JPCERT-WR-2016-2001
2016-05-25
2016-05-15
2016-05-21
複数の Apple 製品に脆弱性
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの
可能性があります。
対象となる製品およびバージョンは以下の通りです。
- tvOS 9.2.1 より前のバージョン
- iOS 9.3.2 より前のバージョン
- watchOS 2.2.1 より前のバージョン
- OS X El Capitan v10.11.5 より前のバージョン
- Safari 9.1.1 より前のバージョン
- iTunes 12.4 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Apple が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#91632741
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU91632741/
Apple
About the security content of tvOS 9.2.1
https://support.apple.com/en-us/HT206564
Apple
About the security content of iOS 9.3.2
https://support.apple.com/en-us/HT206568
Apple
About the security content of watchOS 2.2.1
https://support.apple.com/en-us/HT206566
Apple
About the security content of OS X El Capitan v10.11.5 and Security Update 2016-003
https://support.apple.com/en-us/HT206567
Apple
About the security content of Safari 9.1.1
https://support.apple.com/en-us/HT206565
Apple
About the security content of iTunes 12.4
https://support.apple.com/en-us/HT206379
複数の VMware 製品に脆弱性
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、権限昇格を行ったりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- KB 2145343 を適用していない Windows 版 vCenter Server 6.0
- Linux 版 vCenter Server 6.0.0b より前のバージョン
- Windows 版 vCenter Server 5.5 U3d より前のバージョン
- Linux 版 vCenter Server 5.5 U3 より前のバージョン
- vCenter Server 5.1 U3b より前のバージョン
- vCenter Server 5.0 U3e より前のバージョン
- vCloud Director 8.0.1.1 より前のバージョン
- vCloud Director 5.6.5.1 より前のバージョン
- vCloud Director 5.5.6.1 より前のバージョン
- vSphere Replication 6.0.0.3 より前のバージョン
- vSphere Replication 5.8.1.2 より前のバージョン
- vSphere Replication 5.6.0.6 より前のバージョン
- vRealize Operations Manager 6.x (non-appliance version)
- VMware Workstation 11.1.3 より前のバージョン
- VMware Player 7.1.3 より前のバージョン
この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細は、VMware が提供する情報を参照してください。
Xen に権限昇格の脆弱性
Xen には、ページサイズ (PS) のページテーブルエントリのビットを適切に処
理しない脆弱性が存在します。結果として、ゲストユーザが、ゲスト OS 上で
権限昇格を行う可能性があります。
全バージョンの Xen が影響を受けます。ARM および x86 PV guest を使用す
るシステムは本脆弱性の影響を受けないとのことです。各プラットフォームへ
の影響は、ベンダや配布元が提供する情報を参照してください。
この問題は、Xen Project が提供するパッチを適用することで解決します。詳
細は、Xen Project が提供する情報を参照してください。
Cisco Web Security Appliance に脆弱性
Cisco Web Security Appliance (WSA) には、脆弱性があります。結果として、
遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- AsyncOS 9.0.1-162 より前のバージョンが稼働している Cisco Web Security Appliance (WSA)
この問題は、Cisco が提供する修正済みのバージョンに AsyncOS を更新する
ことで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco Web Security Appliance HTTP POST Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160518-wsa1
Cisco Security Advisory
Cisco Web Security Appliance Cached Range Request Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160518-wsa2
Cisco Security Advisory
Cisco Web Security Appliance HTTP Length Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160518-wsa3
Cisco Security Advisory
