JPCERT-WR-2017-1301
2017-04-05
2017-03-26
2017-04-01
複数の VMware 製品に脆弱性
複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー
ザがホスト OS 上で任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- VMware ESXi 6.5
- VMware ESXi 6.0 U3
- VMware ESXi 6.0 U2
- VMware ESXi 6.0 U1
- VMware ESXi 5.5
- VMware Workstation 12 系のバージョン
- VMware Fusion 8 系のバージョン
この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
することで解決します。詳細は、VMware が提供する情報を参照してください。
VMware Security Advisories
VMSA-2017-0006
https://www.vmware.com/security/advisories/VMSA-2017-0006.html
Internet Information Services (IIS) 6.0 にバッファオーバーフローの脆弱性
Internet Information Services (IIS) 6.0 には、バッファオーバーフローの
脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能
性があります。
対象となる製品は以下の通りです。
- Internet Information Services (IIS) 6.0
2017年4月5日現在、IIS 6.0 のサポートは終了しています。IIS 6.0 の使用を
停止してください。
National Vulnerability Database
CVE-2017-7269 Detail
https://nvd.nist.gov/vuln/detail/CVE-2017-7269
複数の Apple 製品に脆弱性
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- macOS Server 5.3 より前のバージョン
- tvOS 10.2 より前のバージョン
- watchOS 3.2 より前のバージョン
- iOS 10.3 より前のバージョン
- macOS Sierra 10.12.4 より前のバージョン
- OS X El Capitan
- OS X Yosemite
- Safari 10.1 より前のバージョン
- Pages 6.1 for Mac より前のバージョン
- Numbers 4.1 for Mac より前のバージョン
- Keynote 7.1 for Mac より前のバージョン
- Pages 3.1 for iOS より前のバージョン
- Numbers 3.1 for iOS より前のバージョン
- Keynote 3.1 for iOS より前のバージョン
この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#90482935
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90482935/
Apple
About the security content of macOS Server 5.3
https://support.apple.com/en-us/HT207604
Apple
About the security content of tvOS 10.2
https://support.apple.com/en-us/HT207601
Apple
About the security content of watchOS 3.2
https://support.apple.com/en-us/HT207602
Apple
About the security content of iOS 10.3
https://support.apple.com/en-us/HT207617
Apple
About the security content of macOS Sierra 10.12.4, Security Update 2017-001 El Capitan, and Security Update 2017-001 Yosemite
https://support.apple.com/en-us/HT207615
Apple
About the security content of Safari 10.1
https://support.apple.com/en-us/HT207600
Apple
About the security content of Pages 6.1, Numbers 4.1, and Keynote 7.1 for Mac and Pages 3.1, Numbers 3.1, and Keynote 3.1 for iOS
https://support.apple.com/en-us/HT207595
CentreCOM AR260S V2 に権限昇格の脆弱性
CentreCOM AR260S V2 には、権限昇格の脆弱性があります。結果として、アカ
ウント「guest」でログイン可能なユーザが、管理者権限で任意の操作を行う
可能性があります。
対象となる製品は以下の通りです。
- CentreCOM AR260S V2
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- アカウント「guest」のパスワードを変更する
- 信頼できないユーザに認証情報を使用させない
- ファイアウォール機能を有効にする
詳細は、アライドテレシス株式会社が提供する情報を参照してください。
アライドテレシス株式会社
CentreCOM AR260S V2 における権限昇格の脆弱性
https://www.allied-telesis.co.jp/support/list/faq/vuls/20170330a.html
Ruby 2.1 の公式サポート終了
2017年3月31日をもって、Ruby 2.1 は、公式サポートを終了しました。サポー
ト終了後は、セキュリティ上の脅威が高まります。Ruby 2.1 を利用している
場合、サポートが行われているバージョンへの移行をお勧めします。また、
Ruby 2.2 は、2017年3月に重大なセキュリティ修正のみを行うセキュリティメン
テナンスフェーズに移行しており、2018年3月末で公式サポートを終了する予
定とのことです。
Ruby
Ruby 2.1 公式サポート終了
https://www.ruby-lang.org/ja/news/2017/04/01/support-of-ruby-2-1-has-ended/
Ruby
Ruby 2.2.7 リリース
https://www.ruby-lang.org/ja/news/2017/03/28/ruby-2-2-7-released/