-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-2901 JPCERT/CC 2017-08-02 <<< JPCERT/CC WEEKLY REPORT 2017-08-02 >>> ―――――――――――――――――――――――――――――――――――――― ■07/23(日)〜07/29(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Outlook に複数の脆弱性 【2】McAfee Web Gateway に複数の脆弱性 【3】Cisco IOS および Cisco IOS XE ソフトウェアに複数の脆弱性 【4】Joomla! に複数の脆弱性 【5】Open Shortest Path First (OSPF) プロトコルの複数の実装に問題 【6】WN-AX1167GR に複数の脆弱性 【7】WN-G300R3 に認証情報がハードコードされている問題 【8】WordPress 用プラグイン Simple Custom CSS and JS にクロスサイトスクリプティングの脆弱性 【9】WordPress 用プラグイン Popup Maker にクロスサイトスクリプティングの脆弱性 【10】Telerik Web UI に脆弱性 【11】Tween のインストーラに DLL 読み込みに関する脆弱性 【12】ソニー製 PaSoRi 関連ソフトウェアの複数のインストーラおよびリムーバーに DLL 読み込みに関する脆弱性 【13】LhaForge のインストーラに DLL 読み込みに関する脆弱性 【14】FIRST が「Annual Report 2016-2017」を公開 【15】NCA 10th Anniversary Conference 「絆」開催のお知らせ 【今週のひとくちメモ】Web サイトへのサイバー攻撃に備えて ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr172901.html https://www.jpcert.or.jp/wr/2017/wr172901.xml ============================================================================ 【1】Microsoft Outlook に複数の脆弱性 情報源 US-CERT Current Activity Microsoft Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/07/28/Microsoft-Releases-Security-Updates 概要 Microsoft Outlook には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Outlook 2007 Service Pack 3 - Microsoft Outlook 2010 Service Pack 2 - Microsoft Outlook 2013 Service Pack 1 - Microsoft Outlook 2013 RT Service Pack 1 - Microsoft Outlook 2016 この問題は、Microsoft Outlook に Microsoft が提供するセキュリティ更新 プログラムを適用することで解決します。詳細は、Microsoft が提供する情報 を参照してください。 関連文書 (日本語) マイクロソフト株式会社 Outlook の脆弱性を修正するセキュリティ更新プログラムを定例外で公開 https://blogs.technet.microsoft.com/jpsecurity/2017/07/28/outlookoobrelease/ マイクロソフト株式会社 CVE-2017-8571 | Microsoft Office Outlook セキュリティ機能のバイパスの脆弱性 https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8571 マイクロソフト株式会社 CVE-2017-8572 | Microsoft Office Outlook の情報漏えいの脆弱性 https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8572 マイクロソフト株式会社 CVE-2017-8663 | Microsoft Office Outlook Memory Corruption Vulnerability https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8663 【2】McAfee Web Gateway に複数の脆弱性 情報源 US-CERT Current Activity McAfee Releases Security Bulletin for Web Gateway https://www.us-cert.gov/ncas/current-activity/2017/07/27/McAfee-Releases-Security-Bulletin-Web-Gateway 概要 McAfee Web Gateway には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - McAfee Web Gateway 7.6.2.14 およびそれ以前 - McAfee Web Gateway 7.7.2.2 およびそれ以前 この問題は、McAfee Web Gateway を McAfee が提供する修正済みのバージョン に更新することで解決します。詳細は、McAfee が提供する情報を参照してく ださい。 関連文書 (英語) McAfee McAfee Security Bulletin - Web Gateway update fixes vulnerabilities CVE-2012-6706, CVE-2017-1000364, CVE-2017-1000366, and CVE-2017-1000368 https://kc.mcafee.com/corporate/index?page=content&id=SB10205 【3】Cisco IOS および Cisco IOS XE ソフトウェアに複数の脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/07/27/Cisco-Releases-Security-Updates 概要 Cisco IOS および Cisco IOS XE ソフトウェアには、複数の脆弱性があります。 