JPCERT コーディネーションセンター

Weekly Report 2016-06-22号

JPCERT-WR-2016-2401
JPCERT/CC
2016-06-22

<<< JPCERT/CC WEEKLY REPORT 2016-06-22 >>>

■06/12(日)〜06/18(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】VMware vCenter Server にクロスサイトスクリプティングの脆弱性

【4】複数の Cisco 製品に脆弱性

【5】Deep Discovery Inspector に任意のコードを実行可能な脆弱性

【6】ETX-R に複数の脆弱性

【今週のひとくちメモ】NICT と IPA が「CRYPTREC Report 2015」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr162401.txt
https://www.jpcert.or.jp/wr/2016/wr162401.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases June 2016 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2016/06/14/Microsoft-Releases-June-2016-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Edge
- Microsoft Office
- Microsoft Office Services および Web Apps
- Microsoft Exchange Server

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2016 年 6 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms16-Jun

JPCERT/CC Alert 2016-06-15
2016年 6月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160025.html

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/06/14/Adobe-Releases-Security-Updates

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/06/16/Adobe-Releases-Security-Updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player デスクトップランタイム 21.0.0.242 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 継続サポートリリース 18.0.0.352 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 11.2.202.621 およびそれ以前 (Linux 版)
- Adobe AIR デスクトップランタイム 21.0.0.215 およびそれ以前 (Windows 版)
- Adobe DNG Software Development Kit (SDK) 1.4 (2012 年リリース) およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Brackets 1.6 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
- Creative Cloud デスクトップアプリケーション Creative Cloud 3.6.0.248 およびそれ以前 (Windows 版)
- ColdFusion (2016 リリース) アップデート 1
- ColdFusion 11 アップデート 8 およびそれ以前
- ColdFusion 10 アップデート 19 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
るか、ホットフィックスを適用することで解決します。詳細は、Adobe が提供
する情報を参照してください。

関連文書 (日本語)

Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-18.html

Adobe セキュリティ情報
Adobe DNG Software Development Kit (SDK)用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/dng-sdk/apsb16-19.html

Adobe セキュリティ情報
Adobe Brackets 用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/brackets/apsb16-20.html

Adobe セキュリティ情報
Creative Cloud デスクトップアプリケーション用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb16-21.html

Adobe セキュリティ情報
セキュリティアップデート:ColdFusion用ホットフィックス公開
https://helpx.adobe.com/jp/security/products/coldfusion/apsb16-22.html

Adobe セキュリティ情報
Adobe AIR 用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/air/apsb16-23.html

Japan Vulnerability Notes JVNVU#99609116
Adobe Flash Player にメモリ破損の脆弱性
https://jvn.jp/vu/JVNVU99609116/

JPCERT/CC Alert 2016-06-17
Adobe Flash Player の脆弱性 (APSB16-18) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160026.html

【3】VMware vCenter Server にクロスサイトスクリプティングの脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/06/15/VMware-Releases-Security-Updates

概要

VMware vCenter Server には、脆弱性があります。結果として、遠隔の第三者
が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- VMware vCenter Server 5.5 update 2d より前のバージョンの 5.5 系
- VMware vCenter Server 5.1 update 3d より前のバージョンの 5.1 系
- VMware vCenter Server 5.0 update 3g より前のバージョンの 5.0 系

この問題は、VMware が提供する修正済みのバージョンに vCenter Server を
更新することで解決します。詳細は、VMware が提供する情報を参照してくだ
さい。

関連文書 (英語)

VMware Security Advisories
VMware vCenter Server updates address an important reflective cross-site scripting issue
https://www.vmware.com/security/advisories/VMSA-2016-0009.html

【4】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/06/15/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行し
たりするなどの可能性があります。

対象となる製品は以下の通りです。

- RV110W Wireless-N VPN Firewall
- RV130W Wireless-N Multifunction VPN Router
- RV215W Wireless-N VPN Router

この問題は、Cisco が提供する修正済みのバージョンに該当する製品のファー
ムウェアを更新することで解決します。なお、RV110W Wireless-N VPN Firewall
および RV215W Wireless-N VPN Router では、cisco-sa-20160615-rv への対
策が完了していません。修正済みのファームウェアは、2016年第3四半期にリ
リースされるとのことです。詳細は、Cisco が提供する情報を参照してくださ
い。

関連文書 (英語)

Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160615-rv

Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160615-rv1

Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers HTTP Request Buffer Overflow Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160615-rv2

Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers HTTP Request Buffer Overflow Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160615-rv3

【5】Deep Discovery Inspector に任意のコードを実行可能な脆弱性

情報源

Japan Vulnerability Notes JVN#55428526
Deep Discovery Inspector において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN55428526/

概要

Deep Discovery Inspector には、任意のコードを実行可能な脆弱性がありま
す。結果として、管理者権限でアクセス可能なユーザが、任意のコードを実行
する可能性があります。

対象となるバージョンは以下の通りです。

- Deep Discovery Inspector 3.8 SP1 (3.81)
- Deep Discovery Inspector 3.7

この問題は、トレンドマイクロ株式会社が提供するパッチを Deep Discovery
Inspector に適用することで解決します。詳細は、トレンドマイクロ株式会社
が提供する情報を参照してください。

関連文書 (日本語)

トレンドマイクロ
アラート/アドバイザリ:ZDI-CAN-3567 Deep Discovery Inspectorのリモートコード実行の脆弱性について
http://esupport.trendmicro.com/solution/ja-JP/1114332.aspx

【6】ETX-R に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#96052093
ETX-R におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN96052093/

Japan Vulnerability Notes JVN#61317238
ETX-R におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN61317238/

概要

ETX-R には、複数の脆弱性があります。結果として、遠隔の第三者が、サービ
ス運用妨害 (DoS) 攻撃を行ったり、ユーザの意図しない操作を行ったりする
可能性があります。

対象となる製品は以下の通りです。

- ETX-R

2016年6月21日現在、対策済みのバージョンは公開されていません。以下の回
避策を適用することで、本脆弱性の影響を軽減することが可能です。

- 「インターネットからのping拒否」を有効にする
- 当該製品にログインしている間、他のウェブサイトにアクセスしない
- 設定画面を閉じる際は必ずログアウトをクリックする
- 設定画面から管理者タイムアウトの時間を設定する

詳細は、株式会社アイ・オー・データ機器が提供する情報を参照してください。

関連文書 (日本語)

株式会社アイ・オー・データ機器
有線ルーター「ETX-R」セキュリティの脆弱性について
http://www.iodata.jp/support/information/2016/etx-r/

■今週のひとくちメモ

○NICT と IPA が「CRYPTREC Report 2015」を公開

2016年6月17日、国立研究開発法人情報通信研究機構 (NICT) と独立行政法人
情報処理推進機構 (IPA) は、「CRYPTREC Report 2015」を公開しました。
CRYPTREC 暗号の安全性確保等を行う「暗号技術評価委員会」と、CRYPTREC 暗
号の利活用に関する調査・検討等を行う「暗号技術活用委員会」それぞれの活
動が報告されています。

参考文献 (日本語)

CRYPTREC
CRYPTREC Report 2015の公開
http://www.cryptrec.go.jp/topics/cryptrec_20160617_c15report.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter