-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-5001 JPCERT/CC 2016-12-21 <<< JPCERT/CC WEEKLY REPORT 2016-12-21 >>> ―――――――――――――――――――――――――――――――――――――― ■12/11(日)〜12/17(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】複数の Apple 製品に脆弱性 【4】Mozilla Firefox に複数の脆弱性 【5】Apache Tomcat に情報漏えいの脆弱性 【6】McAfee VirusScan Enterprise for Linux に複数の脆弱性 【7】Joomla! に複数の脆弱性 【8】サイボウズ デヂエに複数のアクセス制限不備の脆弱性 【9】Apache ActiveMQ にクロスサイトスクリプティングの脆弱性 【10】複数のソニー製ビデオ会議システムに認証不備の脆弱性 【11】EpubCheck に脆弱性 【今週のひとくちメモ】NISC が「ネットワークビギナーのための情報セキュリティハンドブック」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr165001.html https://www.jpcert.or.jp/wr/2016/wr165001.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases December 2016 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2016/12/13/Microsoft-Releases-December-2016-Security-Bulletin 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Edge - Microsoft Office - Microsoft Office Services および Web Apps - Microsoft .NET Framework この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2016 年 12 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms16-Dec JPCERT/CC Alert 2016-12-14 2016年 12月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160049.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/12/13/Adobe-Releases-Security-Updates 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 23.0.0.207 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.644 およびそれ以前 (Linux 版) - Adobe Animate 15.2.1.95 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Experience Manager Forms 6.2 (Windows 版、Linux 版、Solaris 版、AIX 版、Unix 版、OS X 版) - Adobe Experience Manager Forms 6.1 (Windows 版、Linux 版、Solaris 版、AIX 版、Unix 版、OS X 版) - Adobe Experience Manager Forms 6.0 (Windows 版、Linux 版、Solaris 版、AIX 版、Unix 版、OS X 版) - LiveCycle 11.0.1 (Windows 版、Linux 版、Solaris 版、AIX 版) - LiveCycle 10.0.4 (Windows 版、Linux 版、Solaris 版、AIX 版) - Adobe DNG Converter 9.7 およびそれ以前 (Windows 版、Macintosh 版) - InDesign 11.4.1 およびそれ以前 (Windows 版、Macintosh 版) - InDesign Server 11.0.0 およびそれ以前 (Windows 版、Macintosh 版) - ColdFusion Builder 2016 Update 2 およびそれ以前 (Windows 版、Linux 版、Macintosh 版) - ColdFusion Builder 3.0.3 およびそれ以前 (Windows 版、Linux 版、Macintosh 版) - Adobe Digital Editions 4.5.2 およびそれ以前 (Windows 版、Macintosh 版、Android 版) - RoboHelp 2015.0.3 およびそれ以前 (Windows 版) - RoboHelp 11 およびそれ以前 (Windows 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe セキュリティ情報 Adobe Animate に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/animate/apsb16-38.html Adobe セキュリティ情報 Adobe Flash Player に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb16-39.html Adobe セキュリティ情報 Adobe Experience Manager Forms を対象としたセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/aem-forms/apsb16-40.html Adobe セキュリティ情報 Adobe DNG Converter に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/dng-converter/apsb16-41.html Adobe セキュリティ情報 Adobe Experience Manager 用のセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/experience-manager/apsb16-42.html Adobe セキュリティ情報 InDesign を対象としたセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/indesign/apsb16-43.html Adobe セキュリティ情報 ColdFusion Builder に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/coldfusion/apsb16-44.html Adobe セキュリティ情報 Adobe Digital Editions に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb16-45.html Adobe セキュリティ情報 RoboHelp に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/robohelp/apsb16-46.html Japan Vulnerability Notes JVNVU#90937983 Adobe Flash Player における解放済みメモリ使用 (use-after-free) の脆弱性 https://jvn.jp/vu/JVNVU90937983/ JPCERT/CC Alert 2016-12-14 Adobe Flash Player の脆弱性 (APSB16-39) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160048.html 【3】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/12/12/Apple-Releases-Security-Updates US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/12/14/Apple-Releases-Security-Updates 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を取得したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 10.2 より前のバージョン - tvOS 10.1 より前のバージョン - macOS Sierra 10.12.2 より前のバージョン - iTunes 12.5.4 for Windows より前のバージョン - Safari 10.0.2 より前のバージョン - iCloud for Windows 6.1 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 なお、watchOS のアップデートには不具合があったとのことで、 2016年12月20日現在、このアップデートは取り下げられています。