<<< JPCERT/CC WEEKLY REPORT 2017-01-18 >>>
■01/08(日)〜01/14(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
【4】WordPress に複数の脆弱性
【5】サイボウズ リモートサービスマネージャーにクライアント証明書の検証不備の脆弱性
【6】iOS 用 ThreatMetrix SDK に SSL サーバ証明書の検証不備の脆弱性
【7】CodeLathe FileCloud にクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】Windows Vista のサポート期間について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr170201.txt
https://www.jpcert.or.jp/wr/2017/wr170201.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases January 2017 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2017/01/10/Microsoft-Releases-January-2017-Security-Bulletin
概要
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Edge - Microsoft Office - Microsoft Office Services および Web Apps この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2017 年 1 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms17-JanJPCERT/CC Alert 2017-01-11
2017年 1月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170003.html
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/01/10/Adobe-Releases-Security-Updates
概要
複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Acrobat DC 連続トラック 15.020.20042 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat Reader DC 連続トラック 15.020.20042 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat DC クラシック 15.006.30244 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat Reader DC クラシック 15.006.30244 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat XI デスクトップ 11.0.18 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Reader XI デスクトップ 11.0.18 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player デスクトップランタイム 24.0.0.186 およびそれ以前 (Windows 版、Macintosh 版、Linux 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe セキュリティ情報
Adobe Acrobat および Reader に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/acrobat/apsb17-01.htmlAdobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-02.htmlJPCERT/CC Alert 2017-01-11
Adobe Reader および Acrobat の脆弱性 (APSB17-01) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170001.htmlJPCERT/CC Alert 2017-01-11
Adobe Flash Player の脆弱性 (APSB17-02) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170002.html
【3】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
情報源
US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2017/01/11/ISC-Releases-Security-Updates-BIND
概要
ISC BIND 9 には複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.4.0 から 9.6-ESV-R11-W1 まで - BIND 9.8.5 から 9.8.8 まで - BIND 9.9.3 から 9.9.9-P4 まで - BIND 9.9.8-S1 から 9.9.8-S3 まで - BIND 9.9.9-S1 から 9.9.9-S6 まで - BIND 9.10.0 から 9.10.4-P4 まで - BIND 9.11.0 から 9.11.0-P1 まで この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、ISC が提供する情報を参照してください。
関連文書 (日本語)
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9131)
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-malformed-any.html株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9147)
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-inconsistent-dnssec.html株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9444)
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-unusually-formed-ds.html株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9778)
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-nxdomain-redirect.html一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
BIND 9における複数の脆弱性について(2017年1月)
https://www.nic.ad.jp/ja/topics/2017/20170112-01.htmlJapan Vulnerability Notes JVNVU#94085539
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU94085539/JPCERT/CC Alert 2017-01-12
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170004.html
関連文書 (英語)
ISC Knowledge Base
CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion
https://kb.isc.org/article/AA-01439ISC Knowledge Base
CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure
https://kb.isc.org/article/AA-01440ISC Knowledge Base
CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure
https://kb.isc.org/article/AA-01441ISC Knowledge Base
CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c
https://kb.isc.org/article/AA-01442
【4】WordPress に複数の脆弱性
情報源
WordPress
WordPress 4.7.1 セキュリティ・メンテナンスリリース
https://ja.wordpress.org/2017/01/12/wordpress-4-7-1-security-and-maintenance-release/
概要
WordPress には複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行したり するなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.7.1 より前のバージョン この問題は、WordPress を WordPress が提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。
【5】サイボウズ リモートサービスマネージャーにクライアント証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#19241292
サイボウズ リモートサービスマネージャーにおけるクライアント証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN19241292/
概要
サイボウズ リモートサービスマネージャーにはクライアント証明書の検証不 備の脆弱性があります。結果として、当該製品のユーザが外部からサービスに アクセスする可能性があります。 対象となるバージョンは以下の通りです。 - リモートサービスマネージャー 3.0.0 から 3.1.4 まで この問題は、リモートサービスマネージャーをサイボウズ株式会社が提供する 修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株式 会社が提供する情報を参照してください。
関連文書 (日本語)
サイボウズ株式会社
[CyVDB-1277]MDMオプションに関する不適切な認証の脆弱性
https://support.cybozu.com/ja-jp/article/9689
【6】iOS 用 ThreatMetrix SDK に SSL サーバ証明書の検証不備の脆弱性
情報源
CERT/CC Vulnerability Note VU#767208
ThreatMetrix SDK for iOS fails to validate SSL certificates
https://www.kb.cert.org/vuls/id/767208
概要
iOS 用 ThreatMetrix SDK には SSL サーバ証明書の検証不備の脆弱性があり ます。結果として、第三者が、中間者攻撃によって、暗号通信を盗聴するなど の可能性があります。 対象となるバージョンは以下の通りです。 - ThreatMetrix SDK 3.2 より前のバージョン この問題は、ThreatMetrix SDK を ThreatMetrix が提供する修正済みのバー ジョンに更新することで解決します。詳細は、ThreatMetrix が提供する情報 を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95516811
iOS 用 ThreatMetrix SDK に SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/vu/JVNVU95516811/
【7】CodeLathe FileCloud にクロスサイトリクエストフォージェリの脆弱性
情報源
CERT/CC Vulnerability Note VU#865216
CodeLathe FileCloud is vulnerable to cross-site request forgery
https://www.kb.cert.org/vuls/id/865216
概要
FileCloud にはクロスサイトリクエストフォージェリの脆弱性があります。結 果として、遠隔の第三者がユーザの意図しない操作を行う可能性があります。 対象となるバージョンは以下の通りです。 - FileCloud 13.0.0.32841 およびそれ以前 この問題は、FileCloud を CodeLathe が提供する修正済みのバージョンに更 新することで解決します。詳細は、CodeLathe が提供する情報を参照してくだ さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91580972
CodeLathe FileCloud にクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/vu/JVNVU91580972/
関連文書 (英語)
CodeLathe
FILECLOUD VERSION 14.0.0.34030 (JAN 12, 2017)
https://www.getfilecloud.com/releasenotes/
■今週のひとくちメモ
○Windows Vista のサポート期間について
2017年4月11日をもって、Windows Vista の延長サポートが終了します。サポー ト終了後は、セキュリティ上の脅威が高まります。Windows Vista を利用して いる場合、サポートが行われているバージョンへの早めの移行をお勧めします。 また、同日に Microsoft Exchange Server 2007 の延長サポートも終了する予 定です。
参考文献 (日本語)
Microsoft
Windows Vista または Windows XP を Windows 7 にアップグレードする際に必要な事前準備
https://support.microsoft.com/ja-jp/kb/2028274Microsoft
Windows ライフサイクルのファクトシート
https://support.microsoft.com/ja-jp/help/13853/windows-lifecycle-fact-sheetMicrosoft
製品のライフサイクルの検索 - Microsoft Exchange Server 2007 Service Pack 3
https://support.microsoft.com/ja-jp/lifecycle/search?alpha=Microsoft%20Exchange%20Server%202007%20Service%20Pack%203
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/