JPCERT コーディネーションセンター

Weekly Report 2017-03-15号

JPCERT-WR-2017-1001
JPCERT/CC
2017-03-15

<<< JPCERT/CC WEEKLY REPORT 2017-03-15 >>>

■03/05(日)〜03/11(土) のセキュリティ関連情報

目 次

【1】Apache Struts2 に任意のコードが実行可能な脆弱性

【2】複数の Mozilla 製品に脆弱性

【3】WordPress に複数の脆弱性

【4】PHP FormMail Generator で作成した PHP コードに複数の脆弱性

【5】OneThird CMS にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】JIPDEC が中小企業の改正個人情報保護法への対応状況についてのアンケート結果を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr171001.txt
https://www.jpcert.or.jp/wr/2017/wr171001.xml

【1】Apache Struts2 に任意のコードが実行可能な脆弱性

情報源

US-CERT Current Activity
Apache Software Foundation Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/03/08/Apache-Software-Foundation-Releases-Security-Updates

概要

Apache Struts2 には、脆弱性があります。結果として、遠隔の第三者が、細
工したリクエストを送信することで、任意のコードを実行する可能性がありま
す。

対象となるバージョンは以下の通りです。

- Apache Struts 2.3.5 から 2.3.31 まで
- Apache Struts 2.5 から 2.5.10 まで

この問題は、Apache Struts を Apache Software Foundation が提供する修正
済みのバージョンに更新することで解決します。詳細は、Apache Software
Foundation が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#93610402
Apache Struts2 に任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU93610402/

JPCERT/CC Alert 2017-03-09
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170009.html

関連文書 (英語)

Apache Struts 2 Documentation
S2-045
https://cwiki.apache.org/confluence/display/WW/S2-045

【2】複数の Mozilla 製品に脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/03/07/Mozilla-Releases-Security-Update

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Firefox 52 より前のバージョン
- Firefox ESR 45.8 より前のバージョン
- Thunderbird 45.8 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2017 年 3 月 7 日)
http://www.mozilla-japan.org/security/announce/

【3】WordPress に複数の脆弱性

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/03/06/WordPress-Releases-Security-Update

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- WordPress 4.7.3 より前のバージョン

この問題は、WordPress を WordPress が提供する修正済みのバージョンに更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。

関連文書 (日本語)

WordPress
WordPress 4.7.3 セキュリティ・メンテナンスリリース
https://ja.wordpress.org/2017/03/07/wordpress-4-7-3-security-and-maintenance-release/

【4】PHP FormMail Generator で作成した PHP コードに複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#608591
PHP FormMail Generator generates code vulnerable to multiple issues
https://www.kb.cert.org/vuls/id/608591

概要

PHP FormMail Generator で作成した PHP コードには、複数の脆弱性がありま
す。結果として、遠隔の第三者が、任意の PHP コードを実行したり、ユーザ
のブラウザ上で任意のスクリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- 2016年12月17日より前に PHP FormMail Generator で生成した PHP コード

この問題は、PHP コードを 2016年12月17日以降の PHP FormMail Generator
で再生成することで解決します。ただし、2017年3月14日現在、問題の一部は
修正されているか不明です。以下の回避策を適用することで、修正されていな
い問題の影響を軽減することが可能です。

- 問題となるフィールドの処理において PHP htmlentities() を適用する形に変更する

詳細は、PHP Form Mail Maker が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#96141589
PHP FormMail Generator で作成した PHP コードに複数の脆弱性
https://jvn.jp/vu/JVNVU96141589/

【5】OneThird CMS にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#49408248
OneThird CMS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN49408248/

Japan Vulnerability Notes JVN#13003724
OneThird CMS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN13003724/

概要

OneThird CMS には、クロスサイトスクリプティングの脆弱性があります。結
果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行す
る可能性があります。

対象となるバージョンは以下の通りです。

- OneThird CMS v1.73 Heaven's Door およびそれ以前

この問題は、OneThird CMS を SpiQeソフトウェアが提供する修正済みのバー
ジョンに更新することで解決します。詳細は、SpiQeソフトウェアが提供する
情報を参照してください。

関連文書 (日本語)

SpiQeソフトウェア
v1.7x Heaven's Door 脆弱性に関するお知らせ
https://onethird.net/p1277.html

■今週のひとくちメモ

○JIPDEC が中小企業の改正個人情報保護法への対応状況についてのアンケート結果を公開

2017年3月6日、日本情報経済社会推進協会 (JIPDEC) は、中小企業の改正個人
情報保護法への対応状況についてのアンケート結果に関するニュースリリース
を公開しました。このニュースリリースは、2016年および 2017年に開催され
た「中小企業向け改正個人情報保護法実務対応セミナー」の参加者に対して行っ
たアンケート結果をまとめたものです。今年の 5月30日に全面施行となる改正
個人情報保護法への対応状況や、情報管理実施上の問題点などについて、中小
企業の回答がまとめられています。

参考文献 (日本語)

日本情報経済社会推進協会 (JIPDEC)
改正個人情報保護法対応 春頃までに体制構築対応を予定している企業は6割、対応済は1割に満たず
https://www.jipdec.or.jp/topics/news/20170310.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter