<<< JPCERT/CC WEEKLY REPORT 2017-08-02 >>>
■07/23(日)〜07/29(土) のセキュリティ関連情報
目 次
【1】Microsoft Outlook に複数の脆弱性
【2】McAfee Web Gateway に複数の脆弱性
【3】Cisco IOS および Cisco IOS XE ソフトウェアに複数の脆弱性
【4】Joomla! に複数の脆弱性
【5】Open Shortest Path First (OSPF) プロトコルの複数の実装に問題
【6】WN-AX1167GR に複数の脆弱性
【7】WN-G300R3 に認証情報がハードコードされている問題
【8】WordPress 用プラグイン Simple Custom CSS and JS にクロスサイトスクリプティングの脆弱性
【9】WordPress 用プラグイン Popup Maker にクロスサイトスクリプティングの脆弱性
【10】Telerik Web UI に脆弱性
【11】Tween のインストーラに DLL 読み込みに関する脆弱性
【12】ソニー製 PaSoRi 関連ソフトウェアの複数のインストーラおよびリムーバーに DLL 読み込みに関する脆弱性
【13】LhaForge のインストーラに DLL 読み込みに関する脆弱性
【14】FIRST が「Annual Report 2016-2017」を公開
【15】NCA 10th Anniversary Conference 「絆」開催のお知らせ
【今週のひとくちメモ】Web サイトへのサイバー攻撃に備えて
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr172901.txt
https://www.jpcert.or.jp/wr/2017/wr172901.xml
【1】Microsoft Outlook に複数の脆弱性
情報源
US-CERT Current Activity
Microsoft Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/07/28/Microsoft-Releases-Security-Updates
概要
Microsoft Outlook には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Outlook 2007 Service Pack 3 - Microsoft Outlook 2010 Service Pack 2 - Microsoft Outlook 2013 Service Pack 1 - Microsoft Outlook 2013 RT Service Pack 1 - Microsoft Outlook 2016 この問題は、Microsoft Outlook に Microsoft が提供するセキュリティ更新 プログラムを適用することで解決します。詳細は、Microsoft が提供する情報 を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
Outlook の脆弱性を修正するセキュリティ更新プログラムを定例外で公開
https://blogs.technet.microsoft.com/jpsecurity/2017/07/28/outlookoobrelease/マイクロソフト株式会社
CVE-2017-8571 | Microsoft Office Outlook セキュリティ機能のバイパスの脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8571マイクロソフト株式会社
CVE-2017-8572 | Microsoft Office Outlook の情報漏えいの脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8572マイクロソフト株式会社
CVE-2017-8663 | Microsoft Office Outlook Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8663
【2】McAfee Web Gateway に複数の脆弱性
情報源
US-CERT Current Activity
McAfee Releases Security Bulletin for Web Gateway
https://www.us-cert.gov/ncas/current-activity/2017/07/27/McAfee-Releases-Security-Bulletin-Web-Gateway
概要
McAfee Web Gateway には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - McAfee Web Gateway 7.6.2.14 およびそれ以前 - McAfee Web Gateway 7.7.2.2 およびそれ以前 この問題は、McAfee Web Gateway を McAfee が提供する修正済みのバージョン に更新することで解決します。詳細は、McAfee が提供する情報を参照してく ださい。
関連文書 (英語)
McAfee
McAfee Security Bulletin - Web Gateway update fixes vulnerabilities CVE-2012-6706, CVE-2017-1000364, CVE-2017-1000366, and CVE-2017-1000368
https://kc.mcafee.com/corporate/index?page=content&id=SB10205
【3】Cisco IOS および Cisco IOS XE ソフトウェアに複数の脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/07/27/Cisco-Releases-Security-Updates
概要
Cisco IOS および Cisco IOS XE ソフトウェアには、複数の脆弱性があります。 結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、情報 を取得したりする可能性があります。 対象となる製品は次のとおりです。 - Cisco IOS ソフトウェア - Cisco IOS XE ソフトウェア この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco IOS and IOS XE Software Autonomic Networking Infrastructure Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170726-anidosCisco Security Advisory
Cisco IOS and IOS XE Software Autonomic Control Plane Channel Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170726-aniacp
【4】Joomla! に複数の脆弱性
情報源
US-CERT Current Activity
Joomla! Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/07/25/Joomla-Releases-Security-Update
概要
Joomla! には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 の操作を行ったり、ユーザのブラウザ上で任意のスクリプトを実行したりする 可能性があります。 対象となるバージョンは次のとおりです。 - Joomla! 1.0.0 から 3.7.3 まで この問題は、Joomla! を Joomla! が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Joomla! が提供する情報を参照してください。
関連文書 (英語)
Joomla!