結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、情報 を取得したりする可能性があります。 対象となる製品は次のとおりです。 - Cisco IOS ソフトウェア - Cisco IOS XE ソフトウェア この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco IOS and IOS XE Software Autonomic Networking Infrastructure Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170726-anidos Cisco Security Advisory Cisco IOS and IOS XE Software Autonomic Control Plane Channel Information Disclosure Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170726-aniacp 【4】Joomla! に複数の脆弱性 情報源 US-CERT Current Activity Joomla! Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/07/25/Joomla-Releases-Security-Update 概要 Joomla! には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 の操作を行ったり、ユーザのブラウザ上で任意のスクリプトを実行したりする 可能性があります。 対象となるバージョンは次のとおりです。 - Joomla! 1.0.0 から 3.7.3 まで この問題は、Joomla! を Joomla! が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Joomla! が提供する情報を参照してください。 関連文書 (英語) Joomla! Joomla! 3.7.4 Release https://www.joomla.org/announcements/release-news/5710-joomla-3-7-4-release.html 【5】Open Shortest Path First (OSPF) プロトコルの複数の実装に問題 情報源 CERT/CC Vulnerability Note VU#793496 Open Shortest Path First (OSPF) protocol implementations may improperly determine LSA recency https://www.kb.cert.org/vuls/id/793496 概要 Open Shortest Path First (OSPF) プロトコルを実装している複数の製品には、 Link State Advertisement (LSA) の扱いに関する問題があります。結果とし て、遠隔の第三者が、細工した LSA を注入することで、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品は次のとおりです。 - OSPF プロトコルを実装している複数の製品 なお、本脆弱性の影響を受ける製品として、次の製品が報告されています。 - Quagga - Quagga を含んでいる Linux ディストリビューション (SUSE、openSUSE、Red Hat packages など) - Lenovo の製品 - Cisco の製品 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93329670 Open Shortest Path First (OSPF) プロトコルの複数の実装に Link State Advertisement (LSA) の扱いに関する問題 https://jvn.jp/vu/JVNVU93329670/ 関連文書 (英語) Cisco Security Advisory Multiple Cisco Products OSPF LSA Manipulation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170727-ospf 【6】WN-AX1167GR に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#01312667 WN-AX1167GR における複数の脆弱性 https://jvn.jp/jp/JVN01312667/ 概要 WN-AX1167GR には、複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - WN-AX1167GR ファームウエアバージョン 3.00 およびそれ以前 この問題は、WN-AX1167GR のファームウェアを株式会社アイ・オー・データ機 器が提供する修正済みのバージョンに更新することで解決します。詳細は、株 式会社アイ・オー・データ機器が提供する情報を参照してください。 関連文書 (日本語) 株式会社アイ・オー・データ機器 無線ルーター「WN-AX1167GR」セキュリティの脆弱性について http://www.iodata.jp/support/information/2017/wn-ax1167gr/ 【7】WN-G300R3 に認証情報がハードコードされている問題 情報源 Japan Vulnerability Notes JVN#51410509 WN-G300R3 において認証情報がハードコードされている問題 https://jvn.jp/jp/JVN51410509/ 概要 WN-G300R3 には、認証情報がハードコードされている問題があります。結果と して、当該製品にアクセス可能な第三者が任意のコードを実行する可能性があ ります。 対象となるバージョンは次のとおりです。 - WN-G300R3 ファームウエアバージョン 1.0.2 およびそれ以前 この問題は、WN-G300R3 のファームウェアを株式会社アイ・オー・データ機器 が提供する修正済みのバージョンに更新することで解決します。詳細は、株式 会社アイ・オー・データ機器が提供する情報を参照してください。 