JPCERT-WR-2018-1701
2018-05-09
2018-04-22
2018-05-05
Drupal に任意のコードが実行可能な脆弱性
Drupal には、任意のコードが実行可能な脆弱性があります。結果として、遠
隔の第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Drupal 8.5.3 より前のバージョン
- Drupal 7.59 より前のバージョン
なお、すでにサポートが終了している Drupal 8.4 系についても、本脆弱性の
影響を受けるとのことです。
この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。
Drupal
Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004
https://www.drupal.org/sa-core-2018-004
JPCERT/CC Alert 2018-04-26
Drupal の脆弱性 (CVE-2018-7602) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180019.html
複数の Cisco 製品に脆弱性
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Cisco WebEx Business Suite (WBS31) client builds T31.23.4 より前のバージョン
- Cisco WebEx Business Suite (WBS32) client builds T32.12 より前のバージョン
- Cisco WebEx Meetings with client builds T32.12 より前のバージョン
- Cisco WebEx Meeting Server builds 3.0 Patch 1 より前のバージョン
- Cisco Prime Data Center Network Manager (DCNM) 10.0、10.1、10.2
- Cisco Prime Infrastructure (PI) 3.2.1 より前の 3.2 系のバージョン
- Cisco Prime Infrastructure (PI) 3.1.7 Update 01 より前のバージョン
- Cisco Prime Infrastructure (PI) 2.2-FIPS
- Cisco Secure Access Control System (ACS) 5.8.0.32 Cumulative Patch 7 より前のバージョン
- Cisco Wireless LAN Controller (WLC) ソフトウェア 8.5.120.0 より前の 8.2 系、8.3系、8.4 系、8.5 系のバージョン
- Cisco Meeting Server (CMS) Acano X-series 上で稼働している CMS ソフトウェア 2.2.11 より前のバージョン
- Cisco Aironet 1800 Series
- Cisco Aironet 2800 Series
- Cisco Aironet 3800 Series
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco WebEx Advanced Recording Format Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180502-war
Cisco Security Advisory
Cisco Prime File Upload Servlet Path Traversal and Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180502-prime-upload
Cisco Security Advisory
Cisco Secure Access Control System Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180502-acs1
Cisco Security Advisory
Cisco Wireless LAN Controller 802.11 Management Frame Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180502-wlc-mfdos
Cisco Security Advisory
Cisco Wireless LAN Controller IP Fragment Reassembly Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180502-wlc-ip
Cisco Security Advisory
Cisco Meeting Server Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180502-cms-cx
Cisco Security Advisory
Cisco Aironet 1810, 1830, and 1850 Series Access Points Point-to-Point Tunneling Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180502-ap-ptp
Cisco Security Advisory
Cisco Aironet 1800, 2800, and 3800 Series Access Points Secure Shell Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180502-aironet-ssh
複数の Apple 製品に脆弱性
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Safari 11.1 およびそれ以前
- macOS High Sierra 10.13.4 (セキュリティアップデート 2018-001 未適用)
- iOS 11.3.1 より前のバージョン
この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。
Apple
Safari 11.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208741
Apple
セキュリティアップデート 2018-001 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208742
Apple
iOS 11.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT208743
PHP に複数の脆弱性
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。
対象となるバージョンは次のとおりです。
- PHP 7.2.5 より前のバージョン
- PHP 7.1.17 より前のバージョン
- PHP 7.0.30 より前のバージョン
- PHP 5.6.36 より前のバージョン
この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。
The PHP Group
PHP 7 ChangeLog Version 7.2.5
http://www.php.net/ChangeLog-7.php#7.2.5
The PHP Group
PHP 7 ChangeLog Version 7.1.17
http://www.php.net/ChangeLog-7.php#7.1.17
The PHP Group
PHP 7 ChangeLog Version 7.0.30
http://www.php.net/ChangeLog-7.php#7.0.30
The PHP Group
PHP 5 ChangeLog Version 5.6.36
http://www.php.net/ChangeLog-5.php#5.6.36
Center for Internet Security
Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2018-046/
Windows Host Compute Service Shim ライブラリに任意のコードが実行可能な脆弱性
Microsoft が提供する Windows Host Compute Service Shim ライブラリには、
コンテナイメージの入力を適切に処理できない脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Windows Host Compute Service Shim
この問題は、Windows Host Compute Service Shim ライブラリを Microsoft
が提供する修正済みのバージョンに更新することで解決します。詳細は、
Microsoft が提供する情報を参照してください。
Microsoft
CVE-2018-8115 | Windows Host Compute Service Shim Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8115
Microsoft
hcsshim v0.6.10
https://github.com/Microsoft/hcsshim/releases/tag/v0.6.10
Michael Hanselmann
Windows Host Compute Service Shim remote code execution vulnerability
https://hansmi.ch/articles/2018-04-windows-hcsshim-security
Joruri Gw に任意のファイルをアップロード可能な脆弱性
Joruri Gw には、任意のファイルをアップロードされる脆弱性があります。結
果として、サーバ上で PHP が実行可能になっている場合、当該製品のユーザ
が任意の PHP コードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Joruri Gw 3.2.0 およびそれ以前
2018年5月8日現在、この問題に対する解決策は提供されていません。次の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。
- PHP を実行する機能が不要な場合、PHP 実行に関するモジュールを削除して、必要最低限の機能のみの設定にする
- PHP を実行する機能が必要な場合、アップロードされた PHP ファイルが実行されないように Web サーバを設定する
詳細はサイトブリッジ株式会社が提供する情報を参照してください。
Japan Vulnerability Notes
サイトブリッジ株式会社からの情報
https://jvn.jp/jp/JVN95589314/995706/
株式会社セルシス製の複数の製品のインストーラに DLL 読み込みの脆弱性
株式会社セルシス製の複数の製品のインストーラには、DLL 読み込みに関する
脆弱性があります。結果として、第三者が任意のコードを実行する可能性があ
ります。
対象となる製品およびバージョンは次のとおりです。
- CLIP STUDIO PAINT (Windows 版) EX/PRO/DEBUT 1.7.3 およびそれ以前
- CLIP STUDIO ACTION (Windows 版) 1.5.5 およびそれ以前 (デジタル署名のタイムスタンプが 2018年4月25日 12:11:31 より前の版)
- CLIP STUDIO MODELER (Windows 版) 1.6.3 およびそれ以前 (デジタル署名のタイムスタンプが 2018年4月25日 17:02:49 より前の版)
この問題は、株式会社セルシスが提供する最新のインストーラでは解決してい
ます。なお、すでに該当の製品をインストールしている場合には、この問題の
影響はありません。詳細は、株式会社セルシスが提供する情報を参照してくだ
さい。
Japan Vulnerability Notes
株式会社セルシスからの情報
https://jvn.jp/jp/JVN68345747/996098/
複数の WordPress 用プラグインにクロスサイトスクリプティングの脆弱性
複数の WordPress 用プラグインには、クロスサイトスクリプティングの脆弱
性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のス
クリプトを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Events Manager 5.9 より前のバージョン
- WP Google Map Plugin 4.0.4 より前のバージョン
- PixelYourSite 5.3.0 より前のバージョン
- Open Graph for Facebook, Google+ and Twitter Card Tags 2.2.4.1 より前のバージョン
この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
Events Manager
Changelog
https://wordpress.org/plugins/events-manager/#developers
WP Google Map Plugin
Changelog
https://wordpress.org/plugins/wp-google-map-plugin/#developers
PixelYourSite
Changelog
https://wordpress.org/plugins/pixelyoursite/#developers
Open Graph for Facebook, Google+ and Twitter Card Tags
Changelog
https://wordpress.org/plugins/wonderm00ns-simple-facebook-open-graph-tags/#developers
Knot Resolver にサービス運用妨害 (DoS) の脆弱性
Knot Resolver には、脆弱性があります。結果として、遠隔の第三者が細工し
たパケットを送信することで、サービス運用妨害 (DoS) 攻撃を行う可能性が
あります。
対象となるバージョンは次のとおりです。
- Knot Resolver 2.3.0 より前のバージョン
この問題は、Knot Resolver を CZ.NIC が提供する修正済みのバージョンに更
新することで解決します。詳細は、CZ.NIC が提供する情報を参照してくださ
い。
CZ.NIC
Knot Resolver 2.3.0 released
https://www.knot-resolver.cz/2018-04-23-knot-resolver-2.3.0.html
「Internet Week ショーケース in 広島」参加登録開始のお知らせ
一般社団法人日本ネットワークインフォメーションセンターが主催する
「Internet Week ショーケース in 広島」が、2018年5月31日(木) から
6月1日(金) に開催されます。このショーケースは、Internet Week 2017 のプ
ログラムから厳選された、2018年に絶対押さえておきたい内容を 1日半に凝縮
したものです。知っておくべき最新技術情報の提供と、議論や課題解決、そし
て交流の場の提供を目的としています。
JPCERT/CC は、6月1日の「インシデント対応ハンズオン for ショーケース」
を担当します。
開催日程:2018年5月31日(木) - 6月1日(金)
開催場所:広島大学 東千田キャンパス 東千田未来創生センター
プログラム内容、参加費などの詳細は、Web ページをご確認ください。
一般社団法人日本ネットワークインフォメーションセンター
Internet Week ショーケース in 広島 開催概要
https://www.nic.ad.jp/sc-hiroshima/