【6】Nessus にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#12796388 Nessus におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN12796388/ 概要 Nessus には、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは以下の通りです。 - Nessus 6.9 より前のバージョン この問題は、Nessus を Tenable Network Security, Inc. が提供する修正済 みのバージョンに更新することで解決します。詳細は、Tenable Network Security,Inc. が提供する情報を参照してください。 関連文書 (英語) Tenable Network Security, Inc. Nessus 6.9 Fixes Multiple Vulnerabilities https://www.tenable.com/security/tns-2016-16 【7】CubeCart にディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#81618356 CubeCart におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN81618356/ 概要 CubeCart には、ディレクトリトラバーサルの脆弱性があります。結果として、 遠隔の第三者が任意のファイルにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - CubeCart 6.1.4 より前のバージョン この問題は、CubeCart を CubeCart Limited が提供する修正済みのバージョン に更新することで解決します。詳細は、CubeCart Limited が提供する情報を 参照してください。 関連文書 (英語) CubeCart CubeCart 6.1.4 Released https://forums.cubecart.com/topic/52088-cubecart-614-released/ 【8】Knowledge にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#09460804 Knowledge におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN09460804/ 概要 Knowledge には、クロスサイトリクエストフォージェリの脆弱性があります。 結果として、遠隔の第三者が、ユーザの意図しない操作を行う可能性がありま す。 対象となるバージョンは以下の通りです。 - Knowledge v1.7.0 より前のバージョン この問題は、Knowledge を support-project.org が提供する修正済みのバー ジョンに更新することで解決します。詳細は、support-project.org が提供す る情報を参照してください。 関連文書 (日本語) support-project.org Release v1.7.0 https://github.com/support-project/knowledge/releases 【9】smalruby-editor に OS コマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#50197114 smalruby-editor における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN50197114/ 概要 smalruby-editor には、OS コマンドインジェクションの脆弱性があります。 結果として、遠隔の第三者が任意の OS コマンドを実行する可能性がありま す。 対象となるバージョンは以下の通りです。 - smalruby-editor v0.4.0 およびそれ以前 この問題は、smalruby-editor を NPO法人Rubyプログラミング少年団が提供す る修正済みのバージョンに更新することで解決します。詳細は、NPO法人Ruby プログラミング少年団が提供する情報を参照してください。 関連文書 (日本語) NPO法人Rubyプログラミング少年団 新しいスモウルビー(smalruby-editor 0.4.1、smalruby 0.1.11)を公開しました! http://smalruby.jp/blog/2017/01/14/smalruby-editor-0-4-1-has-been-released.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○サイバーセキュリティ月間 2月1日から 3月18日は、「サイバーセキュリティ月間」です。 一人でも多くの方々にセキュリティについて関心を高め、理解を深めてもらう ため、シンポジウムをはじめ、様々なイベントが開催されます。興味のある方 は、是非参加をご検討ください。 参考文献 (日本語) 内閣サイバーセキュリティセンター (NISC) サイバーセキュリティ月間 http://www.nisc.go.jp/security-site/month/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYkSdEAAoJEDF9l6Rp7OBIV4wH/2aXd4k+1FqGrk1JXpHNW1PN XJhiZt5M9ql9t8oxuvaIceyeH5bYLeyXjHYAhyhAyau09PPn52NExrMf0rCxqmZq mcVPOXUoCzw3seuo2dfngV11faPdMJoT3qX2ZaKaG8hjKciiN2OMxmjVdvSCgnXN uki0lEyt9Vyrkbo4gz7no3tTUlFaWFKywsRcRpzHJjXI+ZMbyj1bctcj4zUy3JHm g9B/J91X6tbiSyUn7qZb68woSQxKejUa0OOQzSgMWB6pJSYV6/vMyRlyPHjEk35T Hd7OSMPkFQUIoBVXU7GvMuoheBnPV6TMFXTjU7p+M/kcLoiZXwDvKYF70rZba8c= =yfXn -----END PGP SIGNATURE-----