-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-1001 JPCERT/CC 2017-03-15 <<< JPCERT/CC WEEKLY REPORT 2017-03-15 >>> ―――――――――――――――――――――――――――――――――――――― ■03/05(日)〜03/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apache Struts2 に任意のコードが実行可能な脆弱性 【2】複数の Mozilla 製品に脆弱性 【3】WordPress に複数の脆弱性 【4】PHP FormMail Generator で作成した PHP コードに複数の脆弱性 【5】OneThird CMS にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】JIPDEC が中小企業の改正個人情報保護法への対応状況についてのアンケート結果を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr171001.html https://www.jpcert.or.jp/wr/2017/wr171001.xml ============================================================================ 【1】Apache Struts2 に任意のコードが実行可能な脆弱性 情報源 US-CERT Current Activity Apache Software Foundation Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/03/08/Apache-Software-Foundation-Releases-Security-Updates 概要 Apache Struts2 には、脆弱性があります。結果として、遠隔の第三者が、細 工したリクエストを送信することで、任意のコードを実行する可能性がありま す。 対象となるバージョンは以下の通りです。 - Apache Struts 2.3.5 から 2.3.31 まで - Apache Struts 2.5 から 2.5.10 まで この問題は、Apache Struts を Apache Software Foundation が提供する修正 済みのバージョンに更新することで解決します。詳細は、Apache Software Foundation が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93610402 Apache Struts2 に任意のコードが実行可能な脆弱性 https://jvn.jp/vu/JVNVU93610402/ JPCERT/CC Alert 2017-03-09 Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170009.html 関連文書 (英語) Apache Struts 2 Documentation S2-045 https://cwiki.apache.org/confluence/display/WW/S2-045 【2】複数の Mozilla 製品に脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/03/07/Mozilla-Releases-Security-Update 概要 複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 52 より前のバージョン - Firefox ESR 45.8 より前のバージョン - Thunderbird 45.8 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2017 年 3 月 7 日) http://www.mozilla-japan.org/security/announce/ 【3】WordPress に複数の脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/03/06/WordPress-Releases-Security-Update 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.7.3 より前のバージョン この問題は、WordPress を WordPress が提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 関連文書 (日本語) WordPress WordPress 4.7.3 セキュリティ・メンテナンスリリース https://ja.wordpress.org/2017/03/07/wordpress-4-7-3-security-and-maintenance-release/ 【4】PHP FormMail Generator で作成した PHP コードに複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#608591 PHP FormMail Generator generates code vulnerable to multiple issues https://www.kb.cert.org/vuls/id/608591 概要 PHP FormMail Generator で作成した PHP コードには、複数の脆弱性がありま す。結果として、遠隔の第三者が、任意の PHP コードを実行したり、ユーザ のブラウザ上で任意のスクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - 2016年12月17日より前に PHP FormMail Generator で生成した PHP コード この問題は、PHP コードを 2016年12月17日以降の PHP FormMail Generator で再生成することで解決します。ただし、2017年3月14日現在、問題の一部は 修正されているか不明です。以下の回避策を適用することで、修正されていな い問題の影響を軽減することが可能です。 - 問題となるフィールドの処理において PHP htmlentities() を適用する形に変更する 詳細は、PHP Form Mail Maker が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96141589 PHP FormMail Generator で作成した PHP コードに複数の脆弱性 https://jvn.jp/vu/JVNVU96141589/ 【5】OneThird CMS にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#49408248 OneThird CMS におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN49408248/ Japan Vulnerability Notes JVN#13003724 OneThird CMS におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN13003724/ 概要 OneThird CMS には、クロスサイトスクリプティングの脆弱性があります。結 果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - OneThird CMS v1.73 Heaven's Door およびそれ以前 この問題は、OneThird CMS を SpiQeソフトウェアが提供する修正済みのバー ジョンに更新することで解決します。詳細は、SpiQeソフトウェアが提供する 情報を参照してください。 関連文書 (日本語) SpiQeソフトウェア v1.7x Heaven's Door 脆弱性に関するお知らせ https://onethird.net/p1277.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JIPDEC が中小企業の改正個人情報保護法への対応状況についてのアンケート結果を公開 2017年3月6日、日本情報経済社会推進協会 (JIPDEC) は、中小企業の改正個人 情報保護法への対応状況についてのアンケート結果に関するニュースリリース を公開しました。このニュースリリースは、2016年および 2017年に開催され た「中小企業向け改正個人情報保護法実務対応セミナー」の参加者に対して行っ たアンケート結果をまとめたものです。今年の 5月30日に全面施行となる改正 個人情報保護法への対応状況や、情報管理実施上の問題点などについて、中小 企業の回答がまとめられています。 参考文献 (日本語) 日本情報経済社会推進協会 (JIPDEC) 改正個人情報保護法対応 春頃までに体制構築対応を予定している企業は6割、対応済は1割に満たず https://www.jipdec.or.jp/topics/news/20170310.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYyIUcAAoJEDF9l6Rp7OBIuvcH/jjlUYvEViAbUYyjQ5PVZLiQ /4sMbjdVFo7nAVdYXRMn4Lvwvb3GjUCpgiiK6P9WqQJ5dt+6rb3dj4HysnOVPueb E4G6P1qRsFCpp4AItLyHtjwjewtfJj3Yn/3sx6OdkTVU2d3tNZJ+ueV4Hkakw5zx iE6wiHUhKLCVgpZIcZ6hkr4hWARRLX7URCywP2q2XCfUz5fpmZDFUKoEpFY6gIAc 20kMCzRKJO51meZ0KmyFW/RzfTZXcT86hKv3ROBmLkxzTw0TpBeJUUaZE07u63p0 BeeLH0KmknWIJwa61ZAvTby9GdVROFFSwc8+BNxwUqzjssY//I0pMZwu+cp+MYw= =6t2s -----END PGP SIGNATURE-----