関連文書 (日本語) 株式会社アイ・オー・データ機器 無線ルーター「WN-G300R3」 セキュリティの脆弱性について http://www.iodata.jp/support/information/2017/wn-g300r3_2/ 【8】WordPress 用プラグイン Simple Custom CSS and JS にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#31459091 WordPress 用プラグイン Simple Custom CSS and JS におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN31459091/ 概要 WordPress 用プラグイン Simple Custom CSS and JS には、クロスサイトスク リプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブ ラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Simple Custom CSS and JS 3.4 より前のバージョン この問題は、Simple Custom CSS and JS を SilkyPress が提供する修正済み のバージョンに更新することで解決します。詳細は、SilkyPress が提供する 情報を参照してください。 関連文書 (英語) Simple Custom CSS and JS Changelog https://wordpress.org/plugins/custom-css-js/#developers 【9】WordPress 用プラグイン Popup Maker にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#92921024 WordPress 用プラグイン Popup Maker におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN92921024/ 概要 WordPress 用プラグイン Popup Maker には、クロスサイトスクリプティング の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任 意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Popup Maker 1.6.5 より前のバージョン この問題は、Popup Maker を Popup Maker が提供する修正済みのバージョン に更新することで解決します。詳細は、Popup Maker が提供する情報を参照し てください。 関連文書 (英語) Popup Maker Changelog https://wordpress.org/plugins/popup-maker/#developers 【10】Telerik Web UI に脆弱性 情報源 CERT/CC Vulnerability Note VU#838200 Telerik Web UI contains cryptographic weakness https://www.kb.cert.org/vuls/id/838200 概要 Telerik Web UI には、暗号強度が不十分な脆弱性があります。結果として、 遠隔の第三者が、ファイルのアップロードやダウンロードを行ったり、ユーザ のブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - Telerik Web UI バージョン R2 2017 (2017.2.503) およびそれ以前 この問題は、Telerik Web UI を Progress Software Corporation が提供する 修正済みのバージョンに更新することで解決します。詳細は、Progress Software Corporation が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99345924 Telerik Web UI に暗号強度が不十分な脆弱性 https://jvn.jp/vu/JVNVU99345924/ 関連文書 (英語) Telerik Security Alert for Telerik UI for ASP.NET AJAX and Progress Sitefinity http://www.telerik.com/blogs/security-alert-for-telerik-ui-for-asp.net-ajax-and-progress-sitefinity 【11】Tween のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#17523256 Tween のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN17523256/ 概要 Tween のインストーラには、DLL 読み込みに関する脆弱性があります。結果と して、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Tween Ver1.6.6.0 およびそれ以前 この問題は、開発者が提供する最新のインストーラでは解決しています。なお、 すでに Tween をインストールしている場合には、この問題の影響はありません。 詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Tween インストーラーにおける脆弱性 https://sites.google.com/site/tweentwitterclient/project-updates/insutoraniokerucuiruoxing 【12】ソニー製 PaSoRi 関連ソフトウェアの複数のインストーラおよびリムーバーに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#16136413 ソニー製 PaSoRi 関連ソフトウェアの複数のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN16136413/ Japan Vulnerability Notes JVN#33797604 NFCポートソフトウェアリムーバーにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN33797604/ 概要 ソニー製 PaSoRi 関連ソフトウェアの複数のインストーラおよびリムーバーに は、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコー ドを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - NFCポートソフトウェア (旧FeliCaポートソフトウェア) Version 5.5.0.6 およびそれ以前 - NFCポートソフトウェア (旧FeliCaポートソフトウェア) Version 5.3.6.7 およびそれ以前 - NFCポートソフトウェアリムーバー Ver.1.3.0.1 およびそれ以前 - PC/SCアクティベーター for Type B Ver.1.2.1.0 およびそれ以前 - SFCard Viewer 2 Ver.2.5.0.0 およびそれ以前 - NFCネットインストーラー Ver.1.1.0.0 およびそれ以前 この問題は、ソニー株式会社が提供する最新のインストーラおよび NFCポート ソフトウェアリムーバーでは解決しています。