US-CERT Current Activity
Microsoft Releases September 2017 Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/09/12/Microsoft-Releases-September-2017-Security-Updates

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- Skype for Business および Lync
- .NET Framework
- Microsoft Exchange Server

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/09/12/Adobe-Releases-Security-Updates

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- RoboHelp RH2017.0.1 およびそれ以前 (Windows版)
- RoboHelp RH12.0.4.460 およびそれ以前 (Windows版)
- Adobe Flash Player デスクトップランタイム 26.0.0.151 およびそれ以前 (Windows版、Macintosh版、Linux版)
- ColdFusion (2016 release) Update 4 およびそれ以前
- ColdFusion 11 Update 12 およびそれ以前

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

【3】複数の Bluetooth 実装に脆弱性

情報源

US-CERT Current Activity
BlueBorne Bluetooth Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2017/09/12/BlueBorne-Bluetooth-Vulnerabilities

概要

複数の Bluetooth 実装には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Android セキュリティパッチレベル 2017年9月を適用していないバージョン
- Linux Kernel 3.3-rc1 以降のバージョン
- Linux BlueZ すべてのバージョン
- iOS version 9.3.5 およびそれ以前
- tvOS version 7.2.2 およびそれ以前
- Windows Vista 以降の 2017年9月マイクロソフトセキュリティ更新プログラムを適用していないバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。また、次の回避策を適用することで、本脆弱性の影響を
軽減することが可能です。

- 機器の Bluetooth 接続をオフにする

詳細は、開発者が提供する情報を参照してください。

【4】Wi-Fi STATION L-02F に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#68922465
Wi-Fi STATION L-02F にバックドアの問題
https://jvn.jp/jp/JVN68922465/

Japan Vulnerability Notes JVN#03044183
Wi-Fi STATION L-02F におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN03044183/

概要

Wi-Fi STATION L-02F には、複数の脆弱性があります。結果として、遠隔の第
三者が任意の操作を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Wi-Fi STATION L-02F ソフトウェアバージョン V10g およびそれ以前

この問題は、Wi-Fi STATION L-02F を株式会社NTTドコモが提供する修正済み
のバージョンに更新することで解決します。詳細は、株式会社NTTドコモが提
供する情報を参照してください。

【5】複数の VMware 製品に脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/09/15/VMware-Releases-Security-Updates

概要

複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー
ザが、ホスト OS 上で任意のコードを実行したり、ゲスト OS 上でサービス運
用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware ESXi 6.5
- VMware ESXi 6.0
- VMware ESXi 5.5
- VMware vCenter Server 6.5
- VMware Workstation 12 系のバージョン
- VMware Fusion 8 系のバージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
することで解決します。詳細は、VMware が提供する情報を参照してください。

【6】Ruby に複数の脆弱性

情報源

Ruby
Ruby 2.2.8 リリース
https://www.ruby-lang.org/ja/news/2017/09/14/ruby-2-2-8-released/

Ruby
Ruby 2.3.5 リリース
https://www.ruby-lang.org/ja/news/2017/09/14/ruby-2-3-5-released/

Ruby
Ruby 2.4.2 リリース
https://www.ruby-lang.org/ja/news/2017/09/14/ruby-2-4-2-released/

概要

Ruby には、複数の脆弱性があります。結果として、遠隔の第三者が、任意の
コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可
能性があります。

対象となるバージョンは次のとおりです。

- Ruby 2.2.7 およびそれ以前の 2.2 系のバージョン
- Ruby 2.3.4 およびそれ以前の 2.3 系のバージョン
- Ruby 2.4.1 およびそれ以前の 2.4 系のバージョン
- revision 59672 より前の開発版

この問題は、Ruby を Ruby が提供する修正済みのバージョンに更新すること
で解決します。詳細は、Ruby が提供する情報を参照してください。

【7】「Apache Struts2 に複数の脆弱性」に関する追加情報

情報源

US-CERT Current Activity
Cisco Releases Security Advisories
https://www.us-cert.gov/ncas/current-activity/2017/09/11/Cisco-Releases-Security-Update

概要

JPCERT/CC WEEKLY REPORT 2017-09-13号【1】で紹介した「Apache Struts2 に
複数の脆弱性」に関する追加情報です。

Cisco から問題を修正したバージョンの Cisco 製品が公開されました。詳細
は、Cisco が提供する情報を参照して下さい。

【8】SEIL シリーズルータにサービス運用妨害 (DoS) の脆弱性

情報源

Japan Vulnerability Notes JVN#76692689
SEIL シリーズルータにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN76692689/

概要

SEIL シリーズルータには、サービス運用妨害 (DoS) の脆弱性があります。結
果として、遠隔の第三者が、細工したパケットを送信することで、サービス運
用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SEIL/X 4.60 から 5.72 まで
- SEIL/B1 4.60 から 5.72 まで
- SEIL/x86 3.20 から 5.72 まで
- SEIL/BPV4 5.00 から 5.72 まで