Joomla! 3.7.4 Release
https://www.joomla.org/announcements/release-news/5710-joomla-3-7-4-release.html
【5】Open Shortest Path First (OSPF) プロトコルの複数の実装に問題
情報源
CERT/CC Vulnerability Note VU#793496
Open Shortest Path First (OSPF) protocol implementations may improperly determine LSA recency
https://www.kb.cert.org/vuls/id/793496
概要
Open Shortest Path First (OSPF) プロトコルを実装している複数の製品には、 Link State Advertisement (LSA) の扱いに関する問題があります。結果とし て、遠隔の第三者が、細工した LSA を注入することで、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となる製品は次のとおりです。 - OSPF プロトコルを実装している複数の製品 なお、本脆弱性の影響を受ける製品として、次の製品が報告されています。 - Quagga - Quagga を含んでいる Linux ディストリビューション (SUSE、openSUSE、Red Hat packages など) - Lenovo の製品 - Cisco の製品 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93329670
Open Shortest Path First (OSPF) プロトコルの複数の実装に Link State Advertisement (LSA) の扱いに関する問題
https://jvn.jp/vu/JVNVU93329670/
関連文書 (英語)
Cisco Security Advisory
Multiple Cisco Products OSPF LSA Manipulation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170727-ospf
【6】WN-AX1167GR に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#01312667
WN-AX1167GR における複数の脆弱性
https://jvn.jp/jp/JVN01312667/
概要
WN-AX1167GR には、複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - WN-AX1167GR ファームウエアバージョン 3.00 およびそれ以前 この問題は、WN-AX1167GR のファームウェアを株式会社アイ・オー・データ機 器が提供する修正済みのバージョンに更新することで解決します。詳細は、株 式会社アイ・オー・データ機器が提供する情報を参照してください。
関連文書 (日本語)
株式会社アイ・オー・データ機器
無線ルーター「WN-AX1167GR」セキュリティの脆弱性について
http://www.iodata.jp/support/information/2017/wn-ax1167gr/
【7】WN-G300R3 に認証情報がハードコードされている問題
情報源
Japan Vulnerability Notes JVN#51410509
WN-G300R3 において認証情報がハードコードされている問題
https://jvn.jp/jp/JVN51410509/
概要
WN-G300R3 には、認証情報がハードコードされている問題があります。結果と して、当該製品にアクセス可能な第三者が任意のコードを実行する可能性があ ります。 対象となるバージョンは次のとおりです。 - WN-G300R3 ファームウエアバージョン 1.0.2 およびそれ以前 この問題は、WN-G300R3 のファームウェアを株式会社アイ・オー・データ機器 が提供する修正済みのバージョンに更新することで解決します。詳細は、株式 会社アイ・オー・データ機器が提供する情報を参照してください。
関連文書 (日本語)
株式会社アイ・オー・データ機器
無線ルーター「WN-G300R3」 セキュリティの脆弱性について
http://www.iodata.jp/support/information/2017/wn-g300r3_2/
【8】WordPress 用プラグイン Simple Custom CSS and JS にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#31459091
WordPress 用プラグイン Simple Custom CSS and JS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN31459091/
概要
WordPress 用プラグイン Simple Custom CSS and JS には、クロスサイトスク リプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブ ラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Simple Custom CSS and JS 3.4 より前のバージョン この問題は、Simple Custom CSS and JS を SilkyPress が提供する修正済み のバージョンに更新することで解決します。詳細は、SilkyPress が提供する 情報を参照してください。
関連文書 (英語)
Simple Custom CSS and JS
Changelog
https://wordpress.org/plugins/custom-css-js/#developers
【9】WordPress 用プラグイン Popup Maker にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#92921024
WordPress 用プラグイン Popup Maker におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN92921024/
概要
WordPress 用プラグイン Popup Maker には、クロスサイトスクリプティング の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任 意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Popup Maker 1.6.5 より前のバージョン この問題は、Popup Maker を Popup Maker が提供する修正済みのバージョン に更新することで解決します。詳細は、Popup Maker が提供する情報を参照し てください。
関連文書 (英語)
Popup Maker
Changelog
https://wordpress.org/plugins/popup-maker/#developers
【10】Telerik Web UI に脆弱性
情報源
CERT/CC Vulnerability Note VU#838200
Telerik Web UI contains cryptographic weakness
https://www.kb.cert.org/vuls/id/838200
概要
Telerik Web UI には、暗号強度が不十分な脆弱性があります。結果として、 遠隔の第三者が、ファイルのアップロードやダウンロードを行ったり、ユーザ のブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - Telerik Web UI バージョン R2 2017 (2017.2.503) およびそれ以前 この問題は、Telerik Web UI を Progress Software Corporation が提供する 修正済みのバージョンに更新することで解決します。詳細は、Progress Software Corporation が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99345924
Telerik Web UI に暗号強度が不十分な脆弱性
https://jvn.jp/vu/JVNVU99345924/
