JPCERT コーディネーションセンター

Weekly Report 2017-05-10号

JPCERT-WR-2017-1701
JPCERT/CC
2017-05-10

<<< JPCERT/CC WEEKLY REPORT 2017-05-10 >>>

■04/23(日)〜05/06(土) のセキュリティ関連情報

目 次

【1】Ghostscript に任意のコードが実行可能な脆弱性

【2】複数の Intel 製品に脆弱性

【3】複数の Mozilla 製品に脆弱性

【4】複数の Cisco 製品に脆弱性

【5】Adobe ColdFusion に複数の脆弱性

【6】Portrait Displays SDK を使用して作成されたアプリケーションに任意のコードが実行可能な脆弱性

【7】Windows 版 Vivaldi のインストーラに任意のコードが実行可能な脆弱性

【今週のひとくちメモ】IPA が「SECURITY ACTION」を開始

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr171701.txt
https://www.jpcert.or.jp/wr/2017/wr171701.xml

【1】Ghostscript に任意のコードが実行可能な脆弱性

情報源

Japan Vulnerability Notes JVNVU#98641178
Ghostscript に任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU98641178/

概要

Ghostscript には、任意のコードが実行可能な脆弱性があります。結果として、
第三者が、細工した .eps ファイルをユーザに開かせることで、任意のコード
を実行する可能性があります。

対象となるバージョンは以下の通りです。

- Ghostscript 9.21 およびそれ以前

この問題は、Ghostscript に開発者が提供するパッチを適用することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Ghostscript
Bug 697799: have .eqproc check its parameters
https://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=4f83478c88

Ghostscript
Bug 697799: have .rsdparams check its parameters
https://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=04b37bbce1

【2】複数の Intel 製品に脆弱性

情報源

US-CERT Current Activity
Intel Firmware Vulnerability
https://www.us-cert.gov/ncas/current-activity/2017/05/01/Intel-Firmware-Vulnerability

概要

複数の Intel 製品には、脆弱性があります。結果として、遠隔の第三者がシ
ステムのリモート管理機能にアクセスする可能性があります。

対象となる製品は以下の通りです。

- Intel manageability ファームウェア 6 系から 11.6 までを使用しているハードウエア

この問題は、該当する製品のファームウェアを各開発者が提供する修正済みの
バージョンに更新することで解決します。詳細は、各開発者が提供する情報を
参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92793783
Intel Active Management Technology (AMT) にアクセス制限不備の脆弱性
https://jvn.jp/vu/JVNVU92793783/

関連文書 (英語)

Intel
Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

【3】複数の Mozilla 製品に脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/05/05/Mozilla-Releases-Security-Updates

概要

複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Thunderbird 52.1 より前のバージョン
- Mozilla Firefox 53.0.2 より前のバージョン
- Mozilla Firefox ESR 52.1.1 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ 2017-13
http://www.mozilla-japan.org/security/announce/2017/mfsa2017-13.html

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ 2017-14
http://www.mozilla-japan.org/security/announce/2017/mfsa2017-14.html

【4】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/05/03/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
root 権限で任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Cisco CVR100W Wireless-N VPN Router ファームウェア 1.0.1.22 より前のバージョン
- Cisco Aironet 1800 シリーズ ファームウェア 8.3.102.0
- Cisco Aironet 2800 シリーズ ファームウェア 8.3.102.0
- Cisco Aironet 3800 シリーズ ファームウェア 8.3.102.0
- Spark Room OS CE8.3.2 より前のバージョン
- TelePresence SX、MX、DX シリーズ CE8.3.2 より前のバージョン
- Cisco IOS XR 6.1.1

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco CVR100W Wireless-N VPN Router Universal Plug-and-Play Buffer Overflow Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-cvr100w1

Cisco Security Advisory
Cisco Aironet 1800, 2800, and 3800 Series Access Points Plug-and-Play Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-cme

Cisco Security Advisory
Cisco TelePresence ICMP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-ctp

