JPCERT-WR-2018-1501
2018-04-18
2018-04-08
2018-04-14
複数の Microsoft 製品に脆弱性
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- ChakraCore
- Microsoft Malware Protection Engine
- Microsoft Visual Studio
この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。
マイクロソフト株式会社
2018 年 4 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/abf77563-8612-e811-a966-000d3a33a34d
JPCERT/CC Alert 2018-04-11
2018年 4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180016.html
複数の Adobe 製品に脆弱性
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Adobe Flash Player デスクトップランタイム 29.0.0.113 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
- Google Chrome 用の Adobe Flash Player 29.0.0.113 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版)
- Microsoft Edge および Internet Explorer 11 用の Adobe Flash Player 29.0.0.113 およびそれ以前 (Windows 10 版、8.1 版)
- Adobe Experience Manager 6.0 から 6.3
- Adobe InDesign CC 13.0 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Digital Editions 4.5.7 およびそれ以前 (Windows 版、Macintosh 版、iOS 版、Android 版)
- Adobe PhoneGap Push プラグイン 1.8.0 およびそれ以前
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
Adobe
Flash Player 用のセキュリティアップデート公開 | APSB18-08
https://helpx.adobe.com/jp/security/products/flash-player/apsb18-08.html
Adobe
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB18-10
https://helpx.adobe.com/jp/security/products/experience-manager/apsb18-10.html
Adobe
InDesign を対象としたセキュリティアップデート公開 | APSB18-11
https://helpx.adobe.com/jp/security/products/indesign/apsb18-11.html
Adobe
Adobe Digital Editions に関するセキュリティアップデート公開 | APSB18-13
https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb18-13.html
Adobe
Adobe PhoneGap Push Plugin に関するセキュリティアップデート公開 | APSB18-15
https://helpx.adobe.com/jp/security/products/phonegap/apsb18-15.html
JPCERT/CC Alert 2018-04-11
Adobe Flash Player の脆弱性 (APSB18-08) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180015.html
複数の Juniper 製品に脆弱性
複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
対象となる製品は次のとおりです。
- Junos OS
- SRX シリーズ
- Steel-Belted Radius Carrier
- NorthStar Controller
- Network and Security Manager Appliance
- Junos Snapshot Administrator
この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、Juniper が提供する情報を参照してくださ
い。
Juniper Networks
2018-04 Security Bulletin: Junos OS: Kernel crash upon receipt of crafted CLNP packets (CVE-2018-0016)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10844
Juniper Networks
2018-04 Security Bulletin: SRX Series: Denial of service vulnerability in flowd daemon on devices configured with NAT-PT (CVE-2018-0017)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10845
Juniper Networks
2018-04 Security Bulletin: SRX Series: A crafted packet may lead to information disclosure and firewall rule bypass during compilation of IDP policies. (CVE-2018-0018)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10846
Juniper Networks
2018-04 Security Bulletin: Junos: Denial of service vulnerability in SNMP MIB-II subagent daemon (mib2d) (CVE-2018-0019)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10847
Juniper Networks
2018-04 Security Bulletin: Junos OS: rpd daemon cores due to malformed BGP UPDATE packet (CVE-2018-0020)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10848
Juniper Networks
2018-04 Security Bulletin: Steel-Belted Radius (SBR) Carrier: Eclipse Jetty information disclosure vulnerability (CVE-2015-2080)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10849
Juniper Networks
2018-04 Security Bulletin: NorthStar: Return Of Bleichenbacher's Oracle Threat (ROBOT) RSA SSL attack (CVE-2017-1000385)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10850
Juniper Networks
2018-04 Security Bulletin: OpenSSL Security Advisory [07 Dec 2017]
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10851
Juniper Networks
2018-04 Security Bulletin: Junos OS: Multiple vulnerabilities in stunnel
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10852
Juniper Networks
2018-04 Security Bulletin: NSM Appliance: Multiple vulnerabilities resolved in CentOS 6.5-based 2012.2R12 release
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10853
Juniper Networks
2018-04 Security Bulletin: Junos OS: Short MacSec keys may allow man-in-the-middle attacks. (CVE-2018-0021)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10854
Juniper Networks
2018-04 Security Bulletin: Junos OS: Mbuf leak due to processing MPLS packets in VPLS network (CVE-2018-0022).
