<<< JPCERT/CC WEEKLY REPORT 2016-10-13 >>>
■10/02(日)〜10/08(土) のセキュリティ関連情報
目 次
【1】Xen に脆弱性
【2】複数の Cisco 製品に脆弱性
【3】サイボウズ Office に複数の脆弱性
【4】Cryptography API: Next Generation (CNG) にサービス運用妨害 (DoS) の脆弱性
【5】Wireshark に複数の脆弱性
【6】SetucoCMS に複数の脆弱性
【7】L-04D にクロスサイトリクエストフォージェリの脆弱性
【8】「フィッシング対策セミナー 2016」開催のお知らせ
【9】「第8回TCG日本支部(JRF)公開ワークショップ」開催のお知らせ
【今週のひとくちメモ】経済産業省が広報誌「METI Journal 経済産業ジャーナル平成28年10・11月号」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr164001.txt
https://www.jpcert.or.jp/wr/2016/wr164001.xml
【1】Xen に脆弱性
情報源
Xen Project
CR0.TS and CR0.EM not always honored for x86 HVM guests
https://xenbits.xen.org/xsa/advisory-190.html
概要
Xen には脆弱性があります。結果として、ゲストユーザが、同一ゲスト OS 上 の機微な情報を読み取ったり、改ざんしたりする可能性があります。 対象となるバージョンは以下の通りです。 - xen-unstable, Xen 4.7.x, 4.6.x, 4.5.x, 4.4.x この問題は、Xen Project が提供するパッチを適用することで解決します。詳 細は、Xen Project が提供する情報を参照してください。
【2】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/10/05/Cisco-Releases-Security-Updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品は以下の通りです。 - Multilayer Director Switches - Nexus 1000V Series Switches - Nexus 2000 Series Fabric Extenders - Nexus 3000 Series Switches - Nexus 3500 Platform Switches - Nexus 4000 Series Switches - Nexus 5000 Series Switches - Nexus 5500 Platform Switches - Nexus 5600 Platform Switches - Nexus 6000 Series Switches - Nexus 7000 Series Switches - Nexus 7700 Series Switches - Nexus 9000 Series Switches in Application Centric Infrastructure (ACI) mode - Nexus 9000 Series Switches in NX-OS mode この問題は、該当する製品を、Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco NX-OS Software-Based Products Authentication, Authorization, and Accounting Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-nxaaaCisco Security Advisory
Cisco Nexus 7000 and 7700 Series Switches Overlay Transport Virtualization Buffer Overflow Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-otvCisco Security Advisory
Cisco NX-OS Border Gateway Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-bgpCisco Security Advisory
Cisco NX-OS Software Crafted DHCPv4 Packet Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-dhcp1Cisco Security Advisory
Cisco NX-OS Software Malformed DHCPv4 Packet Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-dhcp2
【3】サイボウズ Office に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#06726266
サイボウズ Office における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN06726266/Japan Vulnerability Notes JVN#07148816
サイボウズ Office における複数のアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN07148816/Japan Vulnerability Notes JVN#08736331
サイボウズ Office におけるメールヘッダインジェクションの脆弱性
https://jvn.jp/jp/JVN08736331/Japan Vulnerability Notes JVN#09736331
サイボウズ Office における情報漏えいの脆弱性
https://jvn.jp/jp/JVN09736331/Japan Vulnerability Notes JVN#10092452
サイボウズ Office におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN10092452/Japan Vulnerability Notes JVN#11288252
サイボウズ Office における意図しないファイルをダウンロードさせられる脆弱性
https://jvn.jp/jp/JVN11288252/
概要
サイボウズ Office には、複数の脆弱性があります。結果として、遠隔の第三 者が、ユーザの意図しないメールを送信したり、サービス運用妨害 (DoS) 攻 撃を行ったり、ユーザのブラウザ上で任意のスクリプトを実行したりするなど の可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ Office 9.0.0 から 10.4.0 まで この問題は、サイボウズ Office を、サイボウズ株式会社が提供する修正済み のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提 供する情報を参照してください。
関連文書 (日本語)
サイボウズ株式会社
サイボウズ Office 10 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2016/006267.htmlサイボウズ株式会社
[CyVDB-910]カスタムアプリに関するクロスサイトスクリプティングの脆弱性
https://support.cybozu.com/ja-jp/article/9427サイボウズ株式会社
[CyVDB-771]プロジェクトに関するクロスサイトスクリプティングの脆弱性
https://support.cybozu.com/ja-jp/article/9431サイボウズ株式会社
[CyVDB-770]カスタムアプリに関するクロスサイトスクリプティングの脆弱性
https://support.cybozu.com/ja-jp/article/9430サイボウズ株式会社
