JPCERT-WR-2016-3701
2016-09-23
2016-09-11
2016-09-17
複数の Microsoft 製品に脆弱性
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。
対象となる製品は以下の通りです。
- Microsoft Windows
- Internet Explorer
- Microsoft Edge
- Microsoft Office
- Microsoft Office Services および Web Apps
- Microsoft Exchange
この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。
マイクロソフト株式会社
2016 年 9 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms16-sep.aspx
JPCERT/CC Alert 2016-09-14
2016年 9月 Microsoft セキュリティ情報 (緊急 7件含) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160035.html
複数の Adobe 製品に脆弱性
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Adobe Digital Editions 4.5.1 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版)
- Adobe Flash Player デスクトップランタイム 22.0.0.211 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 継続サポートリリース 18.0.0.366 およびそれ以前 (Windows 版、Macintosh 版)
- Linux 向け Adobe Flash Player 11.2.202.632 およびそれ以前 (Linux 版)
- Adobe AIR SDK およびコンパイラー 22.0.0.153 およびそれ以前 (Windows 版、Macintosh 版)
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
Adobe セキュリティ情報
Adobe Digital Editionsに関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb16-28.html
Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-29.html
Adobe セキュリティ情報
Adobe AIR SDK およびコンパイラー用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/air/apsb16-31.html
JPCERT/CC Alert 2016-09-14
Adobe Flash Player の脆弱性 (APSB16-29) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160034.html
複数の VMware 製品に脆弱性
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- VMware Workstation Pro 12.5.0 より前のバージョン (Windows 版)
- VMware Workstation Player 12.5.0 より前のバージョン (Windows 版)
- VMware Tools 10.0.9 (Macintosh 版)
この問題は、該当する製品を、VMware が提供する修正済みのバージョンに更
新することで解決します。詳細は、VMware が提供する情報を参照してくださ
い。
VMware Security Advisories
VMware ESXi, Workstation, Fusion, and Tools updates address multiple security issues
https://www.vmware.com/security/advisories/VMSA-2016-0014.html
複数の Cisco 製品に脆弱性
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユー
ザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Cisco Web Security Appliance
- Cisco WebEx Meetings Server 2.6
- Cisco Unified Computing System (UCS) Manager
- Cisco Fog Director for IOx
- Cisco UCS 6200 Series Fabric Interconnects
- Cisco NCS 6000 Series の Cisco IOS XR Software (64 ビット版)
- IOx feature set が有効な Cisco IOS
- IOx feature set が有効な IOS XE Software
- CRS-1 の Cisco CRS Carrier Grade Service
- CRS-3 の Cisco CRS Carrier Grade Service
- Cisco IOS XR 4.3.x
- Cisco IOS XR 5.0.x
- Cisco IOS XR 5.1.x
- Cisco IOS XR 5.2.x
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco Web Security Appliance HTTP Load Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-wsa
Cisco Security Advisory
Cisco WebEx Meetings Server Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-wms
Cisco Security Advisory
Cisco WebEx Meetings Server Remote Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-wem
Cisco Security Advisory
Cisco Unified Computing System Command Line Interface Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-ucs
Cisco Security Advisory
Cisco Fog Director for IOx Arbitrary File Write Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-ioxfd
Cisco Security Advisory
Cisco IOS XR Software for NCS 6000 Series Devices OSPF Packet Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-iosxr
Cisco Security Advisory
Cisco IOS and IOS XE Software Data in Motion Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-ios-xe
Cisco Security Advisory
Cisco IOS and IOS XE Software IOx Local Manager Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-ios
Cisco Security Advisory
Cisco Carrier Routing System IPv6 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-crs
Cisco Security Advisory
IKEv1 Information Disclosure Vulnerability in Multiple Cisco Products
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1
複数の Apple 製品に脆弱性
複数の Apple 製品には、脆弱性があります。結果として、第三者が、任意の
コードを実行したり、情報を取得したりするなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- iOS 10.0.1 より前のバージョン
- Xcode 8 より前のバージョン
- watchOS 3 より前のバージョン
- iTunes 12.5.1 for Windows より前のバージョン
- tvOS 10 より前のバージョン
この問題は、該当する製品を、Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。
Apple
Xcode 8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT207140
Apple
watchOS 3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT207141
Apple
iOS 10 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT207143
Apple
iOS 10.0.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT207145
Japan Vulnerability Notes JVNVU#93841436
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93841436/
Apple
About the security content of iTunes 12.5.1 for Windows
https://support.apple.com/eu-us/HT207158
Apple
About the security content of tvOS 10
https://support.apple.com/eu-us/HT207142
ウイルスバスター クラウドに検索対象に関する脆弱性
ウイルスバスター クラウドには、検索対象に関する脆弱性があります。結果
として、第三者が特定の条件の下で任意のファイルまたはフォルダを検索対象
から除外する可能性があります。
対象となるバージョンは以下の通りです。
- ウイルスバスター クラウド 8
- ウイルスバスター クラウド 10
この問題は、ウイルスバスター クラウドを、トレンドマイクロ株式会社が提
供する修正済みのバージョンに更新するか、修正モジュールを適用することで
解決します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してく
ださい。
トレンドマイクロ株式会社
ウイルスバスターの脆弱性に関して (7月) | サポート Q&A:トレンドマイクロ
https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114691.aspx
Splunk Enterprise および Splunk Light に複数の脆弱性
Splunk Enterprise および Splunk Light には、複数の脆弱性があります。結
果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行し
たり、細工した URL にアクセスさせることで、任意のウェブサイトにリダイ
レクトさせたりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Splunk Enterprise 6.4.3 より前のバージョンの 6.4.x
- Splunk Enterprise 6.3.6 より前のバージョンの 6.3.x
- Splunk Enterprise 6.2.11 より前のバージョンの 6.2.x
- Splunk Enterprise 6.1.11 より前のバージョンの 6.1.x
- Splunk Enterprise 6.0.12 より前のバージョンの 6.0.x
- Splunk Enterprise 5.0.16 より前のバージョンの 5.0.x
- Splunk Light 6.3.5 より前のバージョンの 6.3.x
- Splunk Light 6.4.3 より前のバージョン
この問題は、該当する製品を、Splunk Inc. が提供する修正済みのバージョン
に更新することで解決します。詳細は、Splunk Inc. が提供する情報を参照し
てください。
Splunk
Splunk Enterprise 6.4.2, 6.3.6, 6.2.11, 6.1.11, 6.0.12, 5.0.16 and Splunk Light 6.4.2 address multiple security vulnerabilites
https://www.splunk.com/view/SP-CAAAPQM
Splunk
Splunk Enterprise 6.4.3 and Splunk Light 6.4.3 address one vulnerability
https://www.splunk.com/view/SP-CAAAPQ6
Splunk
Splunk Enterprise 6.4.2, 6.3.6, 6.2.11, 6.1.11, 6.0.12, 5.0.16 and Splunk Light 6.4.2 address multiple security vulnerabilites
https://www.splunk.com/view/SP-CAAAPQM
Splunk
Splunk Enterprise 6.3.5 and Splunk Light 6.3.5 address two vulnerabilities | Splunk
https://www.splunk.com/view/SP-CAAAPN9
Zend Framework に SQL インジェクションの脆弱性
Zend Framework には、SQL インジェクションの脆弱性があります。結果とし
て、遠隔の第三者が、データベース内の情報を取得したり、改ざんしたりする
可能性があります。
対象となるバージョンは以下の通りです。
- Zend Framework 1.12.20 より前のバージョン
この問題は、Zend Framework を、Zend Technologies Ltd. が提供する修正済
みのバージョンに更新することで解決します。詳細は、Zend Technologies Ltd.
が提供する情報を参照してください。
Zend Framework
ZF2016-03: Potential SQL injection in ORDER and GROUP functions of ZF1
https://framework.zend.com/security/advisory/ZF2016-03
STARDOM コントローラに任意の操作が行われる脆弱性
STARDOM コントローラには、ロジックデザイナからの接続時に、認証が行われ
ない問題があります。結果として、STARDOM コントローラにアクセス可能な第
三者が、任意の操作を行う可能性があります。
対象となるバージョンは以下の通りです。
- STARDOM FCN/FCJ R1.01 から R4.01 まで
この問題は、STARDOM を、横河電機株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、横河電機株式会社が提供する情報を参
照してください。
Yokogawa Security Advisory Report
YSAR-16-0002: STARDOMコントローラに任意のコマンドを実行される脆弱性
https://www.yokogawa.co.jp/dcs/security/ysar/YSAR-16-0002-J.pdf
H2O に書式指定文字列に関する脆弱性
H2O には、書式指定文字列に関する脆弱性があります。結果として、遠隔の第
三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- H2O version 2.0.3 およびそれ以前
- H2O version 2.1.0-beta2 およびそれ以前
この問題は、H2O を、開発者が提供する修正済みのバージョンに更新すること
で解決します。詳細は、開発者が提供する情報を参照してください。
H2O
Format String Vulnerability (CVE-2016-4864) #1077
https://github.com/h2o/h2o/issues/1077
CS-Cart 用アドオン「Twigmo」に PHP オブジェクトインジェクションの脆弱性
CS-Cart 用アドオン「Twigmo」には、PHP オブジェクトインジェクションの脆
弱性があります。結果として、遠隔の第三者が、任意の PHP コードを実行す
る可能性があります。
対象となる製品およびバージョンは以下の通りです。
- CS-Cart バージョン 4.3.9 およびそれ以前に同梱されている「Twigmo」
- CS-Cart マーケットプレイス版 バージョン 4.3.9 およびそれ以前に同梱されている「Twigmo」
2016年9月21日現在、対策済みのバージョンは公開されていません。以下の回
避策を適用することで、本脆弱性の影響を軽減することが可能です。
- app/addons/twigmo/controllers/backend/twigmo.php に記述されている
「$_REQUEST['status'] = unserialize($_REQUEST['status']);」という箇所を
削除またはコメントアウトする
詳細は、有限会社フロッグマンオフィスが提供する情報を参照してください。
CS-Cart日本語版公式サイト
【CVE-2016-4862】 TwigmoアドオンにおけるPHPオブジェクトインジェクションの脆弱性について
http://tips.cs-cart.jp/fix-twigmo-vulnerability-20160914.html
JSSECが「Androidアプリのセキュア設計・セキュアコーディングガイド 2016年9月1日版」を公開
2016年9月12日、日本スマートフォンセキュリティ協会 (JSSEC) は、「Android
アプリのセキュア設計・セキュアコーディングガイド」の改訂版(2016年9月1
日版)を公開しました。このガイドは、Androidアプリケーション開発者向けに、
セキュア設計、セキュアコーディングのノウハウを、サンプルコードとともに
まとめたものです。
この改訂版では、Google Play 開発者サービスの Provider Installer を利用
した脆弱性対策、ピンニングによる検証の注意点と実装例などが追記されてい
ます。
日本スマートフォンセキュリティ協会 (JSSEC)
JSSEC、「Androidアプリのセキュア設計・セキュアコーディングガイド」2016年9月1日版を公開
https://www.jssec.org/report/20160912_securecoding.html
日本スマートフォンセキュリティ協会 (JSSEC)
Androidアプリのセキュア設計・セキュアコーディングガイド 2016年9月1日版
https://www.jssec.org/dl/android_securecoding.pdf