-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-0701 JPCERT/CC 2017-02-22 <<< JPCERT/CC WEEKLY REPORT 2017-02-22 >>> ―――――――――――――――――――――――――――――――――――――― ■02/12(日)〜02/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Adobe 製品に脆弱性 【2】OpenSSL にサービス運用妨害 (DoS) の脆弱性 【3】Cisco UCS Director に脆弱性 【4】Apache Brooklyn に複数の脆弱性 【5】Apple GarageBand に任意のコードが実行可能な脆弱性 【6】7-ZIP32.DLL で作成された自己解凍書庫に任意の DLL 読み込みに関する脆弱性 【7】複数の Hughes Satellite Modem に脆弱性 【今週のひとくちメモ】警察庁が「情報セキュリティ対策ビデオ」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr170701.html https://www.jpcert.or.jp/wr/2017/wr170701.xml ============================================================================ 【1】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/02/14/Adobe-Releases-Security-Updates 概要 複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 24.0.0.194 およびそれ以前 (Windows 版、Macintosh 版、Linux 版) - Adobe Digital Editions 4.5.3 およびそれ以前 (Windows 版、Macintosh 版、Android 版) - Adobe Campaign v6.11 16.4 Build 8724 およびそれ以前 (Windows 版、Linux 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe セキュリティ情報 Adobe Flash Player に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb17-04.html Adobe セキュリティ情報 Adobe Digital Editions に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb17-05.html Adobe セキュリティ情報 Adobe Campaign に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/campaign/apsb17-06.html JPCERT/CC Alert 2017-02-15 Adobe Flash Player の脆弱性 (APSB17-04) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170008.html 【2】OpenSSL にサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Current Activity OpenSSL Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/02/16/OpenSSL-Releases-Security-Update 概要 OpenSSL には、Encrypt-Then-Mac 拡張の扱いに関する脆弱性があります。結 果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があり ます。 対象となるバージョンは以下の通りです。 - OpenSSL 1.1.0e より前のバージョン Encrypt-Then-Mac 拡張の対応が実装されたのは 1.1.0 以降であり、1.0.2 系 は本脆弱性の影響を受けません。 この問題は、OpenSSL を、使用している OS のベンダや配布元が提供する修正 済みのバージョンに更新することで解決します。詳細は、開発者が提供する情 報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90017300 OpenSSL にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU90017300/ 関連文書 (英語) OpenSSL OpenSSL Security Advisory [16 Feb 2017] https://www.openssl.org/news/secadv/20170216.txt 【3】Cisco UCS Director に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/02/15/Cisco-Releases-Security-Update 概要 Cisco UCS Director には、脆弱性があります。結果として、当該製品のユー ザが、仮想マシンに影響を及ぼす操作を含め、ワークフローで実行可能な任意 の操作を行う可能性があります。 対象となるバージョンは以下の通りです。 - Cisco UCS Director 6.0.0.0 および 6.0.0.1 この問題は、Cisco UCS Director を Cisco が提供する修正済みのバージョン に更新することで解決します。詳細は、Cisco が提供する情報を参照してくだ さい。 関連文書 (英語) Cisco Security Advisory Cisco UCS Director Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-ucs 【4】Apache Brooklyn に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#55489964 Apache Brooklyn における複数の脆弱性 https://jvn.jp/jp/JVN55489964/ 概要 Apache Brooklyn には、クロスサイトスクリプティングおよびクロスサイトリ クエストフォージェリの脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行したり、ユーザの意図しない操作を 行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Apache Brooklyn 0.9.0 およびそれ以前 この問題は、Apache Brooklyn を Apache Brooklyn が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Apache Brooklyn が提供する情 報を参照してください。 