JPCERT-WR-2016-35012016-09-072016-08-282016-09-03複数の Cisco 製品に脆弱性
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユー
ザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Cisco Wireless LAN Controller 8.0.140.0 より前のバージョン
- Cisco Wireless LAN Controller 8.2.121.0 より前のバージョン
- Cisco Wireless LAN Controller 8.3.102.0 より前のバージョン
- Cisco WebEx Meetings Player T29.10 for WRF files
- Media Origination System Suite Software 2.6 およびそれ以前が稼働している Cisco Virtual Media Packager (VMP)
- Cisco Small Business 220 Series Smart Plus (Sx220) Switch ファームウェアバージョン 1.0.0.17
- Cisco Small Business 220 Series Smart Plus (Sx220) Switch ファームウェアバージョン 1.0.0.18
- Cisco Small Business 220 Series Smart Plus (Sx220) Switch ファームウェアバージョン 1.0.0.19
- Cisco Small Business SPA300 Series IP Phone ファームウェアバージョン 7.5.7(6) およびそれ以前
- Cisco Small Business SPA500 Series IP Phone ファームウェアバージョン 7.5.7(6) およびそれ以前
- Cisco Small Business SPA51x IP Phone ファームウェアバージョン 7.5.7(6) およびそれ以前
- Cisco Hosted Collaboration Mediation Fulfillment (HCM-F) 10.6(3) およびそれ以前
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。Cisco Security AdvisoryCisco Wireless LAN Controller wIPS Denial of Service Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-wlc-2Cisco Security AdvisoryCisco Wireless LAN Controller TSM SNMP Denial of Service Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-wlc-1Cisco Security AdvisoryCisco WebEx Meetings Player Denial of Service Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-webexCisco Security AdvisoryCisco Virtual Media Packager PAM API Unauthorized Access Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-vmpCisco Security AdvisoryCisco Small Business 220 Series Smart Plus Switches SNMP Unauthorized Access Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-sps3Cisco Security AdvisoryCisco Small Business 220 Series Smart Plus Switches Web Interface Denial of Service Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-sps2Cisco Security AdvisoryCisco Small Business 220 Series Smart Plus Switches Web Interface Cross-Site Scripting Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-sps1Cisco Security AdvisoryCisco Small Business 220 Series Smart Plus Switches Web Interface Cross-Site Request Forgery Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-spsCisco Security AdvisoryCisco Small Business SPA3x/5x Series Denial of Service Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-spaCisco Security AdvisoryCisco WebEx Meetings Player Arbitrary Code Execution Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-meetings-playerCisco Security AdvisoryCisco Hosted Collaboration Mediation Fulfillment Directory Traversal File System Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-hcmfCisco Security AdvisoryCisco Hosted Collaboration Mediation Fulfillment Authenticated Directory Traversal Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-hcmAdobe ColdFusion に情報漏えいの脆弱性
Adobe ColdFusion には、XML の処理に脆弱性があります。結果として、遠隔
の第三者が、細工した XML ファイルを開かせることで、情報を取得する可能
性があります。
対象となるバージョンは以下の通りです。
- ColdFusion 11 Update 9 およびそれ以前
- ColdFusion 10 Update 20 およびそれ以前
この問題は、ColdFusion を Adobe が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Adobe が提供する情報を参照してください。AdobeSecurity Update: Hotfixes available for ColdFusionhttps://helpx.adobe.com/security/products/coldfusion/apsb16-30.htmlOS X および Safari に脆弱性
OS X および Safari には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、情報を取得したりするなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- OS X Yosemite v10.10.5 およびそれ以前
- OS X El Capitan v10.11.6 およびそれ以前
- Safari 9.1.3 より前のバージョン
この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。Japan Vulnerability Notes JVNVU#92267426複数の Apple 製品の脆弱性に対するアップデートhttps://jvn.jp/vu/JVNVU92267426/情報処理推進機構 (IPA)更新:Apple iOS および OS X の脆弱性対策について(CVE-2016-4655 等)https://www.ipa.go.jp/security/ciadr/vul/20160829-ios.htmlAppleAbout the security content of Security Update 2016-001 El Capitan and Security Update 2016-005 Yosemitehttps://support.apple.com/en-us/HT207130AppleAbout the security content of Safari 9.1.3https://support.apple.com/en-us/HT207131APCERT Annual General Meeting & Conference 2016 一般聴講参加者募集開始
JPCERT/CC が主催し、2016年10月に開催されるアジア太平洋コンピュータ緊急
対応チーム (APCERT) のカンファレンス「APCERT Annual General Meeting &
Conference 2016」で、10月27日に行われる一般公開講演 (Open Conference)
の聴講参加者を募集しています。国際会議のため、同時通訳なしで全編英語の
講演となりますが、興味のある方はふるってご参加ください。
講演日時: 2016年10月27日 (木) 9時30分〜17時 (予定)
会場: 東京都中央区日本橋蠣殻町 2-1-1 ロイヤルパークホテル 2F
参加費: 無料
応募期限: 2016年9月30日 (金) ※ただし、満席になり次第受付終了APCERT Annual General Meeting & Conference 2016PROGRAMhttps://www.apcert.org/apcert2016/program.html銀行をかたるフィッシングサイトに注意
2016年8月29日および 30日、フィッシング対策協議会は、りそな銀行、三井住
友銀行およびゆうちょ銀行をかたるフィッシングサイトに関する緊急情報を公
開しました。いずれもメール本文に含まれる URL から悪意のあるサイトにア
クセスさせようとするものです。2016年9月6日現在、これらのフィッシングサ
イトはいずれも閉鎖が確認されていますが、今後も類似のサイトが作成される
可能性があります。このようなサイトにアカウント情報を入力するなどしない
ようご注意ください。
また、フィッシング対策協議会から、フィッシングによる被害を受ける可能性
のあるサービス事業者および一般消費者向けのガイドラインが公開されていま
すので、ご参考ください。フィッシング対策協議会りそな銀行をかたるフィッシング (2016/08/29)https://www.antiphishing.jp/news/alert/resonabank_20160829.htmlフィッシング対策協議会三井住友銀行をかたるフィッシング (2016/08/29)https://www.antiphishing.jp/news/alert/smbc_20160829.htmlフィッシング対策協議会ゆうちょ銀行をかたるフィッシング (2016/08/30)https://www.antiphishing.jp/news/alert/japanpost_20160830.htmlフィッシング対策協議会フィッシング対策ガイドライン 2016年度版https://www.antiphishing.jp/report/pdf/antiphishing_guide.pdf