-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-0201 JPCERT/CC 2017-01-18 <<< JPCERT/CC WEEKLY REPORT 2017-01-18 >>> ―――――――――――――――――――――――――――――――――――――― ■01/08(日)〜01/14(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 【4】WordPress に複数の脆弱性 【5】サイボウズ リモートサービスマネージャーにクライアント証明書の検証不備の脆弱性 【6】iOS 用 ThreatMetrix SDK に SSL サーバ証明書の検証不備の脆弱性 【7】CodeLathe FileCloud にクロスサイトリクエストフォージェリの脆弱性 【今週のひとくちメモ】Windows Vista のサポート期間について ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr170201.html https://www.jpcert.or.jp/wr/2017/wr170201.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases January 2017 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2017/01/10/Microsoft-Releases-January-2017-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Edge - Microsoft Office - Microsoft Office Services および Web Apps この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2017 年 1 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms17-Jan JPCERT/CC Alert 2017-01-11 2017年 1月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170003.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/01/10/Adobe-Releases-Security-Updates 概要 複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Acrobat DC 連続トラック 15.020.20042 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat Reader DC 連続トラック 15.020.20042 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat DC クラシック 15.006.30244 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat Reader DC クラシック 15.006.30244 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat XI デスクトップ 11.0.18 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Reader XI デスクトップ 11.0.18 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player デスクトップランタイム 24.0.0.186 およびそれ以前 (Windows 版、Macintosh 版、Linux 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe セキュリティ情報 Adobe Acrobat および Reader に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/acrobat/apsb17-01.html Adobe セキュリティ情報 Adobe Flash Player に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb17-02.html JPCERT/CC Alert 2017-01-11 Adobe Reader および Acrobat の脆弱性 (APSB17-01) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170001.html JPCERT/CC Alert 2017-01-11 Adobe Flash Player の脆弱性 (APSB17-02) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170002.html 【3】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Current Activity ISC Releases Security Updates for BIND https://www.us-cert.gov/ncas/current-activity/2017/01/11/ISC-Releases-Security-Updates-BIND 概要 ISC BIND 9 には複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.4.0 から 9.6-ESV-R11-W1 まで - BIND 9.8.5 から 9.8.8 まで - BIND 9.9.3 から 9.9.9-P4 まで - BIND 9.9.8-S1 から 9.9.8-S3 まで - BIND 9.9.9-S1 から 9.9.9-S6 まで - BIND 9.10.0 から 9.10.4-P4 まで - BIND 9.11.0 から 9.11.0-P1 まで この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9131) https://jprs.jp/tech/security/2017-01-12-bind9-vuln-malformed-any.html 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9147) https://jprs.jp/tech/security/2017-01-12-bind9-vuln-inconsistent-dnssec.html 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9444) https://jprs.jp/tech/security/2017-01-12-bind9-vuln-unusually-formed-ds.html 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9778) https://jprs.jp/tech/security/2017-01-12-bind9-vuln-nxdomain-redirect.html 一般社団法人日本ネットワークインフォメーションセンター (JPNIC) BIND 9における複数の脆弱性について(2017年1月) https://www.nic.ad.jp/ja/topics/2017/20170112-01.html Japan Vulnerability Notes JVNVU#94085539 ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU94085539/ JPCERT/CC Alert 2017-01-12 ISC BIND 9 に対する複数の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170004.html 関連文書 (英語) ISC Knowledge Base CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion https://kb.isc.org/article/AA-01439 ISC Knowledge Base CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure https://kb.isc.org/article/AA-01440 ISC Knowledge Base CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure https://kb.isc.org/article/AA-01441 ISC Knowledge Base CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c https://kb.isc.org/article/AA-01442 【4】WordPress に複数の脆弱性 情報源 WordPress WordPress 4.7.1 セキュリティ・メンテナンスリリース https://ja.wordpress.org/2017/01/12/wordpress-4-7-1-security-and-maintenance-release/ 概要 WordPress には複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行したり するなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.7.1 より前のバージョン この問題は、WordPress を WordPress が提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 【5】サイボウズ リモートサービスマネージャーにクライアント証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#19241292 サイボウズ リモートサービスマネージャーにおけるクライアント証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN19241292/ 概要 サイボウズ リモートサービスマネージャーにはクライアント証明書の検証不 備の脆弱性があります。結果として、当該製品のユーザが外部からサービスに アクセスする可能性があります。 対象となるバージョンは以下の通りです。 - リモートサービスマネージャー 3.0.0 から 3.1.4 まで この問題は、リモートサービスマネージャーをサイボウズ株式会社が提供する 修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株式 会社が提供する情報を参照してください。 関連文書 (日本語) サイボウズ株式会社 [CyVDB-1277]MDMオプションに関する不適切な認証の脆弱性 https://support.cybozu.com/ja-jp/article/9689 【6】iOS 用 ThreatMetrix SDK に SSL サーバ証明書の検証不備の脆弱性 情報源 CERT/CC Vulnerability Note VU#767208 ThreatMetrix SDK for iOS fails to validate SSL certificates https://www.kb.cert.org/vuls/id/767208 概要 iOS 用 ThreatMetrix SDK には SSL サーバ証明書の検証不備の脆弱性があり ます。結果として、第三者が、中間者攻撃によって、暗号通信を盗聴するなど の可能性があります。 対象となるバージョンは以下の通りです。 - ThreatMetrix SDK 3.2 より前のバージョン この問題は、ThreatMetrix SDK を ThreatMetrix が提供する修正済みのバー ジョンに更新することで解決します。詳細は、ThreatMetrix が提供する情報 を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95516811 iOS 用 ThreatMetrix SDK に SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/vu/JVNVU95516811/ 【7】CodeLathe FileCloud にクロスサイトリクエストフォージェリの脆弱性 情報源 CERT/CC Vulnerability Note VU#865216 CodeLathe FileCloud is vulnerable to cross-site request forgery https://www.kb.cert.org/vuls/id/865216 概要 FileCloud にはクロスサイトリクエストフォージェリの脆弱性があります。結 果として、遠隔の第三者がユーザの意図しない操作を行う可能性があります。 対象となるバージョンは以下の通りです。 - FileCloud 13.0.0.32841 およびそれ以前 この問題は、FileCloud を CodeLathe が提供する修正済みのバージョンに更 新することで解決します。詳細は、CodeLathe が提供する情報を参照してくだ さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91580972 CodeLathe FileCloud にクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/vu/JVNVU91580972/ 関連文書 (英語) CodeLathe FILECLOUD VERSION 14.0.0.34030 (JAN 12, 2017) https://www.getfilecloud.com/releasenotes/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Windows Vista のサポート期間について 2017年4月11日をもって、Windows Vista の延長サポートが終了します。サポー ト終了後は、セキュリティ上の脅威が高まります。Windows Vista を利用して いる場合、サポートが行われているバージョンへの早めの移行をお勧めします。 また、同日に Microsoft Exchange Server 2007 の延長サポートも終了する予 定です。 参考文献 (日本語) Microsoft Windows Vista または Windows XP を Windows 7 にアップグレードする際に必要な事前準備 https://support.microsoft.com/ja-jp/kb/2028274 Microsoft Windows ライフサイクルのファクトシート https://support.microsoft.com/ja-jp/help/13853/windows-lifecycle-fact-sheet Microsoft 製品のライフサイクルの検索 - Microsoft Exchange Server 2007 Service Pack 3 https://support.microsoft.com/ja-jp/lifecycle/search?alpha=Microsoft%20Exchange%20Server%202007%20Service%20Pack%203 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYfrAOAAoJEDF9l6Rp7OBIf34IAIXvbGtj0K2niX0P1kzOtC16 +G5H+crvPFwyDkHgg3SETLtOhfI1/zNy12b1AchXcnXV83m2h6tSLMCUfNs5MXuf Pscu8pWVLlOKZRIo2umX+PHnK7l4tqqiKxAtvJQta6R8IYI/g7gpqnQUHwvIKkfU TnCqKFQXGVLMHYwfAKGNTFmjhneBwAQ8ys712vsAXkbN4Z+bog4+9VAb1RDtRQcA 8LboF5Ir5sPV+DM3BWpNqS1Skjdzkk7dXGIHAU5bBghQpHWB5I8p1USF/V7H7Mfv jULSuq2z/39ojjk2CwUaAmvcSooNEx336RCuyzT7c4E4Ue28JnlMwyyLbmJQkhw= =o/Bc -----END PGP SIGNATURE-----