Cisco Security Advisory
Cisco IOS XR Software Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-ios-xr

【5】Adobe ColdFusion に複数の脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for ColdFusion
https://www.us-cert.gov/ncas/current-activity/2017/04/26/Adobe-Releases-Security-Updates-ColdFusion

概要

Adobe ColdFusion には、複数の脆弱性があります。結果として、遠隔の第三
者が、任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを
実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- ColdFusion(2016 年リリース)アップデート 3 およびそれ以前
- ColdFusion 11 アップデート 11 およびそれ以前
- ColdFusion 10 アップデート 22 およびそれ以前

この問題は、ColdFusion を Adobe が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe セキュリティ情報
セキュリティアップデート: ColdFusion 用ホットフィックス公開
https://helpx.adobe.com/jp/security/products/coldfusion/apsb17-14.html

【6】Portrait Displays SDK を使用して作成されたアプリケーションに任意のコードが実行可能な脆弱性

情報源

US-CERT Current Activity
Pre-Installed Applications Developed with Portrait Displays SDK Contain Critical Vulnerability
https://www.us-cert.gov/ncas/current-activity/2017/04/25/Pre-installed-Applications-Developed-Portrait-Displays-SDK-Contain

概要

Portrait Displays SDK を使用して作成されたアプリケーションには、デフォ
ルトの権限設定に関する問題があります。結果として、ユーザが SYSTEM 権限
で任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Portrait Displays SDK 2.30 から 2.34 までを使用して作成されたアプリケーション

この問題は、Portrait Displays SDK を使用して作成されたアプリケーション
を、各アプリケーション開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、各アプリケーション開発者が提供する情報を参照し
てください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#96080594
Portrait Displays SDK を使用して作成されたアプリケーションに任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU96080594/

【7】Windows 版 Vivaldi のインストーラに任意のコードが実行可能な脆弱性

情報源

Japan Vulnerability Notes JVN#71572107
Windows 版 Vivaldi のインストーラにおける実行ファイル読み込みの脆弱性
https://jvn.jp/jp/JVN71572107/

概要

Windows 版 Vivaldi のインストーラには、実行ファイル読み込みに関する脆
弱性があります。結果として、第三者が任意のコードを実行する可能性があり
ます。

対象となるバージョンは以下の通りです。

- Windows 版 Vivaldi インストーラ 1.7.735.48 より前のバージョン

この問題は、Vivaldi Technologies が提供する最新のインストーラを使用す
ることで解決します。なお、すでに Windows 版 Vivaldi をインストールして
いる場合には、この問題の影響はありません。詳細は、Vivaldi Technologies
が提供する情報を参照してください。

関連文書 (英語)

Vivaldi
Vulnerability Disclosure: Vivaldi installer for Windows could run arbitrary downloaded code (JVN#71572107)
https://vivaldi.com/security/vulnerability-disclosure-vivaldi-installer-for-windows-could-run-arbitrary-downloaded-code-jvn71572107/

■今週のひとくちメモ

○IPA が「SECURITY ACTION」を開始

2017年4月28日、情報処理推進機構 (IPA) は「SECURITY ACTION」を開始しま
した。この制度は、中小企業が自身の情報セキュリティ対策に関する取り組み
を示すために開始されたものです。2017年1月に公開された「中小企業の情報
セキュリティガイドライン」に沿った取り組みの実施状況を申請することで、
取り組みの段階に応じたロゴマークが提供されます。

参考文献 (日本語)

情報処理推進機構 (IPA)
SECURITY ACTION
https://www.ipa.go.jp/security/security-action/

情報処理推進機構 (IPA)
中小企業の情報セキュリティガイドライン
https://www.ipa.go.jp/security/keihatsu/sme/guideline/

JPCERT-WR-2017-0601
【今週のひとくちメモ】JNSA が「中小企業の情報セキュリティ対策ガイドライン」に対応する製品・サービス検索ページを公開
https://www.jpcert.or.jp/wr/2017/wr170601.html#Memo

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter