JPCERT-WR-2018-2801
2018-07-25
2018-07-15
2018-07-21
2018年 7月 Oracle Critical Patch Update について
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。
JPCERT/CC Alert 2018-07-18
2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180029.html
Oracle
Oracle Critical Patch Update Advisory - July 2018
https://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
複数の Cisco 製品に脆弱性
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなど
の可能性があります。
対象となる製品は次のとおりです。
- Cisco Policy Suite
- Cisco Webex Meetings Suite (WBS31)
- Cisco Webex Meetings Suite (WBS32)
- Cisco Webex Meetings Suite (WBS33)
- Cisco Webex Meetings Online
- Cisco Webex Meetings Server
- Cisco SD-WAN Solution 18.3.0 より前のバージョンが動作している vBond Orchestrator
- Cisco SD-WAN Solution 18.3.0 より前のバージョンが動作している vEdge 100 Series Routers
- Cisco SD-WAN Solution 18.3.0 より前のバージョンが動作している vEdge 1000 Series Routers
- Cisco SD-WAN Solution 18.3.0 より前のバージョンが動作している vEdge 2000 Series Routers
- Cisco SD-WAN Solution 18.3.0 より前のバージョンが動作している vEdge 5000 Series Routers
- Cisco SD-WAN Solution 18.3.0 より前のバージョンが動作している vEdge Cloud Router Platform
- Cisco SD-WAN Solution 18.3.0 より前のバージョンが動作している vManage Network Management
- Cisco SD-WAN Solution 18.3.0 より前のバージョンが動作している vSmart Controller
- Cisco Nexus 9000 Series Fabric Switches
- Cisco Webex Teams (Windows版, MacOS版)
- Cisco Webex
- Cisco Unified Communications Manager IM and Presence Service
- Cisco Unified Contact Center Express
- Cisco Finesse
- Cisco Cloud Services Platform 2100
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco Policy Suite Policy Builder Unauthenticated Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-pspb-unauth-access
Cisco Security Advisory
Cisco Policy Suite OSGi Interface Unauthenticated Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-ps-osgi-unauth-access
Cisco Security Advisory
Cisco Policy Suite Policy Builder Database Unauthenticated Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-policy-unauth-access
Cisco Security Advisory
Cisco Policy Suite Cluster Manager Default Password Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-policy-cm-default-psswrd
Cisco Security Advisory
Cisco Webex Network Recording Players Remote Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-webex-rce
Cisco Security Advisory
Cisco SD-WAN Solution Arbitrary File Overwrite Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-sdwan-fo
Cisco Security Advisory
Cisco SD-WAN Solution Zero Touch Provisioning Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-sdwan-dos
Cisco Security Advisory
Cisco SD-WAN Solution Configuration and Management Database Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-sdwan-cx
Cisco Security Advisory
Cisco SD-WAN Solution Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-sdwan-coinj
Cisco Security Advisory
Cisco SD-WAN Solution CLI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-sdwan-cmdnjct
Cisco Security Advisory
Cisco SD-WAN Solution VPN Subsystem Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-sdwan-cmdinj
Cisco Security Advisory
Cisco SD-WAN Solution Zero Touch Provisioning Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-sdwan-ci
Cisco Security Advisory
Cisco Nexus 9000 Series Fabric Switches Application-Centric Infrastructure Mode DHCP Version 6 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-20180718-nexus-9000-dos
Cisco Security Advisory
Cisco Webex Teams Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-webex-teams-rce
Cisco Security Advisory
Cisco Webex Network Recording Players Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-webex-dos
Cisco Security Advisory
Cisco Webex DOM-Based Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-webex-DOM-xss
Cisco Security Advisory
Cisco Unified Communications Manager IM And Presence Service Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-ucmim-ps-xss
Cisco Security Advisory
Multiple Vulnerabilities in Cisco Unified Contact Center Express
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-uccx
Cisco Security Advisory
Cisco SD-WAN Solution Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-sd-wan-code-ex
Cisco Security Advisory
Cisco SD-WAN Solution Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-sd-wan-cmd-inject
Cisco Security Advisory
Cisco SD-WAN Solution Local Buffer Overflow Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-sd-wan-bo
Cisco Security Advisory
Cisco Policy Suite World-Readable Sensitive Data Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-policy-suite-data
Cisco Security Advisory
Cisco Policy Suite Read-Only User Effect Change Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-policy-suite-change
Cisco Security Advisory
Multiple Vulnerabilities in Cisco Finesse
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-finesse
Cisco Security Advisory
Cisco Cloud Services Platform 2100 Web Upload Function Code Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-csp2100-injection
PHP に複数の脆弱性
PHP には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運
用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となるバージョンは次のとおりです。
- PHP 7.2.8 より前のバージョン
- PHP 7.1.20 より前のバージョン
- PHP 7.0.31 より前のバージョン
- PHP 5.6.37 より前のバージョン
この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。
The PHP Group
PHP 7 ChangeLog Version 7.2.8
http://www.php.net/ChangeLog-7.php#7.2.8
The PHP Group
PHP 7 ChangeLog Version 7.1.20
http://www.php.net/ChangeLog-7.php#7.1.20
The PHP Group
PHP 7 ChangeLog Version 7.0.31
http://www.php.net/ChangeLog-7.php#7.0.31
The PHP Group
PHP 5 ChangeLog Version 5.6.37
http://www.php.net/ChangeLog-5.php#5.6.37
Wireshark に複数の脆弱性
Wireshark には複数の脆弱性があります。結果として、遠隔の第三者がサービ
ス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは次のとおりです。
- Wireshark 2.6.2 より前のバージョン
- Wireshark 2.4.8 より前のバージョン
- Wireshark 2.2.16 より前のバージョン
この問題は、Wireshark を Wireshark が提供する修正済みのバージョンに更
新することで解決します。詳細は、Wireshark が提供する情報を参照してくだ
さい。
Wireshark
Wireshark 2.6.2 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.6.2.html
Wireshark
Wireshark 2.4.8 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.4.8.html
Wireshark
Wireshark 2.2.16 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.2.16.html
日医標準レセプトソフトに複数の脆弱性
日医標準レセプトソフトには、複数の脆弱性があります。結果として、該当の
製品が接続しているネットワークにアクセス可能な第三者が、任意のコマンド
を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性がありま
す。
対象となるバージョンは次のとおりです。
- Ubuntu14.04 日医標準レセプトソフト4.8.0(panda-server) 1:1.4.9+p41-u4jma1 およびそれ以前
- Ubuntu14.04 日医標準レセプトソフト4.8.0(panda-client2) 1:1.4.9+p41-u4jma1 およびそれ以前
- Ubuntu14.04 日医標準レセプトソフト5.0.0(panda-client2) 1:2.0.0+p48-u4jma1 およびそれ以前
- Ubuntu16.04 日医標準レセプトソフト5.0.0(panda-client2) 1:2.0.0+p48-u5jma1 およびそれ以前
この問題は、日医標準レセプトソフトを日本医師会ORCA管理機構株式会社
が提供する修正済みのバージョンに更新することで解決します。詳細は、日本
医師会ORCA管理機構株式会社が提供する情報を参照してください。
日本医師会ORCA管理機構株式会社
日医標準レセプトソフトにおける脆弱性情報
https://www.orca.med.or.jp/news/vulnerability_2018-07-18-1.html
Movable Type 用プラグイン MTAppjQuery に任意の PHP コードが実行可能な脆弱性
Movable Type 用プラグイン MTAppjQuery には、アップロードした PHP ファ
イル内の任意のコードが実行可能な脆弱性があります。
対象となるバージョンは次のとおりです。
- MTAppjQuery 1.8.1 およびそれ以前
この問題は、MTAppjQuery を bit part 合同会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、bit part 合同会社が提供する情報を
参照してください。
bit part 合同会社
【再掲】MTAppjQuery v1.8.1 以前に同梱されている Uploadify への不正アクセス対応について
https://bit-part.net/news/2018/07/mtappjquery-20180717.html
弥生 17 シリーズの複数の製品に DLL 読み込みに関する脆弱性
弥生株式会社が提供する弥生 17 シリーズの複数の製品には、DLL 読み込みに
関する脆弱性があります。結果として、第三者が任意のコードを実行する可能
性があります。
対象となる製品およびバージョンは次のとおりです。
- 弥生会計 17 シリーズ Ver.23.1.1 およびそれ以前
- やよいの青色申告17 Ver.23.1.1 およびそれ以前
- 弥生給与 17 Ver.20.1.4 およびそれ以前
- やよいの給与計算 17 Ver.20.1.4 およびそれ以前
- 弥生販売 17 シリーズ Ver.20.0.2 およびそれ以前
- やよいの顧客管理 17 Ver.11.0.2 およびそれ以前
この問題は、該当する製品を弥生株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、弥生株式会社が提供する情報を参照して
ください。
弥生株式会社
弥生 17 シリーズ
https://www.yayoi-kk.co.jp/yss/download/17.html
WordPress 用プラグイン FV Flowplayer Video Player にクロスサイトスクリプティングの脆弱性
WordPress 用プラグイン FV Flowplayer Video Player には、クロスサイトス
クリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザの
ブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは次のとおりです。
- FV Flowplayer Video Player 6.1.2 から 6.6.4 まで
この問題は、FV Flowplayer Video Player を FolioVision が提供する修正済
みのバージョンに更新することで解決します。詳細は、FolioVision が提供す
る情報を参照してください。
FolioVision
FV Flowplayer Video Player
https://wordpress.org/plugins/fv-wordpress-flowplayer/#developers
WL-330NUL にクロスサイトリクエストフォージェリの脆弱性
ASUS JAPAN株式会社が提供する WL-330NUL には、クロスサイトリクエストフォー
ジェリの脆弱性があります。結果として、遠隔の第三者が、細工したコンテン
ツをユーザに開かせることで、ユーザの意図しない操作を実行する可能性があ
ります。
対象となるバージョンは次のとおりです。
- WL-330NUL Firmware version 3.0.0.46 より前のバージョン
この問題は、WL-330NUL を ASUS JAPAN株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、ASUS JAPAN株式会社が提供する情報を
参照してください。
ASUS JAPAN株式会社
WL-330NUL BIOS & FIRMWARE
https://www.asus.com/jp/Networking/WL330NUL/HelpDesk_BIOS/
「PSIRT Services Framework Version 1.0 Draft 日本語抄訳」を公開
JPCERT/CC は Software ISAC (一般社団法人コンピュータソフトウェア協会)
と共同で、FIRST が作成し公表した「PSIRT Services Framework Version
1.0 Draft」の翻訳を行いました。この文書「PSIRT Services Framework
Version 1.0 Draft 日本語抄訳」は、Panasonic PSIRT と Sony PSIRT による
レビューを経て 2018年7月19日、FIRST の Web サイトにて公開していただき
ました。
PSIRT (Product Security Incident Response Team) は、組織が提供する製品
の脆弱性に起因するリスクに対応するための組織内機能です。本フレームワー
クは、PSIRT のコンセプトと全体像、さらに PSIRT に求められる事項につい
て説明しています。既に PSIRT を設置している組織や、これから設置を検討
されている組織は、ぜひ参考にしてください。
JPCERT/CC
FIRST PSIRT Services Framework
https://www.jpcert.or.jp/research/psirtSF.html