-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-1301 JPCERT/CC 2017-04-05 <<< JPCERT/CC WEEKLY REPORT 2017-04-05 >>> ―――――――――――――――――――――――――――――――――――――― ■03/26(日)〜04/01(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の VMware 製品に脆弱性 【2】Internet Information Services (IIS) 6.0 にバッファオーバーフローの脆弱性 【3】複数の Apple 製品に脆弱性 【4】CentreCOM AR260S V2 に権限昇格の脆弱性 【今週のひとくちメモ】Ruby 2.1 の公式サポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr171301.html https://www.jpcert.or.jp/wr/2017/wr171301.xml ============================================================================ 【1】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/03/28/VMware-Releases-Security-Updates 概要 複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー ザがホスト OS 上で任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware ESXi 6.5 - VMware ESXi 6.0 U3 - VMware ESXi 6.0 U2 - VMware ESXi 6.0 U1 - VMware ESXi 5.5 - VMware Workstation 12 系のバージョン - VMware Fusion 8 系のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2017-0006 https://www.vmware.com/security/advisories/VMSA-2017-0006.html 【2】Internet Information Services (IIS) 6.0 にバッファオーバーフローの脆弱性 情報源 US-CERT Current Activity Internet Information Services (IIS) 6.0 Vulnerability https://www.us-cert.gov/ncas/current-activity/2017/03/30/Internet-Information-Services-IIS-60-Vulnerability 概要 Internet Information Services (IIS) 6.0 には、バッファオーバーフローの 脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能 性があります。 対象となる製品は以下の通りです。 - Internet Information Services (IIS) 6.0 2017年4月5日現在、IIS 6.0 のサポートは終了しています。IIS 6.0 の使用を 停止してください。 関連文書 (英語) National Vulnerability Database CVE-2017-7269 Detail https://nvd.nist.gov/vuln/detail/CVE-2017-7269 【3】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Multiple Security Updates https://www.us-cert.gov/ncas/current-activity/2017/03/27/Apple-Releases-Security-Update-iWork 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - macOS Server 5.3 より前のバージョン - tvOS 10.2 より前のバージョン - watchOS 3.2 より前のバージョン - iOS 10.3 より前のバージョン - macOS Sierra 10.12.4 より前のバージョン - OS X El Capitan - OS X Yosemite - Safari 10.1 より前のバージョン - Pages 6.1 for Mac より前のバージョン - Numbers 4.1 for Mac より前のバージョン - Keynote 7.1 for Mac より前のバージョン - Pages 3.1 for iOS より前のバージョン - Numbers 3.1 for iOS より前のバージョン - Keynote 3.1 for iOS より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90482935 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU90482935/ 関連文書 (英語) Apple About the security content of macOS Server 5.3 https://support.apple.com/en-us/HT207604 Apple About the security content of tvOS 10.2 https://support.apple.com/en-us/HT207601 Apple About the security content of watchOS 3.2 https://support.apple.com/en-us/HT207602 Apple About the security content of iOS 10.3 https://support.apple.com/en-us/HT207617 Apple About the security content of macOS Sierra 10.12.4, Security Update 2017-001 El Capitan, and Security Update 2017-001 Yosemite https://support.apple.com/en-us/HT207615 Apple About the security content of Safari 10.1 https://support.apple.com/en-us/HT207600 Apple About the security content of Pages 6.1, Numbers 4.1, and Keynote 7.1 for Mac and Pages 3.1, Numbers 3.1, and Keynote 3.1 for iOS https://support.apple.com/en-us/HT207595 【4】CentreCOM AR260S V2 に権限昇格の脆弱性 情報源 Japan Vulnerability Notes JVN#55121369 CentreCOM AR260S V2 における権限昇格の脆弱性 https://jvn.jp/jp/JVN55121369/ 概要 CentreCOM AR260S V2 には、権限昇格の脆弱性があります。結果として、アカ ウント「guest」でログイン可能なユーザが、管理者権限で任意の操作を行う 可能性があります。 対象となる製品は以下の通りです。 - CentreCOM AR260S V2 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 - アカウント「guest」のパスワードを変更する - 信頼できないユーザに認証情報を使用させない - ファイアウォール機能を有効にする 詳細は、アライドテレシス株式会社が提供する情報を参照してください。 関連文書 (日本語) アライドテレシス株式会社 CentreCOM AR260S V2 における権限昇格の脆弱性 https://www.allied-telesis.co.jp/support/list/faq/vuls/20170330a.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Ruby 2.1 の公式サポート終了 2017年3月31日をもって、Ruby 2.1 は、公式サポートを終了しました。サポー ト終了後は、セキュリティ上の脅威が高まります。Ruby 2.1 を利用している 場合、サポートが行われているバージョンへの移行をお勧めします。また、 Ruby 2.2 は、2017年3月に重大なセキュリティ修正のみを行うセキュリティメン テナンスフェーズに移行しており、2018年3月末で公式サポートを終了する予 定とのことです。 参考文献 (日本語) Ruby Ruby 2.1 公式サポート終了 https://www.ruby-lang.org/ja/news/2017/04/01/support-of-ruby-2-1-has-ended/ Ruby Ruby 2.2.7 リリース https://www.ruby-lang.org/ja/news/2017/03/28/ruby-2-2-7-released/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJY5DhXAAoJEDF9l6Rp7OBIgIoIAIV4p8jSkBuaq/oA2fG2a9U4 D8YdHz4lChBRMx3frZXF+YCSqJDsPbVT7D3VS6xv9vdiqXZ4rp1kBLVc9SpAARjn qpGbO03bWfSKeD7EWZ2acDsk1W8f090IVzBN0sfSU6CB8CSJqFwJsnslGMzjefWY kELAVf2RSR1mHNshNmyA6xfFYj2DcpwyeaAe82UvkGKbLMj4bo3eFEAnUs6LeMga Opk8efI1iFe1NqLq3B5v5H+berAS6M0BCjw7sHawNCUAOyxi0jPtgtK43F8nDstD 17FIC4DpRub0p9GuEJUDo+F9IhmJ2QgeDXgyKGrseVd0NWhTK/Emt4dhwW2bGcc= =d6kD -----END PGP SIGNATURE-----