関連文書 (英語) Apache Brooklyn CVE-2017-3165: Cross-site vulnerabilities in Apache Brooklyn https://brooklyn.apache.org/community/security/CVE-2017-3165.html Apache Brooklyn CVE-2016-8737: Cross-site request forgery vulnerability in Apache Brooklyn https://brooklyn.apache.org/community/security/CVE-2016-8737.html 【5】Apple GarageBand に任意のコードが実行可能な脆弱性 情報源 US-CERT Current Activity Apple Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/02/14/Apple-Releases-Security-Update 概要 Apple GarageBand には、脆弱性があります。結果として、遠隔の第三者が、 細工した GarageBand プロジェクトファイルをユーザに開かせることで、任意 のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - GarageBand 10.1.6 より前のバージョン (Macintosh 版) この問題は、GarageBand を Apple が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99002156 Apple GarageBand の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU99002156/ 関連文書 (英語) Apple About the security content of GarageBand 10.1.6 https://support.apple.com/en-us/HT207518 【6】7-ZIP32.DLL で作成された自己解凍書庫に任意の DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#86200862 7-ZIP32.DLL で作成された自己解凍書庫における任意の DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN86200862/ 概要 7-ZIP32.DLL で作成された自己解凍書庫には、任意の DLL 読み込みに関する 脆弱性があります。結果として、第三者が任意のコードを実行する可能性があ ります。 対象となるバージョンは以下の通りです。 - 7-ZIP32.DLL ver9.22.00.01 およびそれ以前を使用して作成された自己解凍書庫ファイル この問題は、7-ZIP32.DLL を開発者が提供する修正済みのバージョンに更新し、 自己解凍書庫ファイルを作成し直すことで解決します。詳細は、開発者が提供 する情報を参照してください。 関連文書 (日本語) 7-ZIP32.DLL 7-ZIP32.DLL で作成した自己解凍書庫における任意のDLL読み込みの脆弱性 http://akky.xrea.jp/security/7-zip4.txt 【7】複数の Hughes Satellite Modem に脆弱性 情報源 CERT/CC Vulnerability Note VU#614751 Hughes satellite modems contain multiple vulnerabilities https://www.kb.cert.org/vuls/id/614751 概要 複数の Hughes Satellite Modem には、脆弱性があります。結果として、遠隔 の第三者が、任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を 行ったりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - DW7000 ファームウェア バージョン 6.9.0.34 より前のバージョン - HN7740S ファームウェア バージョン 6.9.0.34 より前のバージョン - HN7000S/SM ファームウェア バージョン 6.9.0.34 より前のバージョン この問題は、該当する製品のファームウェアを Hughes Network Systems, LLC が提供する修正済みのバージョンに更新することで解決します。詳細は、 Hughes Network Systems, LLC が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93522863 複数の Hughes Satellite Modem に複数の脆弱性 https://jvn.jp/vu/JVNVU93522863/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○警察庁が「情報セキュリティ対策ビデオ」を公開 2017年2月9日、警察庁は、「情報セキュリティ対策ビデオ」を公開しました。 このビデオは、フィッシングサイトによる被害などの身近なトラブルの解説と 対策や、安全にインターネットを活用する方法をそれぞれまとめた内容になっ ています。 参考文献 (日本語) 警察庁 情報セキュリティ対策ビデオ https://www.npa.go.jp/cyber/video/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYripSAAoJEDF9l6Rp7OBIYRQIAJMOKYijxZbeTopMDQqhCsLE Bfxs3jfXxEXWqIjGN4/wJgI3h06nji+79ein4s6mAlhrvw1yei/md6GFImCLjdmV i2YILTpCXTWPvecpE7H2ibCPlMfIeGCQD+1hvqzxIVBF4NH6Wh3h6iswX+SjcpUY 9gP1aSFqikRLqAnmpXfwlrS7fcgIMe3I5d7K1+HI32UhM5hEf883KR/j5wSxlvvn ylLafSld8mCtTZ38lu2B4cKTS4wTO5qqrLGNkTeeAUZJICbHd5AjJ0tpi2NEmdjM +fvJgt14bigUp5Yk5lWmxx1eQLrqafUbk0NGkU47BH6N43Dk4yaiM3czevYyooM= =i7qf -----END PGP SIGNATURE-----