JPCERT-WR-2017-2601
2017-07-12
2017-07-02
2017-07-08
PHP に複数の脆弱性
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、サービス
運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりするなどの可能
性があります。
対象となるバージョンは次のとおりです。
- PHP 7.1.7 より前のバージョン
- PHP 7.0.21 より前のバージョン
- PHP 5.6.31 より前のバージョン
この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。
PHP Group
PHP 7 ChangeLog Version 7.1.7
https://secure.php.net/ChangeLog-7.php#7.1.7
PHP Group
PHP 7 ChangeLog Version 7.0.21
https://secure.php.net/ChangeLog-7.php#7.0.21
PHP Group
PHP 5 ChangeLog Version 5.6.31
https://secure.php.net/ChangeLog-5.php#5.6.31
Joomla! に複数の脆弱性
Joomla! には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザのブラウザ上で任意のスクリプトを実行したり、情報を取得したりする可能
性があります。
対象となるバージョンは次のとおりです。
- Joomla! 1.5.0 から 3.7.2 まで
この問題は、Joomla! を Joomla! が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Joomla! が提供する情報を参照してください。
Joomla!
Joomla! 3.7.3 Release
https://www.joomla.org/announcements/release-news/5709-joomla-3-7-3-release.html
複数の Cisco 製品に脆弱性
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、情報を取得したりするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Cisco Elastic Services Controller 2.3.1.434 より前のバージョン
- Cisco Elastic Services Controller 2.3.2 より前のバージョン
- Cisco Ultra Services Framework UAS 5.0.3 より前のバージョン
- Cisco Ultra Services Framework UAS 5.1 より前のバージョン
- Cisco Ultra Services Framework Staging Server 5.0.3 より前のバージョン
- Cisco Ultra Services Framework Staging Server 5.1 より前のバージョン
- Cisco Ultra Services Framework 5.0.3 より前のバージョン
- Cisco Ultra Services Framework 5.1 より前のバージョン
- Cisco StarOS が稼働している ASR 5000 シリーズ
- Cisco StarOS が稼働している ASR 5500 シリーズ
- Cisco StarOS が稼働している ASR 5700 シリーズ
- Cisco StarOS が稼働している Virtualized Packet Core-Distributed Instance (VPC-DI)
- Cisco StarOS が稼働している Virtualized Packet Core-Single Instance (VPC-SI)
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco Elastic Services Controller Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-esc2
Cisco Security Advisory
Cisco Ultra Services Framework UAS Unauthenticated Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-uas
Cisco Security Advisory
Cisco Ultra Services Framework Staging Server Arbitrary Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-usf3
Cisco Security Advisory
Cisco StarOS CLI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-asrcmd
Cisco Security Advisory
Cisco Elastic Services Controller Arbitrary Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-esc1
Cisco Security Advisory
Cisco Ultra Services Framework AutoVNF Symbolic Link Handling Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-usf1
Cisco Security Advisory
Cisco Ultra Services Framework AutoVNF Log File User Credential Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-usf2
サイボウズ ガルーンに複数の脆弱性
サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第
三者が、任意の操作を実行したり、ユーザのブラウザ上で任意のスクリプトを
実行したりするなどの可能性があります。
対象となるバージョンは次のとおりです。
- サイボウズ ガルーン 3.0.0 から 4.2.4 まで
この問題は、サイボウズ ガルーンをサイボウズ株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提
供する情報を参照してください。
サイボウズ株式会社
サイボウズ ガルーン 4 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2017/006402.html
Lhaz と Lhaz+ のインストーラおよび Lhaz や Lhaz+ で作成された自己解凍書庫に DLL 読み込みに関する脆弱性
Lhaz と Lhaz+ のインストーラおよび Lhaz や Lhaz+ で作成された自己解凍
書庫には、DLL 読み込みに関する脆弱性があります。結果として、第三者が任
意のコードを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Lhaz バージョン 2.4.0 およびそれ以前のバージョンのインストーラ
- Lhaz バージョン 2.4.0 およびそれ以前を使用して作成された自己解凍書庫
- Lhaz+ バージョン 3.4.0 およびそれ以前のバージョンのインストーラ
- Lhaz+ バージョン 3.4.0 およびそれ以前を使用して作成された自己解凍書庫
この問題は、該当する製品を、ちとらsoft が提供する修正済みのバージョン
に更新することで解決します。詳細は、ちとらsoft が提供する情報を参照し
てください。
ちとらsoft
Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性
http://chitora.com/jvn21369452.html
WordPress 用プラグイン Shortcodes Ultimate にディレクトリトラバーサルの脆弱性
WordPress 用プラグイン Shortcodes Ultimate には、ディレクトリトラバー
サルの脆弱性があります。結果として、当該製品にログイン可能なユーザが任
意のファイルにアクセスする可能性があります。