NFCネットインストーラーにつ いては、2017年7月25日で提供を終了しています。なお、すでに該当する製品 をインストールしている場合には、この問題の影響はありません。詳細は、ソ ニー株式会社が提供する情報を参照してください。 関連文書 (日本語) ソニー株式会社 Windows向け非接触ICカードリーダー/ライターPaSoRi(パソリ)をご愛用のお客様へ セキュリティー対策済みの新しいインストーラー提供のお知らせ https://www.sony.co.jp/Products/felica/consumer/info/170725.html 【13】LhaForge のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#74554973 LhaForge のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN74554973/ 概要 LhaForge のインストーラには、DLL 読み込みに関する脆弱性があります。結 果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - LhaForge Ver.1.6.5 およびそれ以前 この問題は、Claybird が提供する最新のインストーラでは解決しています。 なお、すでに LhaForge をインストールしている場合には、この問題の影響は ありません。詳細は、Claybird が提供する情報を参照してください。 関連文書 (日本語) Claybird LhaForgeにおける任意のDLL読み込みの脆弱性(JVN#74554973)について http://claybird.sakura.ne.jp/garage/lhaforge/jvn74554973.txt 【14】FIRST が「Annual Report 2016-2017」を公開 情報源 FIRST FIRST releases inaugural annual report https://www.first.org/newsroom/releases/20170724 概要 2017年7月24日、FIRST (Forum of Incident Response and Security Teams) は、Annual Report を今回初めて公開しました。このレポートでは、FIRST が 1年間の活動の報告として、世界各国で行われたイベントや、この 1年間に公 開したコンテンツなどについてまとめられています。 関連文書 (英語) FIRST Annual Report 2016-2017 https://www.first.org/about/reports/FIRST-Annual-Report-2016-2017.pdf 【15】NCA 10th Anniversary Conference 「絆」開催のお知らせ 情報源 日本シーサート協議会 NCA 10th Anniversary Conference 「絆」 http://10th-annive.nca.gr.jp/ 概要 日本シーサート協議会は、10年という節目に際して、わが国のサイバーセキュ リティの現状および CSIRT の重要性や実際の活動などを、より多くの方々に 知っていただくため、NCA 10th Anniversary Conference 「絆」を開催します。 本カンファレンスでは、サイバーセキュリティの初心者からベテランまで幅広 い方々に対して、理解度の向上やスキルアップを実感できる多数のプログラム が用意されています。また、講演内容には、サイバーセキュリティのエキスパー トによる最新の脅威情報の解説や、海外有識者による 2020年の東京オリンピッ ク・パラリンピックに関する講演なども予定されており、喫緊の重要課題や現 状を理解できる内容となっています。 日時および場所: 2017年8月23日(水) - 2017年8月24日(木) ヒューリックホール&カンファレンス 〒111-0053 東京都台東区浅草橋1-22-16 ヒューリック浅草橋ビル http://10th-annive.nca.gr.jp/access/ ※参加申し込みの受付は 2017年8月14日(月) まで (満席になり次第受付終了) ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Web サイトへのサイバー攻撃に備えて 2017年8月1日、JPCERT/CC は CyberNewsFlash にて「Web サイトへのサイバー 攻撃に備えて」を公開しました。この呼びかけでは、JPCERT/CC で確認してい る Web サイトに対する改ざんや DDoS 等の被害事例を紹介するとともに、被 害の回避および低減を目的とした点検項目や対応体制の確認について、要点を まとめて記載しています。サイバー攻撃に備えて、自組織のセキュリティ対策 を今一度ご確認ください。 参考文献 (日本語) JPCERT/CC Web サイトへのサイバー攻撃に備えて https://www.jpcert.or.jp/newsflash/2017080101.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJZgRz0AAoJEDF9l6Rp7OBIx7cH/iheCzo2/f+GZS9PffMixs2U m/zV3GNjqgp/kyK2E6e1Lid6EBfSzC3u0MS208J6jjUixl81DrrxbLlcJ3YPwIjj MEPOM4kwRijEJ1c4W6erOnSDYW1QxfhalHhuonLUD9Ko0j2lyR5jBtXFoewipcQL kyyqKsF/eovyyUB2Lc4cm9aW7UFZvpQz4NzltQ8Sxo7cr70uVyb9QTSZxSQNzV61 g3uTIj1VKUKnX/djQrgvz2qFnDf1Zg93RZP+6ndfuBFmLjQhYkjVhP8ruyIqr0p1 EXHQi3iSbd4UYmRygK/2XN1GvqXdtHACqIX6beyRmgRY8WGOT4bbTJSigTgfrRA= =kJrL -----END PGP SIGNATURE-----