JPCERT-WR-2016-1501
2016-04-13
2016-04-03
2016-04-09
Adobe Flash Player に複数の脆弱性
Adobe Flash Player には複数の脆弱性があります。結果として、遠隔の第三
者が、細工したコンテンツをユーザに開かせることで、任意のコードを実行す
るなどの可能性があります。
対象となるバージョンは以下の通りです。
- Adobe Flash Player デスクトップランタイム 21.0.0.197 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 継続サポートリリース 18.0.0.333 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 11.2.202.577 およびそれ以前 (Linux 版)
この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は Adobe が提供する情報を参照してください。
Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-10.html
JPCERT/CC Alert 2016-04-08
Adobe Flash Player の脆弱性 (APSB16-10) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160016.html
Cisco 製品に複数の脆弱性
Cisco 製品には、複数の脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなど
の可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Cisco Prime Infrastructure 1.2 から 3.0.3 より前のバージョンまで
- Cisco Evolved Programmable Network Manager 1.2
- Cisco TelePresence Server 7010
- Cisco TelePresence Server Mobility Services Engine (MSE) 8710
- Cisco TelePresence Server on Multiparty Media 310
- Cisco TelePresence Server on Multiparty Media 320
- Cisco TelePresence Server on Multiparty Media 820
- Cisco TelePresence Server on Virtual Machine (VM)
- Whiptail Racerunner
- Cisco UCS Invicta Scaling System and Appliance
- Cisco UCS Invicta C3124SA Appliance
この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco Prime Infrastructure and Evolved Programmable Network Manager Privilege Escalation API Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160406-privauth
Cisco Security Advisory
Cisco TelePresence Server Crafted URL Handling Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160406-cts1
Cisco Security Advisory
Cisco UCS Invicta Default SSH Key Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160406-ucs
Cisco Security Advisory
Cisco TelePresence Server Crafted IPv6 Packet Handling Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160406-cts
Cisco Security Advisory
Cisco Prime Infrastructure and Evolved Programmable Network Manager Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160406-remcode
Cisco Security Advisory
Cisco TelePresence Server Malformed STUN Packet Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160406-cts2
ScreenOS の擬似乱数生成器に脆弱性
ScreenOS で使われていた Dual_EC および ANSI X9.31 アルゴリズムについて
対策予定であることが 1月にアナウンスされていましたが、今回 ScreenOS か
ら削除されました。
対象となるバージョンは以下の通りです。
- ScreenOS 6.3.0r22 より前のバージョン
この問題は、Juniper Networks が提供する修正済みのバージョンに ScreenOS
を更新することで解決します。詳細は Juniper Networks が提供する情報を参
照してください。
Juniper Networks
Juniper Networks Completes ScreenOS Update
http://forums.juniper.net/t5/Security-Incident-Response/Juniper-Networks-Completes-ScreenOS-Update/ba-p/290368
Juniper Networks
Advancing the Security of Juniper Products
http://forums.juniper.net/t5/Security-Incident-Response/Advancing-the-Security-of-Juniper-Products/ba-p/286383
Weekly Report 2015-12-24号
【6】ScreenOS に複数の脆弱性
https://www.jpcert.or.jp/wr/2015/wr154901.html#6
WisePoint にクリックジャッキングの脆弱性
WisePoint には、クリックジャッキングの脆弱性があります。結果として、遠
隔の第三者が、管理者としてログインしたユーザに細工したコンテンツをクリッ
クさせることで、ユーザの意図しない操作を行う可能性があります。
対象となるバージョンは以下の通りです。
- WisePoint 4.3.1 およびそれ以前
- WisePoint Authenticator 4.1.19.22 およびそれ以前
この問題は、ファルコンシステムコンサルティング株式会社が提供する修正済
みのバージョンに WisePoint を更新することで解決します。詳細はファルコン
システムコンサルティング株式会社が提供する情報を参照してください。
WisePoint
CVE-2016-1177(JVNDB-2016-000037) WisePoint におけるクリックジャッキングの脆弱性
https://service.falconsc.com/service/product/doc/vul.html
BlueDriver LSB2 に認証なしで Bluetooth アクセスが可能な問題
BlueDriver LSB2 には、認証なしで Bluetooth アクセスが可能な問題があり
ます。結果として、遠隔の第三者が、車両を操作するなどの可能性があります。
対象となる製品は以下の通りです。
- BlueDriver LSB2
2016年4月12日現在、対策済みのバージョンは公開されていません。以下の回
避策を適用することで、本脆弱性の影響を軽減することが可能です。
- BlueDriver LSB2 を接続したまま運転しない
Japan Vulnerability Notes JVNVU#92749596
BlueDriver LSB2 に認証なしで Bluetooth アクセスが可能な問題
https://jvn.jp/vu/JVNVU92749596/
Autodesk Backburner にスタックバッファオーバーフローの脆弱性
Autodesk Backburner には、スタックバッファオーバーフローの脆弱性があり
ます。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運
用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となる製品は以下の通りです。
- Backburner 2016 version 2016.0.0.2150 およびそれ以前
2016年4月12日現在、対策済みのバージョンは公開されていません。以下の回
避策を適用することで、本脆弱性の影響を軽減することが可能です。
- Backburner 2016 の manager.exe サービスへのアクセスを制限する
EVAアニメータ用 ActiveX コントロールにバッファオーバーフローの脆弱性
EVAアニメータ用 ActiveX コントロールには、バッファオーバーフローの脆弱
性があります。結果として、遠隔の第三者が、細工したコンテンツをユーザに
開かせることで、任意のコードを実行する可能性があります。
対象となる製品は以下の通りです。
- EVAアニメータ用 ActiveX コントロール
2016年4月12日現在、EVAアニメータのサポートは終了しています。EVAアニ
メータ用 ActiveX コントロールを削除してください。
Microsoft SQL Server 2005 および Windows Home Server 2011 サポート終了
2016年4月12日をもって、Microsoft SQL Server 2005 および Windows Home
Server 2011 はサポートを終了しました。
サポート終了後は、セキュリティ上の脅威が高まります。Microsoft SQL
Server 2005 または Windows Home Server 2011 を利用している場合、サポー
トが行われている製品への移行をお勧めします。
Microsoft
SQL Server 2005 移行促進キャンペーン
https://www.microsoft.com/japan/msbc/Express/Campaign/sql_2005_eos/default.aspx
Microsoft
マイクロソフト サポート ライフサイクル
https://support.microsoft.com/ja-jp/lifecycle/search/default.aspx?sort=PN&alpha=Windows%20Home%20Server%202011&Filter=FilterNO