[CyVDB-1090]プロジェクトに関する閲覧制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/9424サイボウズ株式会社
[CyVDB-1144]プロジェクトに関する操作制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/9442サイボウズ株式会社
[CyVDB-777]プロジェクトに関する閲覧制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/9429サイボウズ株式会社
[CyVDB-809]メールヘッダインジェクションの脆弱性
https://support.cybozu.com/ja-jp/article/9433サイボウズ株式会社
[CyVDB-858]CGI環境変数に関する情報漏えいの脆弱性
https://support.cybozu.com/ja-jp/article/9428サイボウズ株式会社
[CyVDB-956]スケジュールに関する不適切な入力確認の脆弱性
https://support.cybozu.com/ja-jp/article/9426サイボウズ株式会社
[CyVDB-1136]ファイル書き出し処理におけるReflected File Downloadの脆弱性
https://support.cybozu.com/ja-jp/article/9434
【4】Cryptography API: Next Generation (CNG) にサービス運用妨害 (DoS) の脆弱性
情報源
Japan Vulnerability Notes JVN#20786316
Cryptography API: Next Generation (CNG) におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN20786316/
概要
Cryptography API: Next Generation (CNG) には、脆弱性があります。結果と して、第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - Windows 7 以前に含まれる Cryptography API: Next Generation (CNG) この問題は、OS を Windows 8.1 以降に更新することで解決します。詳細は、 Microsoft が提供する情報を参照してください。
【5】Wireshark に複数の脆弱性
情報源
Wireshark
Wireshark 2.2.1 and 2.0.7 Released
https://www.wireshark.org/news/20161004.html
概要
Wireshark には複数の脆弱性があります。結果として、第三者が細工したパケッ トデータを読み込ませることで、サービス運用妨害 (DoS) 攻撃を行う可能性 があります。 対象となるバージョンは以下の通りです。 - Wireshark 2.2.0 この問題は、Wireshark を、Wireshark が提供する修正済みのバージョンに更 新することで解決します。詳細は、Wireshark が提供する情報を参照してくだ さい。
関連文書 (英語)
Wireshark
Wireshark 2.2.1 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.2.1.html
【6】SetucoCMS に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#80157683
SetucoCMS における複数の脆弱性
https://jvn.jp/jp/JVN80157683/
概要
SetucoCMS には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユーザ のブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となる製品は以下の通りです。 - SetucoCMS 2016年10月13日現在、SetucoCMS の開発は終了しています。SetucoCMS の使用 を停止してください。
関連文書 (日本語)
SetucoCMSプロジェクト
SetucoCMS
https://ja.osdn.net/projects/setucocms/
【7】L-04D にクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#46351856
L-04D におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN46351856/
概要
L-04D には、クロスサイトリクエストフォージェリの脆弱性があります。結果 として、遠隔の第三者が、ログインしているユーザに細工したページを開かせ ることで、ユーザの意図しない操作を行う可能性があります。 対象となるバージョンは以下の通りです。 - L-04D ファームウェアバージョン V10a および V10b この問題は、L-04D のファームウェアを、株式会社NTTドコモが提供する修正 済みのバージョンに更新することで解決します。詳細は、株式会社NTTドコモ が提供する情報を参照してください。
関連文書 (日本語)
株式会社NTTドコモ
L-04Dの製品アップデート情報
https://www.nttdocomo.co.jp/support/utilization/product_update/list/l04d/index.html
【8】「フィッシング対策セミナー 2016」開催のお知らせ
情報源
フィッシング対策協議会
フィッシング対策セミナー 2016 開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2016.html
概要
フィッシング対策協議会では、「フィッシング対策セミナー 2016」を開催い
たします。本セミナーではフィッシング詐欺に関連する法執行機関、E コマー
ス、金融機関、学術機関の 4者それぞれの専門的な立場から、最新の情報と詐
欺の傾向、その対応策などをご紹介いたします。
参加費は無料ですが、事前に参加申込みが必要となります。満席になり次第、
受付終了とさせていただきますので、ご了承ください。
日時および場所:
2016年11月22日(火) 13:00 - 18:00 (受付開始 12:15)
大崎ブライトコア (JR 大崎駅 新東口)
〒141-0001 東京都品川区北品川5丁目5番15号 大崎ブライトコア3階
http://osaki-hall.jp/access/
【9】「第8回TCG日本支部(JRF)公開ワークショップ」開催のお知らせ
情報源
TCG日本支部(JRF)
TCG日本支部(JRF) セキュリティワークショップ
https://www.trustedcomputinggroup.org/work-groups/regional-forums/japan/jrfworkshop
概要
TCG日本支部(JRF) 主催の第8回公開セキュリティワークショップが開催されま
す。今回のテーマは「IoT、組み込み系システム機器に求められるセキュリティ」
です。JPCERT/CC は、本ワークショップに協力し、講演を行います。
日時および場所:
2016年11月2日(水) 13:30 - 19:30
秋葉原UDX 4F GALLERY NEXT1 & NEXT3
〒101-0021 東京都千代田区外神田4丁目14番1号
■今週のひとくちメモ
○経済産業省が広報誌「METI Journal 経済産業ジャーナル平成28年10・11月号」を公開
経済産業省が広報誌「METI Journal 経済産業ジャーナル平成28年10・11月号」 を公開しました。同誌では、「進めてる? サイバーセキュリティ対策」とし てサイバー攻撃への対処法や、サイバーセキュリティ対策の実践例などを紹介 しています。
参考文献 (日本語)
経済産業省
METI Journal 経済産業ジャーナル平成28年10・11月号
http://www.meti.go.jp/publication/data/2016_10.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