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93979172 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU93979172/ Japan Vulnerability Notes JVNVU#97133642 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU97133642/ 関連文書 (英語) Apple About the security content of iOS 10.2 https://support.apple.com/en-us/HT207422 Apple About the security content of tvOS 10.1 https://support.apple.com/en-us/HT207425 Apple About the security content of macOS Sierra 10.12.2 https://support.apple.com/en-us/HT207423 Apple About the security content of iTunes 12.5.4 for Windows https://support.apple.com/en-us/HT207427 Apple About the security content of Safari 10.0.2 https://support.apple.com/en-us/HT207421 Apple About the security content of iCloud for Windows 6.1 https://support.apple.com/en-us/HT207424 CNET Apple rolls back watchOS for bricking devices https://www.cnet.com/news/apple-rolls-back-watch-update-to-save-your-devices/ 【4】Mozilla Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/12/14/Mozilla-Releases-Security-Updates 概要 Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となるバージョンは以下の通りです。 - Mozilla Firefox 50.1 より前のバージョン - Mozilla Firefox ESR 45.6 より前のバージョン この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2016 年 12 月 13 日) http://www.mozilla-japan.org/security/announce/ 【5】Apache Tomcat に情報漏えいの脆弱性 情報源 Japan Vulnerability Notes JVNVU#97321122 Apache Tomcat に情報漏えいの脆弱性 https://jvn.jp/vu/JVNVU97321122/ 概要 Apache Tomcat には、情報漏えいの脆弱性があります。結果として、攻撃者が 通信内容を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Apache Tomcat 9.0.0.M1 から 9.0.0.M13 まで - Apache Tomcat 8.5.0 から 8.5.8 まで この問題は、Apache Tomcat を The Apache Software Foundation が提供する 修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) The Apache Software Foundation Fixed in Apache Tomcat 9.0.0.M15 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M15 The Apache Software Foundation Fixed in Apache Tomcat 8.5.9 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.9 【6】McAfee VirusScan Enterprise for Linux に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#245327 McAfee VirusScan for Linux contains multiple vulnerabilities https://www.kb.cert.org/vuls/id/245327 概要 McAfee VirusScan Enterprise for Linux には、複数の脆弱性があります。結 果として、遠隔の第三者が、任意のコードを実行したり、ユーザのブラウザ上 で任意のスクリプトを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - VirusScan Enterprise for Linux version 2.0.3 およびそれ以前 この問題は、VirusScan Enterprise for Linux を McAfee が提供する修正済 みのバージョンに更新することで解決します。詳細は、McAfee が提供する情 報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90572729 McAfee Virus Scan Enterprise for Linux に複数の脆弱性 https://jvn.jp/vu/JVNVU90572729/ 関連文書 (英語) McAfee VirusScan Enterprise for Linux/LinuxShield update fixes multiple vulnerabilities https://kc.mcafee.com/corporate/index?page=content&id=SB10181 【7】Joomla! に複数の脆弱性 情報源 US-CERT Current Activity Joomla! Releases Security Update for CMS https://www.us-cert.gov/ncas/current-activity/2016/12/14/Joomla-Releases-Security-Update-CMS 概要 Joomla! には、複数の脆弱性があります。結果として、遠隔の第三者がユーザ のアカウント情報を変更するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Joomla! 1.6.0 から 3.6.4 まで この問題は、Joomla! を Joomla! が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Joomla! が提供する情報を参照してください。 