JPCERT コーディネーションセンター

Weekly Report 2017-02-01号

JPCERT-WR-2017-0401
JPCERT/CC
2017-02-01

<<< JPCERT/CC WEEKLY REPORT 2017-02-01 >>>

■01/22(日)〜01/28(土) のセキュリティ関連情報

目 次

【1】複数の Mozilla 製品に脆弱性

【2】複数の Cisco 製品に脆弱性

【3】OpenSSL に複数の脆弱性

【4】複数の Apple 製品に脆弱性

【5】WordPress に複数の脆弱性

【6】Nessus にクロスサイトスクリプティングの脆弱性

【7】CubeCart にディレクトリトラバーサルの脆弱性

【8】Knowledge にクロスサイトリクエストフォージェリの脆弱性

【9】smalruby-editor に OS コマンドインジェクションの脆弱性

【今週のひとくちメモ】サイバーセキュリティ月間

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr170401.txt
https://www.jpcert.or.jp/wr/2017/wr170401.xml

【1】複数の Mozilla 製品に脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/01/24/Mozilla-Releases-Security-Updates

US-CERT Current Activity
Mozilla Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/01/26/Mozilla-Releases-Security-Update

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- Firefox 51 より前のバージョン
- Firefox ESR 45.7 より前のバージョン
- Thunderbird 45.7 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)

Mozilla
Mozilla Foundation Security Advisories (January 24, 2017 および January 26, 2017)
https://www.mozilla.org/en-US/security/advisories/

【2】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/01/24/Cisco-Releases-Security-Updates

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/01/25/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- Chrome 向け Cisco WebEx Extension 1.0.7 より前のバージョン
- Internet Explorer 向け GpcContainer Class ActiveX コントロール 10031.6.2017.0127 より前のバージョン
- Firefox 向け ActiveTouch General Plugin Container 106 より前のバージョン
- Cisco TelePresence MCU 5300 Series
- Cisco TelePresence MCU MSE 8510
- Cisco TelePresence MCU 4500
- Cisco Expressway Series Software X8.8.2 より前のバージョン
- Cisco TelePresence VCS Software X8.8.2 より前のバージョン
- Cisco Adaptive Security Appliance (ASA) CX Context-Aware Security module

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90868591
ウェブブラウザ向け Cisco WebEx 拡張機能に任意のコマンドが実行可能な脆弱性
https://jvn.jp/vu/JVNVU90868591/

関連文書 (英語)

Cisco Security Advisory
Cisco WebEx Browser Extension Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170124-webex

Cisco Security Advisory
Cisco TelePresence Multipoint Control Unit Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170125-telepresence

Cisco Security Advisory
Cisco Expressway Series and TelePresence VCS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170125-expressway

Cisco Security Advisory
Cisco Adaptive Security Appliance CX Context-Aware Security Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170125-cas

CERT/CC Vulnerability Note VU#909240
Cisco WebEx web browser extension allows arbitrary code execution
https://www.kb.cert.org/vuls/id/909240

【3】OpenSSL に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#92830136
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU92830136/

概要

OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者がサービ
ス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは以下の通りです。

- OpenSSL 1.1.0d より前のバージョン
- OpenSSL 1.0.2k より前のバージョン

この問題は、OpenSSL を、使用している OS のベンダや配布元が提供する修正
済みのバージョンに更新することで解決します。詳細は、開発者が提供する情
報を参照してください。

関連文書 (英語)

OpenSSL Project
OpenSSL Security Advisory [26 Jan 2017]
https://www.openssl.org/news/secadv/20170126.txt

【4】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/01/23/Apple-Releases-Security-Updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- watchOS 3.1.3 より前のバージョン
- tvOS 10.1.1 より前のバージョン
- iOS 10.2.1 より前のバージョン
- macOS Sierra 10.12.3 より前のバージョン
- iCloud for Windows 6.1.1 より前のバージョン
- Safari 10.0.3 より前のバージョン
- iTunes 12.5.5 for Windows より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#97915630
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU97915630/

関連文書 (英語)

