JPCERT-WR-2016-4001
2016-10-13
2016-10-02
2016-10-08
Xen に脆弱性
Xen には脆弱性があります。結果として、ゲストユーザが、同一ゲスト OS 上
の機微な情報を読み取ったり、改ざんしたりする可能性があります。
対象となるバージョンは以下の通りです。
- xen-unstable, Xen 4.7.x, 4.6.x, 4.5.x, 4.4.x
この問題は、Xen Project が提供するパッチを適用することで解決します。詳
細は、Xen Project が提供する情報を参照してください。
複数の Cisco 製品に脆弱性
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
対象となる製品は以下の通りです。
- Multilayer Director Switches
- Nexus 1000V Series Switches
- Nexus 2000 Series Fabric Extenders
- Nexus 3000 Series Switches
- Nexus 3500 Platform Switches
- Nexus 4000 Series Switches
- Nexus 5000 Series Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 7700 Series Switches
- Nexus 9000 Series Switches in Application Centric Infrastructure (ACI) mode
- Nexus 9000 Series Switches in NX-OS mode
この問題は、該当する製品を、Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco NX-OS Software-Based Products Authentication, Authorization, and Accounting Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-nxaaa
Cisco Security Advisory
Cisco Nexus 7000 and 7700 Series Switches Overlay Transport Virtualization Buffer Overflow Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-otv
Cisco Security Advisory
Cisco NX-OS Border Gateway Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-bgp
Cisco Security Advisory
Cisco NX-OS Software Crafted DHCPv4 Packet Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-dhcp1
Cisco Security Advisory
Cisco NX-OS Software Malformed DHCPv4 Packet Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-dhcp2
サイボウズ Office に複数の脆弱性
サイボウズ Office には、複数の脆弱性があります。結果として、遠隔の第三
者が、ユーザの意図しないメールを送信したり、サービス運用妨害 (DoS) 攻
撃を行ったり、ユーザのブラウザ上で任意のスクリプトを実行したりするなど
の可能性があります。
対象となるバージョンは以下の通りです。
- サイボウズ Office 9.0.0 から 10.4.0 まで
この問題は、サイボウズ Office を、サイボウズ株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提
供する情報を参照してください。
サイボウズ株式会社
サイボウズ Office 10 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2016/006267.html
サイボウズ株式会社
[CyVDB-910]カスタムアプリに関するクロスサイトスクリプティングの脆弱性
https://support.cybozu.com/ja-jp/article/9427
サイボウズ株式会社
[CyVDB-771]プロジェクトに関するクロスサイトスクリプティングの脆弱性
https://support.cybozu.com/ja-jp/article/9431
サイボウズ株式会社
[CyVDB-770]カスタムアプリに関するクロスサイトスクリプティングの脆弱性
https://support.cybozu.com/ja-jp/article/9430
サイボウズ株式会社
[CyVDB-1090]プロジェクトに関する閲覧制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/9424
サイボウズ株式会社
[CyVDB-1144]プロジェクトに関する操作制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/9442
サイボウズ株式会社
[CyVDB-777]プロジェクトに関する閲覧制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/9429
サイボウズ株式会社
[CyVDB-809]メールヘッダインジェクションの脆弱性
https://support.cybozu.com/ja-jp/article/9433
サイボウズ株式会社
[CyVDB-858]CGI環境変数に関する情報漏えいの脆弱性
https://support.cybozu.com/ja-jp/article/9428
サイボウズ株式会社
[CyVDB-956]スケジュールに関する不適切な入力確認の脆弱性
https://support.cybozu.com/ja-jp/article/9426
サイボウズ株式会社
[CyVDB-1136]ファイル書き出し処理におけるReflected File Downloadの脆弱性
https://support.cybozu.com/ja-jp/article/9434
Cryptography API: Next Generation (CNG) にサービス運用妨害 (DoS) の脆弱性
Cryptography API: Next Generation (CNG) には、脆弱性があります。結果と
して、第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となる製品は以下の通りです。
- Windows 7 以前に含まれる Cryptography API: Next Generation (CNG)
この問題は、OS を Windows 8.1 以降に更新することで解決します。詳細は、
Microsoft が提供する情報を参照してください。
Wireshark に複数の脆弱性
Wireshark には複数の脆弱性があります。結果として、第三者が細工したパケッ
トデータを読み込ませることで、サービス運用妨害 (DoS) 攻撃を行う可能性
があります。
対象となるバージョンは以下の通りです。
- Wireshark 2.2.0
この問題は、Wireshark を、Wireshark が提供する修正済みのバージョンに更
新することで解決します。詳細は、Wireshark が提供する情報を参照してくだ
さい。
Wireshark
Wireshark 2.2.1 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.2.1.html
SetucoCMS に複数の脆弱性
SetucoCMS には、複数の脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユーザ
のブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。
対象となる製品は以下の通りです。
- SetucoCMS
2016年10月13日現在、SetucoCMS の開発は終了しています。SetucoCMS の使用
を停止してください。
SetucoCMSプロジェクト
SetucoCMS
https://ja.osdn.net/projects/setucocms/
L-04D にクロスサイトリクエストフォージェリの脆弱性
L-04D には、クロスサイトリクエストフォージェリの脆弱性があります。結果
として、遠隔の第三者が、ログインしているユーザに細工したページを開かせ
ることで、ユーザの意図しない操作を行う可能性があります。
対象となるバージョンは以下の通りです。
- L-04D ファームウェアバージョン V10a および V10b
この問題は、L-04D のファームウェアを、株式会社NTTドコモが提供する修正
済みのバージョンに更新することで解決します。詳細は、株式会社NTTドコモ
が提供する情報を参照してください。
株式会社NTTドコモ
L-04Dの製品アップデート情報
https://www.nttdocomo.co.jp/support/utilization/product_update/list/l04d/index.html
「フィッシング対策セミナー 2016」開催のお知らせ
フィッシング対策協議会では、「フィッシング対策セミナー 2016」を開催い
たします。本セミナーではフィッシング詐欺に関連する法執行機関、E コマー
ス、金融機関、学術機関の 4者それぞれの専門的な立場から、最新の情報と詐
欺の傾向、その対応策などをご紹介いたします。
参加費は無料ですが、事前に参加申込みが必要となります。満席になり次第、
受付終了とさせていただきますので、ご了承ください。
日時および場所:
2016年11月22日(火) 13:00 - 18:00 (受付開始 12:15)
大崎ブライトコア (JR 大崎駅 新東口)
〒141-0001 東京都品川区北品川5丁目5番15号 大崎ブライトコア3階
http://osaki-hall.jp/access/
「第8回TCG日本支部(JRF)公開ワークショップ」開催のお知らせ
TCG日本支部(JRF) 主催の第8回公開セキュリティワークショップが開催されま
す。今回のテーマは「IoT、組み込み系システム機器に求められるセキュリティ」
です。JPCERT/CC は、本ワークショップに協力し、講演を行います。
日時および場所:
2016年11月2日(水) 13:30 - 19:30
秋葉原UDX 4F GALLERY NEXT1 & NEXT3
〒101-0021 東京都千代田区外神田4丁目14番1号
経済産業省が広報誌「METI Journal 経済産業ジャーナル平成28年10・11月号」を公開
経済産業省が広報誌「METI Journal 経済産業ジャーナル平成28年10・11月号」
を公開しました。同誌では、「進めてる? サイバーセキュリティ対策」とし
てサイバー攻撃への対処法や、サイバーセキュリティ対策の実践例などを紹介
しています。
経済産業省
METI Journal 経済産業ジャーナル平成28年10・11月号
http://www.meti.go.jp/publication/data/2016_10.html