関連文書 (英語) Joomla! Developer Network Security Announcements [20161201] - Core - Elevated Privileges https://developer.joomla.org/security-centre/664-20161201-core-elevated-privileges.html Joomla! Developer Network Security Announcements [20161202] - Core - Shell Upload https://developer.joomla.org/security-centre/665-20161202-core-shell-upload.html Joomla! Developer Network Security Announcements [20161203] - Core - Information Disclosure https://developer.joomla.org/security-centre/666-20161203-core-information-disclosure.html 【8】サイボウズ デヂエに複数のアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#16781735 サイボウズ デヂエにおける複数のアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN16781735/ 概要 サイボウズ デヂエには、複数のアクセス制限不備の脆弱性があります。結果 として、遠隔の第三者が、任意のファイルを取得したり、削除したりする可能 性があります。 対象となるバージョンは以下の通りです。 - サイボウズ デヂエ 8.0.0 から 8.1.1 まで この問題は、サイボウズ デヂエをサイボウズ株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供 する情報を参照してください。 関連文書 (日本語) サイボウズ株式会社 [CyVDB-1240]ライブラリに関する操作制限回避の脆弱性 https://support.cybozu.com/ja-jp/article/9741 サイボウズ株式会社 [CyVDB-1238]ライブラリに関する操作制限回避の脆弱性 https://support.cybozu.com/ja-jp/article/9742 【9】Apache ActiveMQ にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#78980598 Apache ActiveMQ におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN78980598/ 概要 Apache ActiveMQ には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となるバージョンは以下の通りです。 - Apache ActiveMQ 5.0.0 から 5.14.1 まで この問題は、Apache ActiveMQ を The Apache Software Foundation が提供す る修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) The Apache Software Foundation CVE-2016-6810: ActiveMQ Web Console - Cross-Site Scripting https://activemq.apache.org/security-advisories.data/CVE-2016-6810-announcement.txt 【10】複数のソニー製ビデオ会議システムに認証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#42070907 複数のソニー製ビデオ会議システムにおける認証不備の脆弱性 https://jvn.jp/jp/JVN42070907/ 概要 複数のソニー製ビデオ会議システムには、認証不備の脆弱性があります。結果 として、遠隔の第三者が管理者権限で任意の操作を行う可能性があります。 対象となる製品は以下の通りです。 - PCS-XG100 - PCS-XG100S - PCS-XG77 - PCS-XG77S - PCS-XC1 この問題は、該当する製品のファームウェアをソニー株式会社が提供する修正 済みのバージョンに更新することで解決します。詳細は、ソニー株式会社が提 供する情報を参照してください。 関連文書 (日本語) ソニー株式会社 ビデオ会議システム『PCS-XG77, PCS-XG77S, PCS-XG100, PCS-XG100S, PCS-XC1』をご愛用のお客様へ セキュリティ対策ソフトウェアバージョンアップのお願い https://www.sony.jp/pcs/info/20160325.html 【11】EpubCheck に脆弱性 情報源 CERT/CC Vulnerability Note VU#779243 EpubCheck 4.0.1 contains a XML external entity processing vulnerability https://www.kb.cert.org/vuls/id/779243 概要 EpubCheck には、XML データの処理に関する脆弱性があります。結果として、 遠隔の第三者が、任意のファイルにアクセスしたり、任意のリクエストを送信 したりする可能性があります。 対象となるバージョンは以下の通りです。 - EpubCheck 4.0.1 この問題は、EpubCheck を International Digital Publishing Forum が提供 する修正済みのバージョンに更新することで解決します。詳細は、 International Digital Publishing Forum が提供する情報を参照してくださ い。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96226231 EpubCheck に XML 外部実体参照 (XXE) に関する脆弱性 https://jvn.jp/vu/JVNVU96226231/ 関連文書 (英語) International Digital Publishing Forum EpubCheck 4.0.2 https://github.com/IDPF/epubcheck/releases/tag/v4.0.2 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NISC が「ネットワークビギナーのための情報セキュリティハンドブック」を公開 2016年12月15日、内閣官房内閣サイバーセキュリティセンター (NISC) は、「ネッ トワークビギナーのための情報セキュリティハンドブック」を公開しました。 このハンドブックは、家庭で使用するパソコンやスマートフォンなど、身近な ものを題材に、セキュリティの基本や、安全に使用するための方法などを解説 したものです。 参考文献 (日本語) 内閣官房内閣サイバーセキュリティセンター (NISC) ネットワークビギナーのための情報セキュリティハンドブック http://www.nisc.go.jp/security-site/files/handbook-all.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYWceiAAoJEDF9l6Rp7OBIku8H/Ak7mBsGXkLkBBj4toMkCx1v 19kesAv2GgekWxcnP45hQYg722cbjEJpZH9q9zMcje7kzbYnuGlP7R2MAoViW80F qu+D74eOzO/xofWyrY8u2CTHUW1yJMsVvdlkDpxmIJwhA3uoGFnsshY3BQipBdvb sxoH6Y7VS+iy3aIZmGSrJiRudnm0JFxXMdGKi+Q25Eygts9925TkPuMLlK72J2/W meVHnx8T+14jWHZdqP/Mf5uIIB3CBVhz5A6cdfdW1bbOARDK+W5l1YG7aWORmQgF rrYvjypRDjc8cC1aH5QxovQQnw3jvSElKd+my18xbKqzQ3bzizMRkkkkRhSu61U= =MPpn -----END PGP SIGNATURE-----