Cisco Web Security Appliance Connection Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160518-wsa4
Symantec Anti-Virus Engine に任意のコードが実行可能な脆弱性
Symantec Anti-Virus Engine には、PE ヘッダの取り扱いに関する脆弱性があ
ります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス
運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- Anti-Virus Engine 20151.1.0.32
この問題は、Symantec が提供する修正済みのバージョンに Anti-Virus Engine
を更新することで解決します。詳細は、Symantec が提供する情報を参照して
ください。
Symantec
Security Advisories Relating to Symantec Products - Symantec Antivirus Engine Malformed PE Header Parser Memory Access Violation
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20160516_00
Chef Manage に Cookie のデシリアライズ処理に関する脆弱性
Chef Manage には、Cookie のデシリアライズ処理に関する脆弱性があります。
結果として、遠隔の第三者が、細工した Cookie を送信する事で、任意のコー
ドを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Chef Manage アドオン version 1.11.4 およびそれ以前
この問題は、Chef Software, Inc. が提供する修正済みのバージョンに Chef
Manage を更新することで解決します。詳細は、Chef Software, Inc. が提供
する情報を参照してください。
Japan Vulnerability Notes JVNVU#90579091
Chef Manage に Cookie のデシリアライズ処理に関する脆弱性
https://jvn.jp/vu/JVNVU90579091/
Lantronix xPrintServer に複数の脆弱性
Lantronix xPrintServer には、複数の脆弱性があります。結果として、遠隔の
第三者が、情報を取得したり、機器の設定を変更したりするなどの可能性があ
ります。
対象となるバージョンは以下の通りです。
- xPrintServer version 5.0.1-65 より前のバージョン
この問題は、Lantronix が提供する修正済みのバージョンに xPrintServer を
更新することで解決します。詳細は、Lantronix が提供する情報を参照してく
ださい。
Japan Vulnerability Notes JVNVU#93382988
Lantronix xPrintServer に複数の脆弱性
https://jvn.jp/vu/JVNVU93382988/
スマートフォンアプリ「百五銀行」に SSL サーバ証明書の検証不備の脆弱性
スマートフォンアプリ「百五銀行」には、SSL サーバ証明書の検証不備の脆弱
性があります。結果として、遠隔の第三者が、中間者攻撃を行うことで、暗号
通信を盗聴する可能性があります。
対象となるバージョンは以下の通りです。
- iOS アプリ「百五銀行」 1.1 および 1.0
- Android アプリ「百五銀行」 1.0
なお、これらのバージョンを使用したサービスは終了しています。
この問題は、株式会社百五銀行が提供する修正済みのバージョンに、スマート
フォンアプリ「百五銀行」を更新することで解決します。詳細は、株式会社百
五銀行が提供する情報を参照してください。
Web Mailing List にクロスサイトスクリプティングの脆弱性
Web Mailing List には、クロスサイトスクリプティングの脆弱性が存在しま
す。結果として、遠隔の第三者が、当該製品の管理画面にログインしているユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Web Mailing List v0.31 およびそれ以前
この問題は、有限会社エポックが提供する修正済みのバージョンに、Web Mailing
List を更新することで解決します。詳細は、有限会社エポックが提供する情
報を参照してください。
MP Form Mail CGI Professional 版にディレクトリトラバーサルの脆弱性
MP Form Mail CGI Professional 版には、ディレクトリトラバーサルの脆弱性
があります。結果として、当該製品の管理者は、当該製品が動作しているサー
バ上の任意のファイルを取得する可能性があります。
対象となるバージョンは以下の通りです。
- MP Form Mail CGI Professional 版 3.2.3 およびそれ以前
この問題は、有限会社futomi が提供する修正済みのバージョンに、MP Form Mail
CGI Professional 版を更新することで解決します。詳細は、有限会社futomi
が提供する情報を参照してください。
有限会社futomi
MP Form Mail CGI Professional 版をご利用の方へバージョンアップのお願い
http://www.futomi.com/library/info/2016/201605.html
JPRS によるゾーン転送の設定状況調査の実施と調査対象からの除外 (オプトアウト) の受け付けについて
JPRS ではインターネットの安全性向上のため、JPRS に登録されている権威
DNS サーバを対象としたゾーン転送の設定状況調査と、管理指定事業者を通じ
た登録者への連絡・対応依頼を実施する活動をしており、次回の調査は
2016年6月8日から 2016年6月13日までを予定しています。
なお、意図的にゾーン転送を許可している、またはその他の事情により調査を
希望しない場合を対象とした、調査対象からの除外 (オプトアウト) の届け出
を受け付けています。
JPRS
JPRSによるゾーン転送の設定状況調査の実施と調査対象からの除外(オプトアウト)の受け付けについて(2016年5月23日公開)
https://jprs.jp/tech/notice/2016-05-23-zone-transfer-survey.html