関連文書 (英語)
Telerik
Security Alert for Telerik UI for ASP.NET AJAX and Progress Sitefinity
http://www.telerik.com/blogs/security-alert-for-telerik-ui-for-asp.net-ajax-and-progress-sitefinity
【11】Tween のインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#17523256
Tween のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN17523256/
概要
Tween のインストーラには、DLL 読み込みに関する脆弱性があります。結果と して、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Tween Ver1.6.6.0 およびそれ以前 この問題は、開発者が提供する最新のインストーラでは解決しています。なお、 すでに Tween をインストールしている場合には、この問題の影響はありません。 詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
Tween
インストーラーにおける脆弱性
https://sites.google.com/site/tweentwitterclient/project-updates/insutoraniokerucuiruoxing
【12】ソニー製 PaSoRi 関連ソフトウェアの複数のインストーラおよびリムーバーに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#16136413
ソニー製 PaSoRi 関連ソフトウェアの複数のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN16136413/Japan Vulnerability Notes JVN#33797604
NFCポートソフトウェアリムーバーにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN33797604/
概要
ソニー製 PaSoRi 関連ソフトウェアの複数のインストーラおよびリムーバーに は、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコー ドを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - NFCポートソフトウェア (旧FeliCaポートソフトウェア) Version 5.5.0.6 およびそれ以前 - NFCポートソフトウェア (旧FeliCaポートソフトウェア) Version 5.3.6.7 およびそれ以前 - NFCポートソフトウェアリムーバー Ver.1.3.0.1 およびそれ以前 - PC/SCアクティベーター for Type B Ver.1.2.1.0 およびそれ以前 - SFCard Viewer 2 Ver.2.5.0.0 およびそれ以前 - NFCネットインストーラー Ver.1.1.0.0 およびそれ以前 この問題は、ソニー株式会社が提供する最新のインストーラおよび NFCポート ソフトウェアリムーバーでは解決しています。NFCネットインストーラーにつ いては、2017年7月25日で提供を終了しています。なお、すでに該当する製品 をインストールしている場合には、この問題の影響はありません。詳細は、ソ ニー株式会社が提供する情報を参照してください。
関連文書 (日本語)
ソニー株式会社
Windows向け非接触ICカードリーダー/ライターPaSoRi(パソリ)をご愛用のお客様へ セキュリティー対策済みの新しいインストーラー提供のお知らせ
https://www.sony.co.jp/Products/felica/consumer/info/170725.html
【13】LhaForge のインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#74554973
LhaForge のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN74554973/
概要
LhaForge のインストーラには、DLL 読み込みに関する脆弱性があります。結 果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - LhaForge Ver.1.6.5 およびそれ以前 この問題は、Claybird が提供する最新のインストーラでは解決しています。 なお、すでに LhaForge をインストールしている場合には、この問題の影響は ありません。詳細は、Claybird が提供する情報を参照してください。
関連文書 (日本語)
Claybird
LhaForgeにおける任意のDLL読み込みの脆弱性(JVN#74554973)について
http://claybird.sakura.ne.jp/garage/lhaforge/jvn74554973.txt
【14】FIRST が「Annual Report 2016-2017」を公開
情報源
FIRST
FIRST releases inaugural annual report
https://www.first.org/newsroom/releases/20170724
概要
2017年7月24日、FIRST (Forum of Incident Response and Security Teams) は、Annual Report を今回初めて公開しました。このレポートでは、FIRST が 1年間の活動の報告として、世界各国で行われたイベントや、この 1年間に公 開したコンテンツなどについてまとめられています。
関連文書 (英語)
FIRST
Annual Report 2016-2017
https://www.first.org/about/reports/FIRST-Annual-Report-2016-2017.pdf
【15】NCA 10th Anniversary Conference 「絆」開催のお知らせ
情報源
日本シーサート協議会
NCA 10th Anniversary Conference 「絆」
http://10th-annive.nca.gr.jp/
概要
日本シーサート協議会は、10年という節目に際して、わが国のサイバーセキュ
リティの現状および CSIRT の重要性や実際の活動などを、より多くの方々に
知っていただくため、NCA 10th Anniversary Conference 「絆」を開催します。
本カンファレンスでは、サイバーセキュリティの初心者からベテランまで幅広
い方々に対して、理解度の向上やスキルアップを実感できる多数のプログラム
が用意されています。また、講演内容には、サイバーセキュリティのエキスパー
トによる最新の脅威情報の解説や、海外有識者による 2020年の東京オリンピッ
ク・パラリンピックに関する講演なども予定されており、喫緊の重要課題や現
状を理解できる内容となっています。
日時および場所:
2017年8月23日(水) - 2017年8月24日(木)
ヒューリックホール&カンファレンス
〒111-0053 東京都台東区浅草橋1-22-16 ヒューリック浅草橋ビル
http://10th-annive.nca.gr.jp/access/
※参加申し込みの受付は 2017年8月14日(月) まで (満席になり次第受付終了)
■今週のひとくちメモ
○Web サイトへのサイバー攻撃に備えて
2017年8月1日、JPCERT/CC は CyberNewsFlash にて「Web サイトへのサイバー 攻撃に備えて」を公開しました。この呼びかけでは、JPCERT/CC で確認してい る Web サイトに対する改ざんや DDoS 等の被害事例を紹介するとともに、被 害の回避および低減を目的とした点検項目や対応体制の確認について、要点を まとめて記載しています。サイバー攻撃に備えて、自組織のセキュリティ対策 を今一度ご確認ください。
参考文献 (日本語)
JPCERT/CC
Web サイトへのサイバー攻撃に備えて
https://www.jpcert.or.jp/newsflash/2017080101.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