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10855
Juniper Networks
2018-04 Security Bulletin: Junos Snapshot Administrator (JSNAPy) world writeable default configuration file permission (CVE-2018-0023)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10856
Microsoft Outlook に情報漏えいの問題
Microsoft Outlook には、情報漏えいの問題があります。結果として、遠隔の
第三者が、細工したメッセージをユーザに閲覧させることで、メールの認証情
報などを取得する可能性があります。
対象となる製品は次のとおりです。
- Microsoft Outlook
この問題は、Microsoft Outlook に Microsoft が提供する更新プログラムを
適用することで解決します。詳細は、Microsoft が提供する情報を参照してく
ださい。
マイクロソフト株式会社
CVE-2018-0950 | Microsoft Office の情報漏えいの脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2018-0950
サイボウズ Garoon に複数の脆弱性
サイボウズ Garoon には、複数の脆弱性があります。結果として、当該製品に
ログイン可能なユーザが、閲覧権限のない情報を取得するなどの可能性があり
ます。
対象となるバージョンは次のとおりです。
- サイボウズ Garoon 3.0.0 から 4.6.1 まで
この問題は、サイボウズ Garoon をサイボウズ株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供
する情報を参照してください。
サイボウズ株式会社
パッケージ版 Garoon 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2018/006562.html
vRealize Automation に複数の脆弱性
vRealize Automation には、複数の脆弱性があります。結果として、遠隔の第
三者が、ユーザのブラウザ上で任意のスクリプトを実行するなどの可能性があ
ります。
対象となるバージョンは次のとおりです。
- vRealize Automation 7.4.0 より前の 7 系
この問題は、vRealize Automation を、VMWare が提供する修正済みのバージョン
に更新することで解決します。詳細は、VMWare が提供する情報を参照してく
ださい。
VMware Security Advisories
VMSA-2018-0009
https://www.vmware.com/security/advisories/VMSA-2018-0009.html
オムロン製 CX-One に含まれるアプリケーションに複数の脆弱性
オムロン株式会社が提供する CX-One に含まれるアプリケーションには、複数
の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可
能性があります。
対象となるバージョンは次のとおりです。
- CX-One Version 4.4.2 およびそれ以前に含まれる次のアプリケーション
CX-FLnet Version 1.00 およびそれ以前
CX-Protocol Version 1.992 およびそれ以前
CX-Programmer Version 9.65 およびそれ以前
CX-Server Version 5.0.22 およびそれ以前
Network Configurator Version 3.63 およびそれ以前
Switch Box Utility Version 1.68 およびそれ以前
この問題は、CX-One および CX-One に含まれるアプリケーションをオムロン
株式会社が提供する修正済みのバージョンに更新することで解決します。詳細
は、オムロン株式会社が提供する情報を参照してください。
オムロン株式会社
CX-One バージョンアップ プログラム ダウンロード
https://www.fa.omron.co.jp/product/tool/26/cxone/one1.html
PhishWall クライアント Internet Explorer版のインストーラに DLL 読み込みに関する脆弱性
PhishWall クライアント Internet Explorer版のインストーラには、DLL 読み
込みに関する脆弱性があります。結果として、第三者が任意のコードを実行す
る可能性があります。
対象となるバージョンは次のとおりです。
- PhishWall クライアント Internet Explorer版 Ver. 3.7.15 およびそれ以前のインストーラ
この問題は、株式会社セキュアブレインが提供する最新のインストーラでは解
決しています。なお、すでに PhishWall クライアント Internet Explorer版
をインストールしている場合には、この問題の影響はありません。詳細は、株
式会社セキュアブレインが提供する情報を参照してください。
株式会社セキュアブレイン
PhishWallクライアントInternet Explorer版のインストーラにおけるDLL読み込みに関する脆弱性と修正完了に関するお知らせ
https://www.securebrain.co.jp/about/news/2018/04/180411.html
Tenable Appliance にクロスサイトスクリプティングの脆弱性
Tenable Appliance には、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。
対象となるバージョンは次のとおりです。
- Tenable Appliance 4.6.1 およびそれ以前
この問題は、Tenable Appliance を Tenable が提供する修正済みのバージョン
に更新することで解決します。詳細は、Tenable が提供する情報を参照してく
ださい。
Tenable
[R1] Tenable Appliance 4.7.0 Fixes One Vulnerability
https://www.tenable.com/security/tns-2018-02
テレワークセキュリティガイドライン(第4版)の公表
2018年4月13日、総務省は、「テレワークセキュリティガイドライン(第4版)」
を公表しました。本ガイドラインでは、経営者やシステム管理者、テレワーク
勤務者といった立場ごとに、実施すべきセキュリティ対策のポイントや解説を
まとめたものです。既にテレワークを実施している組織や、これから導入を検
討されている組織は、ぜひ参考にしてください。
総務省
「テレワークセキュリティガイドライン(第4版)」(案)に対する意見募集の結果及び当該ガイドラインの公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000200.html