この問題は、該当する製品のファームウェアを株式会社インターネットイニシ
アティブが提供する修正済みのバージョンに更新することで解決します。詳細
は、株式会社インターネットイニシアティブが提供する情報を参照してくださ
い。

【9】i-フィルター 6.0 のインストールプログラムおよびインストーラに DLL 読み込みや実行ファイル呼び出しに関する脆弱性

情報源

Japan Vulnerability Notes JVN#75929834
i-フィルター 6.0 のインストールプログラムおよびインストーラにおける DLL 読み込みや実行ファイル呼び出しに関する脆弱性
https://jvn.jp/jp/JVN75929834/

概要

i-フィルター 6.0 のインストール プログラムおよびインストーラには、DLL
読み込みや実行ファイル呼び出しに関する脆弱性があります。結果として、第
三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- i-フィルター 6.0 インストール プログラム ファイルバージョン 1.0.8.1 およびそれ以前
- i-フィルター 6.0 インストーラー デジタル署名のタイムスタンプが 2017年8月23日 (JST) より古い日付となっている版

この問題は、デジタルアーツ株式会社が提供する最新のインストーラでは解決
しています。なお、すでに i-フィルター 6.0 をインストールしている場合に
は、この問題の影響はありません。詳細は、デジタルアーツ株式会社が提供す
る情報を参照してください。

【10】FENCE-Explorer のインストーラに DLL 読み込みおよび実行ファイル呼び出しに関する脆弱性

情報源

Japan Vulnerability Notes JVN#57205588
FENCE-Explorer のインストーラにおける DLL 読み込みおよび実行ファイル呼び出しに関する脆弱性
https://jvn.jp/jp/JVN57205588/

概要

FENCE-Explorer のインストーラには、DLL 読み込みおよび実行ファイル呼び
出しに関する脆弱性があります。結果として、第三者が任意のコードを実行す
る可能性があります。

対象となるバージョンは次のとおりです。

- FENCE-Explorer for Windows V8.4.1 およびそれ以前

この問題は、株式会社富士通ビー・エス・シーが提供する最新のインストーラ
では解決しています。なお、すでに FENCE-Explorer for Windows をインストー
ルしている場合には、この問題の影響はありません。詳細は、株式会社富士通
ビー・エス・シーが提供する情報を参照してください。

【11】「フィッシング対策セミナー 2017」開催のお知らせ

情報源

フィッシング対策協議会
フィッシング対策セミナー 2017 開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2017.html

概要

フィッシング対策協議会では、2020年に向けてさらに増加が予測されるフィッ
シング詐欺に対応するため、事業者側の効果的な対策促進をテーマに「フィッ
シング対策セミナー 2017」を開催いたします。今年度のセミナーではフィッ
シング詐欺に関連する法執行機関、SNS事業者、金融機関、学術機関の 4者そ
れぞれの専門的な立場から、最新の情報と詐欺の傾向、その対応策などをご紹
介いたします。

参加費は無料ですが、事前に参加申込みが必要となります。満席になり次第、
受付終了とさせていただきますので、ご了承ください。

日時および場所:
    2017年11月10日 (金) 13:00 - 18:00 (受付開始 12:15〜)
    大崎ブライトコアホール (JR 大崎駅 新東口)
    〒141-0001 東京都品川区北品川5丁目5番15号 大崎ブライトコア3階
    http://osaki-hall.jp/access/

■今週のひとくちメモ

○フィッシング対策協議会が「SSL サーバー証明書に関する事業者ならびに利用者向けアンケートの調査結果」を公開

2017年9月12日、フィッシング対策協議会は、「SSL サーバー証明書に関する
事業者ならびに利用者向けアンケート調査結果」を公開しました。このアンケー
トは、SSL サーバー証明書の適正な普及啓発や促進を目的として実施されたも
のです。EC サイト、ネットバンキング等の Web サイトの事業者および利用者
を対象として、SSL サーバー証明書の導入効果についての理解の程度や、イン
ターネット利用時のセキュリティ意識などについて調査しています。

参考文献 (日本語)

フィッシング対策協議会
【資料公開】 SSL サーバー証明書に関する事業者ならびに利用者向けアンケート調査結果について (2017/09/12)
https://www.antiphishing.jp/news/info/ssl_servercertified_questionnaire.html

フィッシング対策協議会
SSL サーバー証明書に関する事業者ならびに利用者向けアンケート調査結果
https://www.antiphishing.jp/news/pdf/SSLserverCertQuestionnaire01.pdf

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2017-09-21号

<<< JPCERT/CC WEEKLY REPORT 2017-09-21 >>>

■09/10(日)〜09/16(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

○フィッシング対策協議会が「SSL サーバー証明書に関する事業者ならびに利用者向けアンケートの調査結果」を公開

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次