JPCERT-WR-2018-0601
2018-02-15
2018-02-04
2018-02-10
Adobe Flash Player に任意のコードが実行可能な脆弱性
Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Adobe Flash Player デスクトップランタイム 28.0.0.137 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
- Google Chrome 用の Adobe Flash Player 28.0.0.137 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版)
- Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 28.0.0.137 およびそれ以前 (Windows 10 版、8.1 版)
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
JPCERT/CC
Adobe Flash Player の未修正の脆弱性 (CVE-2018-4878) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180006.html
Adobe
Flash Player 用のセキュリティアップデート公開 | APSB18-03
https://helpx.adobe.com/jp/security/products/flash-player/apsb18-03.html
複数の Cisco 製品に脆弱性
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Cisco RV132W ADSL2+ Wireless-N VPN Router ファームウェア バージョン 1.0.1.11 より前のバージョン
- Cisco RV134W VDSL2 Wireless-AC VPN Router ファームウェア バージョン 1.0.1.11 より前のバージョン
- Cisco StarOS が稼働している Cisco Virtualized Packet Core−Distributed Instance (VPC−DI)
- Cisco UCS Central Software バージョン 2.0(1c) より前のバージョン
- Hotfix Patch 1 を適用していない Cisco Policy Suite 13.1.0 およびそれ以前
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco RV132W and RV134W Remote Code Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180207-rv13x
Cisco Security Advisory
Cisco Virtualized Packet Core-Distributed Instance Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180207-vpcdi
US-CERT Current Activity
Cisco UCS Central Arbitrary Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180207-ucsc
US-CERT Current Activity
Cisco Policy Suite RADIUS Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180207-cps
「MagicalFinder (マジカルファインダー)」に対応した複数のアイ・オー・データ製品に脆弱性
IP アドレス設定ツール「MagicalFinder (マジカルファインダー)」に対応した
複数のアイ・オー・データ製品には、脆弱性があります。結果として、ログイン
可能な第三者が任意の OS コマンドを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- HDL-XR/XRW シリーズ ファームウェアバーション 2.01 およびそれ以前
- HDL-XR2U/XR2UW シリーズ ファームウェアバーション 2.01 およびそれ以前
- HDL-XV/XVW シリーズ ファームウェアバーション 1.50 およびそれ以前
- HDL-GT シリーズ ファームウェアバーション 1.37 およびそれ以前
- HDL-GTR シリーズ ファームウェアバーション 1.37 およびそれ以前
- HDL-A/AH シリーズ ファームウェアバーション 1.26 およびそれ以前
- HDL2-A/AH シリーズ ファームウェアバーション 1.26 およびそれ以前
- HDL-T シリーズ ファームウェアバーション 1.12 およびそれ以前
- HLS-C シリーズ ファームウェアバーション 1.12 およびそれ以前
- HVL-A/AT/ATA シリーズ ファームウェアバーション 2.04 およびそれ以前
- HVL-S シリーズ ファームウェアバーション 1.00 およびそれ以前
- HFAS1 シリーズ ファームウェアバーション 1.40 およびそれ以前
- WHG-NAPG/A ファームウェアバーション 1.08 およびそれ以前
- WHG-NAPG/AL ファームウェアバーション 1.05 およびそれ以前
- WHG-AC1750/A ファームウェアバーション 3.00 およびそれ以前
- WHG-AC1750/AL ファームウェアバーション 1.07 およびそれ以前
- WN-AX1167GR ファームウェアバーション 3.11 およびそれ以前
- WN-GX300GR ファームウェアバーション 2.00 およびそれ以前
- WNPR2600G ファームウェアバーション 1.01 およびそれ以前
- WNPR1750G ファームウェアバーション 1.01 およびそれ以前
- WNPR1167G ファームウェアバーション 1.00 およびそれ以前
- WNPR1167F ファームウェアバーション 1.00 およびそれ以前
- WN-AG750DGR ファームウェアバーション 1.08 およびそれ以前
- WN-G300R ファームウェアバーション 1.14 およびそれ以前
- WN-G300R3 ファームウェアバーション 1.04 およびそれ以前
- WN-AG300DGR ファームウェアバーション 1.05 およびそれ以前
- WN-AC1600DGR ファームウェアバーション 2.06 およびそれ以前
- WN-AC1167DGR ファームウェアバーション 1.02 およびそれ以前
- WN-G300EX ファームウェアバーション 1.01 およびそれ以前
- WN-AC1300EX ファームウェアバーション 1.02 およびそれ以前
- WN-AC583TRK ファームウェアバーション 1.05 およびそれ以前
- WN-AC583RK ファームウェアバーション 1.06 およびそれ以前
- WN-G300SR ファームウェアバーション 1.00 およびそれ以前
- BX-VP1 ファームウェアバーション 2.01 およびそれ以前
- GV-NTX1 ファームウェアバーション 1.02.00 およびそれ以前
- GV-NTX2 ファームウェアバーション 1.02.00 およびそれ以前
この問題は、該当する製品を株式会社アイ・オー・データ機器が提供する修正
済みのバージョンに更新することで解決します。詳細は、株式会社アイ・オー・
データ機器が提供する情報を参照してください。
株式会社アイ・オー・データ機器
弊社IPアドレス設定ツールにおけるセキュリティの脆弱性について
http://www.iodata.jp/support/information/2018/magicalfinder/
安心ネットセキュリティ (Windows版) のインストーラに DLL 読み込みに関する脆弱性
安心ネットセキュリティ (Windows版) のインストーラには、DLL 読み込みに
関する脆弱性があります。結果として、第三者が任意のコードを実行する可能
性があります。
対象となるバージョンは次のとおりです。
- 安心ネットセキュリティ (Windows版) バージョン 16.0.1.44 およびそれ以前
この問題は、KDDI 株式会社が提供する最新のインストーラでは解決していま
す。なお、すでに安心ネットセキュリティ (Windows版) をインストールして
いる場合には、この問題の影響はありません。詳細は、KDDI 株式会社が提供
する情報を参照してください。
KDDI 株式会社
安心ネットセキュリティ:インターネットセキュリティ(プロバイダ au one net)
https://www.au.com/internet/auonenet/option/security/anshin-security/
MP Form Mail CGI eCommerce 版に OS コマンドインジェクションの脆弱性
MP Form Mail CGI eCommerce 版には、OS コマンドインジェクションの脆弱性
があります。結果として、遠隔の第三者が任意の OS コマンドを実行する可能
性があります。
対象となるバージョンは次のとおりです。
- MP Form Mail CGI eCommerce 版 Ver 2.0.13 およびそれ以前
この問題は、MP Form Mail CGI eCommerce 版を有限会社futomi が提供する修
正済みのバージョンに更新することで解決します。詳細は、有限会社futomi
が提供する情報を参照してください。
有限会社futomi
MP Form Mail CGI eCommerce 版をご利用の方へバージョンアップのお願い
http://www.futomi.com/library/info/2018/20180208.html
Weekly Report 2018-02-07号に関するお詫び
Weekly Report 2018-02-07号 において、一部の件名が適切に表示されない事
象が発生いたしました。外部からの連絡を受けて問題があることに気付き、コン
テンツの修正を行ったのち、事象の復旧を確認いたしました。調査の結果、XML
ファイルの妥当性を検証せずに HTML文書や RSS を生成していたこと、また、
生成結果を確認する手順に不備があったことが本事象の原因でした。
今回の事象を踏まえて、JPCERT/CC では、データの生成結果や出力結果の確認
方法について見直しを行っております。
皆様にはご迷惑をおかけいたしましたこと、深くお詫び申し上げます。