対象となるバージョンは次のとおりです。
- Shortcodes Ultimate 4.10.0 より前のバージョン
この問題は、Shortcodes Ultimate を開発者が提供する修正済みのバージョン
に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。
Shortcodes Ultimate
Changelog
https://wordpress.org/plugins/shortcodes-ultimate/#developers
WordPress 用プラグイン Responsive Lightbox にクロスサイトスクリプティングの脆弱性
WordPress 用プラグイン Responsive Lightbox には、クロスサイトスクリプ
ティングの脆弱性があります。結果として、遠隔の第三者が、当該製品にログ
インしているユーザのブラウザ上で任意のスクリプトを実行する可能性があり
ます。
対象となるバージョンは次のとおりです。
- Responsive Lightbox 1.7.2 より前のバージョン
この問題は、Responsive Lightbox を dFactory が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、dFactory が提供する情報を参
照してください。
Responsive Lightbox
Changelog
https://wordpress.org/plugins/responsive-lightbox/#developers
国土交通省国土技術政策総合研究所が提供する道路工事完成図等チェックプログラムのインストーラに DLL 読み込みに関する脆弱性
国土交通省国土技術政策総合研究所が提供する道路工事完成図等チェックプロ
グラムのインストーラには、DLL 読み込みに関する脆弱性があります。結果と
して、第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- 道路工事完成図等チェックプログラム Ver.3.1 およびそれ以前
この問題は、国土交通省国土技術政策総合研究所が提供する最新のインストー
ラでは解決しています。なお、すでに道路工事完成図等チェックプログラムを
インストールしている場合には、この問題の影響はありません。詳細は、国土
交通省国土技術政策総合研究所が提供する情報を参照してください。
国土交通省国土技術政策総合研究所
道路工事完成図等チェックプログラム Ver.3.1.2
http://www.nilim-cdrw.jp/dl_tool_quality.html
国土交通省国土技術政策総合研究所が提供する道路施設基本データ作成システムのインストーラに DLL 読み込みに関する脆弱性
国土交通省国土技術政策総合研究所が提供する道路施設基本データ作成システ
ムのインストーラには、DLL 読み込みに関する脆弱性があります。結果として、
第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- 道路施設基本データ作成システム Ver.1.0.2 およびそれ以前
2017年7月12日現在、対策済みのバージョンは公開されていません。以下の回
避策を適用することで、本脆弱性の影響を軽減することが可能です。
- インストーラを実行する際、同一ディレクトリ内に不審なファイルが存在しないことを確認する
なお、すでに道路施設基本データ作成システムをインストールしている場合に
は、この問題の影響はありません。詳細は、国土交通省国土技術政策総合研究
所が提供する情報を参照してください。
国土交通省国土技術政策総合研究所
道路施設基本データ作成システム Ver.1.0.2
http://www.nilim-cdrw.jp/rd_tool.html
国土交通省が提供する電子成果物作成支援・検査システムのインストーラおよびインストーラを含む自己解凍書庫に DLL 読み込みに関する脆弱性
国土交通省が提供する電子成果物作成支援・検査システムのインストーラおよ
びインストーラを含む自己解凍書庫には、DLL 読み込みに関する脆弱性があり
ます。結果として、第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- 電子成果物作成支援・検査システム Ver3.0.2 およびそれ以前 (2017年6月20日より前に掲載されていた版)
自己解凍書庫の問題は、国土交通省が提供する最新の自己解凍書庫では解決し
ています。自己解凍書庫を展開して得られたインストーラの問題については、
2017年7月12日現在、対策済みのバージョンは公開されていません。以下の回
避策を適用することで、本脆弱性の影響を軽減することが可能です。
- インストーラを実行する際、同一ディレクトリ内に不審なファイルが存在しないことを確認する
なお、すでに電子成果物作成支援・検査システムをインストールしている場合
には、この問題の影響はありません。詳細は、国土交通省が提供する情報を参
照してください。
国土交通省
電子成果品作成支援・検査システムにおける任意のDLL読み込みに関する脆弱性の注意喚起
http://www.mlit.go.jp/common/001189444.pdf
MFC-J960DWN にクロスサイトリクエストフォージェリの脆弱性
MFC-J960DWN には、クロスサイトリクエストフォージェリの脆弱性があります。
結果として、遠隔の第三者が、細工したコンテンツをユーザに開かせることで、
ユーザの意図しない操作を実行する可能性があります。
対象となるバージョンは次のとおりです。
- MFC-J960DWN ファームウェア ver.D およびそれ以前
2017年7月12日現在、対策済みのバージョンは公開されていません。以下の回
避策を適用することで、本脆弱性の影響を軽減することが可能です。
- ブラザー工業株式会社が提供する、本脆弱性を回避するツールを使用する
詳細は、ブラザー工業株式会社が提供する情報を参照してください。
ブラザー工業株式会社
JVN#95996423脆弱性問題について
http://support.brother.co.jp/j/s/support/vul_info/JVN95996423/
FIRST が「Guidelines and Practices for Multi-Party Vulnerability Coordination and Disclosure」を公開
2017年7月6日、FIRST (Forum of Incident Response and Security Teams) は、
「Guidelines and Practices for Multi-Party Vulnerability Coordination
and Disclosure」を公開しました。このガイドラインでは、「Heartbleed」や
「Shellshock」などの事例における経験に基づき、脆弱性の発見から公表に至
るまでの過程において、多数の関係者間で調整を行う状況を複数のユースケー
スに分類して検討し、より良い調整結果を得るための考え方やベストプラクティ
スをまとめています。
FIRST
FIRST announces release of Guidelines and Practices for Multi-Party Vulnerability Coordination and Disclosure
https://www.first.org/newsroom/releases/20170706
FIRST
Guidelines and Practices for Multi-Party Vulnerability Coordination and Disclosure (Web format)
https://www.first.org/global/sigs/vulnerability-coordination/multiparty/guidelines-v1.0
FIRST
Guidelines and Practices for Multi-Party Vulnerability Coordination and Disclosure (PDF format)
https://www.first.org/global/sigs/vulnerability-coordination/multiparty/FIRST-Multiparty-Vulnerability-Coordination-v1.0.pdf
FIRST
Vulnerability Coordination SIG
https://www.first.org/global/sigs/vulnerability-coordination/