Apple
About the security content of watchOS 3.1.3
https://support.apple.com/en-us/HT207487

Apple
About the security content of tvOS 10.1.1
https://support.apple.com/en-us/HT207485

Apple
About the security content of iOS 10.2.1
https://support.apple.com/en-us/HT207482

Apple
About the security content of macOS Sierra 10.12.3
https://support.apple.com/en-us/HT207483

Apple
About the security content of iCloud for Windows 6.1.1
https://support.apple.com/en-us/HT207481

Apple
About the security content of Safari 10.0.3
https://support.apple.com/en-us/HT207484

Apple
About the security content of iTunes 12.5.5 for Windows
https://support.apple.com/en-us/HT207486

【5】WordPress に複数の脆弱性

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/01/26/WordPress-Releases-Security-Update

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- WordPress 4.7.2 より前のバージョン

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。

関連文書 (日本語)

WordPress
WordPress 4.7.2 セキュリティリリース
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

【6】Nessus にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#12796388
Nessus におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN12796388/

概要

Nessus には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。

対象となるバージョンは以下の通りです。

- Nessus 6.9 より前のバージョン

この問題は、Nessus を Tenable Network Security, Inc. が提供する修正済
みのバージョンに更新することで解決します。詳細は、Tenable Network
Security,Inc. が提供する情報を参照してください。

関連文書 (英語)

Tenable Network Security, Inc.
Nessus 6.9 Fixes Multiple Vulnerabilities
https://www.tenable.com/security/tns-2016-16

【7】CubeCart にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#81618356
CubeCart におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN81618356/

概要

CubeCart には、ディレクトリトラバーサルの脆弱性があります。結果として、
遠隔の第三者が任意のファイルにアクセスする可能性があります。

対象となるバージョンは以下の通りです。

- CubeCart 6.1.4 より前のバージョン

この問題は、CubeCart を CubeCart Limited が提供する修正済みのバージョン
に更新することで解決します。詳細は、CubeCart Limited が提供する情報を
参照してください。

関連文書 (英語)

CubeCart
CubeCart 6.1.4 Released
https://forums.cubecart.com/topic/52088-cubecart-614-released/

【8】Knowledge にクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#09460804
Knowledge におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN09460804/

概要

Knowledge には、クロスサイトリクエストフォージェリの脆弱性があります。
結果として、遠隔の第三者が、ユーザの意図しない操作を行う可能性がありま
す。

対象となるバージョンは以下の通りです。

- Knowledge v1.7.0 より前のバージョン

この問題は、Knowledge を support-project.org が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、support-project.org が提供す
る情報を参照してください。

関連文書 (日本語)

support-project.org
Release v1.7.0
https://github.com/support-project/knowledge/releases

【9】smalruby-editor に OS コマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#50197114
smalruby-editor における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN50197114/

概要

smalruby-editor には、OS コマンドインジェクションの脆弱性があります。
結果として、遠隔の第三者が任意の OS コマンドを実行する可能性がありま
す。

対象となるバージョンは以下の通りです。

- smalruby-editor v0.4.0 およびそれ以前

この問題は、smalruby-editor を NPO法人Rubyプログラミング少年団が提供す
る修正済みのバージョンに更新することで解決します。詳細は、NPO法人Ruby
プログラミング少年団が提供する情報を参照してください。

関連文書 (日本語)

NPO法人Rubyプログラミング少年団
新しいスモウルビー(smalruby-editor 0.4.1、smalruby 0.1.11)を公開しました!
http://smalruby.jp/blog/2017/01/14/smalruby-editor-0-4-1-has-been-released.html

■今週のひとくちメモ

○サイバーセキュリティ月間

2月1日から 3月18日は、「サイバーセキュリティ月間」です。
一人でも多くの方々にセキュリティについて関心を高め、理解を深めてもらう
ため、シンポジウムをはじめ、様々なイベントが開催されます。興味のある方
は、是非参加をご検討ください。

参考文献 (日本語)

内閣サイバーセキュリティセンター (NISC)
サイバーセキュリティ月間
http://www.nisc.go.jp/security-site/month/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter