-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-4301 JPCERT/CC 2016-11-02 <<< JPCERT/CC WEEKLY REPORT 2016-11-02 >>> ―――――――――――――――――――――――――――――――――――――― ■10/23(日)〜10/29(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Flash Player に脆弱性 【2】複数の Apple 製品に脆弱性 【3】複数の Cisco 製品に脆弱性 【4】Apache Tomcat に複数の脆弱性 【5】Joomla! に複数の脆弱性 【6】7-Zip for Windows のインストーラに脆弱性 【今週のひとくちメモ】IPA が「情報セキュリティ対策ベンチマーク バージョン4.5」と「診断の基礎データの統計情報」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr164301.html https://www.jpcert.or.jp/wr/2016/wr164301.xml ============================================================================ 【1】Adobe Flash Player に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/10/26/Adobe-Releases-Security-Update 概要 Adobe Flash Player には、解放済みメモリ使用 (use-after-free) の脆弱性 があります。結果として、遠隔の第三者が、細工したコンテンツを開かせるこ とで、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 23.0.0.185 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.637 およびそれ以前 (Linux 版) この問題は、Adobe Flash Player を Adobe が提供する修正済みのバージョン に更新することで解決します。詳細は、Adobe が提供する情報を参照してくだ さい。 関連文書 (日本語) Adobe セキュリティ情報 Adobe Flash Player に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb16-36.html JPCERT/CC Alert 2016-10-27 Adobe Flash Player の脆弱性 (APSB16-36) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160043.html 【2】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/10/24/Apple-Releases-Security-Updates 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 10.1 より前のバージョン - macOS Sierra 10.12.1 より前のバージョン - Safari 10.0.1 より前のバージョン - tvOS 10.0.1 より前のバージョン - watchOS 3.1 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Apple iOS 10.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT207271 Apple macOS Sierra 10.12.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT207275 Apple Safari 10.0.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT207272 Apple tvOS 10.0.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT207270 Apple watchOS 3.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT207269 Japan Vulnerability Notes JVNVU#90743185 複数の Apple 製品の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU90743185/ 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2016/10/26/Cisco-Releases-Security-Updates-Multiple-Products US-CERT Current Activity Cisco Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/10/24/Cisco-Releases-Security-Update 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユー ザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となる製品は以下の通りです。 - Cisco WebEx Meetings Player - Cisco Identity Services Engine (ISE) - Cisco AsyncOS Software for Cisco Email Security Appliances (ESA) - Cisco AsyncOS Software for Cisco Web Security Appliances (WSA) - Cisco Hosted Collaboration Mediation Fulfillment - Cisco IP Interoperability and Collaboration System (IPICS) - Cisco Prime Collaboration Provisioning この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Security Advisories and Alerts https://tools.cisco.com/security/center/publicationListing.x 【4】Apache Tomcat に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#95366887 Apache Tomcat の複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU95366887/ 概要 Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が 情報を取得するなどの可能性があります。 対象となるバージョンは以下の通りです。なお、サポート対象外の旧バージョン もこの問題の影響を受ける可能性があります。 - Apache Tomcat 9.0.0.M1 から 9.0.0.M9 まで - Apache Tomcat 8.5.0 から 8.5.4 まで - Apache Tomcat 8.0.0.RC1 から 8.0.36 まで - Apache Tomcat 7.0.0 から 7.0.70 まで - Apache Tomcat 6.0.0 から 6.0.45 まで この問題は、Apache Tomcat を The Apache Software Foundation が提供する 修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) Apache Tomcat Fixed in Apache Tomcat 9.0.0.M10 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M10 Apache Tomcat Fixed in Apache Tomcat 8.5.5 and 8.0.37 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.5_and_8.0.37 Apache Tomcat Fixed in Apache Tomcat 7.0.72 https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.72 Apache Tomcat Fixed in Apache Tomcat 6.0.47 https://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.47 【5】Joomla! に複数の脆弱性 情報源 US-CERT Current Activity Joomla! Releases Security Update for CMS https://www.us-cert.gov/ncas/current-activity/2016/10/25/Joomla-Releases-Security-Update-CMS 概要 Joomla! には、複数の脆弱性があります。結果として、攻撃者が、アカウント を作成したり、権限昇格を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Joomla! 3.4.4 から 3.6.3 まで この問題は、Joomla! を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Joomla! Security Centre [20161001] - Core - Account Creation https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html Joomla! Security Centre [20161002] - Core - Elevated Privileges https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html 【6】7-Zip for Windows のインストーラに脆弱性 情報源 Japan Vulnerability Notes JVN#76780067 7-Zip for Windows のインストーラにおける任意の DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN76780067/ 概要 7-Zip for Windows のインストーラには、任意の DLL 読み込みに関する脆弱 性があります。結果として、第三者が、任意のコードを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - 7-Zip for Windows 16.02 およびそれ以前 この問題は、開発者が提供する修正済みのインストーラを使用することで解決 します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) HISTORY of the 7-Zip 16.03 2016-09-28 http://www.7-zip.org/history.txt ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA が「情報セキュリティ対策ベンチマーク バージョン4.5」と「診断の基礎データの統計情報」を公開 2016年10月27日、情報処理推進機構 (IPA) は、「情報セキュリティ対策ベン チマーク バージョン4.5」と「診断の基礎データの統計情報」を公開しました。 「情報セキュリティ対策ベンチマーク バージョン4.5」は、ISMS 認証基準を ベースにした質問に回答することにより、セキュリティ対策の取組状況がどの レベルに位置しているかを確認できる自己診断システムです。「診断の基礎デー タの統計情報」は、実際に診断を行った 4,724件の企業の診断データをまとめ たものです。 参考文献 (日本語) 情報処理推進機構 (IPA) 「情報セキュリティ対策ベンチマーク バージョン4.5」と「診断の基礎データの統計情報」を公開 https://www.ipa.go.jp/security/benchmark/benchmark_20161027.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYGS82AAoJEDF9l6Rp7OBIpeEH/RiYy73Fv0Lt1nVpfDQcajkw 2/ffZiH8wWxqELsCMz2Tx/3jlH8weeu5TsATt4ROWEs3wYr1TdmTVKLn36bkrLQY oxCSoYnUWKqTzk0D+g8uGUmH/Vj33u4aW9SkAkbv9E+M/E8SY61NABpFzjDUeqsG y9T5yxTTomVvbwq43T8SI+EcfFseLNLVrcNTVm19ikseGKuOobSfWgaPAY6X1Pxo MlU2uLvfGN3GH+PzNMZl0wJhLaCjLfiRa3A/gb1SEcOs2WOuvbeZxfNovHTgSnfr Cr3vqZOfO7jc0Qml11vv9VJL6HQNBa/AGDKP6OvqUMdj+JMfcHa005+bSZEbfaY= =V8Xz -----END PGP SIGNATURE-----