<<< JPCERT/CC WEEKLY REPORT 2017-03-23 >>>
■03/12(日)〜03/18(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の Cisco 製品に脆弱性
【4】複数の VMware 製品に脆弱性
【5】Apache Tomcat に情報漏えいの脆弱性
【6】Drupal に複数の脆弱性
【7】安全なウェブサイト運営入門に OS コマンドインジェクションの脆弱性
【8】サイボウズ KUNAI for Android に情報管理不備の脆弱性
【9】Commvault Edge にバッファオーバーフローの脆弱性
【今週のひとくちメモ】US-CERT が「HTTPS Interception Weakens TLS Security」公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr171101.txt
https://www.jpcert.or.jp/wr/2017/wr171101.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases March 2017 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2017/03/14/Microsoft-Releases-March-2017-Security-Bulletin
概要
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Internet Explorer - Microsoft Edge - Microsoft Office - Microsoft Office Services および Web Apps - Microsoft Exchange - Skype for Business - Microsoft Lync - Microsoft Silverlight - Microsoft サーバー ソフトウェア - Microsoft コミュニケーション プラットフォームおよびソフトウェア この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2017 年 3 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms17-MarJapan Vulnerability Notes JVNVU#95841181
Microsoft Windows の SMB Tree Connect Response パケットの処理にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU95841181/JPCERT/CC Alert 2017-03-15
2017年 3月 Microsoft セキュリティ情報 (緊急 9件含) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170011.html
関連文書 (英語)
US-CERT Current Activity
Microsoft SMBv1 Vulnerability
https://www.us-cert.gov/ncas/current-activity/2017/03/16/Microsoft-SMBv1-Vulnerability
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/03/14/Adobe-Releases-Security-Updates
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 24.0.0.221 およびそれ以前 (Windows 版、Macintosh 版、Linux 版) - Adobe Shockwave Player 12.2.7.197 およびそれ以前 (Windows 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-07.htmlAdobe セキュリティ情報
Adobe Shockwave Player用セキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/shockwave/apsb17-08.htmlJPCERT/CC Alert 2017-03-15
Adobe Flash Player の脆弱性 (APSB17-07) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170010.html
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/03/15/Cisco-Releases-Security-Updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を取得したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Mobility Express 1800 Series Access Points 8.2.110.0 より前のバージョン - StarOS 17.7.0 より後のバージョンの 17 系が稼働している Cisco ASR 5000/5500/5700 Series - StarOS 18.7.4 より前のバージョンの 18 系が稼働している Cisco ASR 5000/5500/5700 Series - StarOS 19.5 より前のバージョンの 19 系が稼働している Cisco ASR 5000/5500/5700 Series - StarOS 20.2.3 より前のバージョンの 20 系が稼働している Cisco ASR 5000/5500/5700 Series - StarOS N4.2.7 (19.3.v7) より前のバージョンが稼働している Cisco Virtualized Packet Core - StarOS N4.7 (20.2.v0) より前のバージョンが稼働している Cisco Virtualized Packet Core - Cisco Tidal Enterprise Scheduler Client Manager Server 6.2.1.435 およびそれ以降 - Cisco Workload Automation Client Manager Server 6.3.0.116 およびそれ以降 - Cisco 8500/5500/2500 Series Wireless Controller 8.0.140.0 より前のバージョン - Cisco 8500/5500/2500 Series Wireless Controller 8.2 より前のバージョン - Cisco Flex 7500 Series Wireless Controller 8.0.140.0 より前のバージョン - Cisco Flex 7500 Series Wireless Controller 8.2 より前のバージョン - Cisco Virtual Wireless Controller 8.0.140.0 より前のバージョン - Cisco Virtual Wireless Controller 8.2 より前のバージョン - Wireless Services Module 2 (WiSM2) 8.0.140.0 より前のバージョン - Wireless Services Module 2 (WiSM2) 8.2 より前のバージョン この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 するか、該当する製品に hotfix を適用することで解決します。詳細は、 Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Mobility Express 1800 Access Point Series Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-ap1800Cisco Security Advisory
Cisco StarOS SSH Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-asrCisco Security Advisory
Cisco Workload Automation and Tidal Enterprise Scheduler Client Manager Server Arbitrary File Read Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-tesCisco Security Advisory
Cisco Meshed Wireless LAN Controller Impersonation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-wlc-mesh
【4】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/03/14/VMware-Releases-Security-Updates
概要
複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー ザがホスト OS 上で任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware Workstation Pro 12.5.4 より前のバージョン - VMware Workstation Player 12.5.4 より前のバージョン - VMware Fusion Pro 8.5.5 より前のバージョン - VMware Fusion 8.5.5 より前のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2017-0005
https://www.vmware.com/security/advisories/VMSA-2017-0005.html
【5】Apache Tomcat に情報漏えいの脆弱性
情報源
Japan Vulnerability Notes JVNVU#94686945
Apache Tomcat に情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU94686945/
概要
Apache Tomcat には、情報漏えいの脆弱性があります。結果として、遠隔の第 三者が通信内容を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Apache Tomcat 9.0.0.M11 から 9.0.0.M15 まで - Apache Tomcat 8.5.7 から 8.5.9 まで この問題は、Apache Tomcat を Apache Tomcat が提供する修正済みのバージョン に更新することで解決します。詳細は、Apache Tomcat が提供する情報を参照 してください。
関連文書 (英語)
Apache Tomcat
Fixed in Apache Tomcat 9.0.0.M17
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M17Apache Tomcat
Fixed in Apache Tomcat 8.5.11
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.11
【6】Drupal に複数の脆弱性
情報源
US-CERT Current Activity
Drupal Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/03/15/Drupal-Releases-Security-Update
概要
Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が任意の コードを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Drupal 8.2.7 より前のバージョン この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Drupal が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-001
https://www.drupal.org/SA-2017-001
【7】安全なウェブサイト運営入門に OS コマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#11448789
安全なウェブサイト運営入門における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN11448789/
概要
安全なウェブサイト運営入門には、OS コマンドインジェクションの脆弱性が あります。結果として、第三者が、細工したセーブデータを読み込ませること で、任意の OS コマンドを実行する可能性があります。 対象となる製品は以下の通りです。 - 安全なウェブサイト運営入門 2017年3月23日現在、安全なウェブサイト運営入門の開発は終了しています。 安全なウェブサイト運営入門の使用を停止してください。詳細は、情報処理推 進機構 (IPA) が提供する情報を参照してください。
関連文書 (日本語)
情報処理推進機構 (IPA)
「安全なウェブサイト運営入門」におけるOSコマンド・インジェクションの脆弱性
https://www.ipa.go.jp/security/vuln/7incidents/
【8】サイボウズ KUNAI for Android に情報管理不備の脆弱性
情報源
Japan Vulnerability Notes JVN#88745657
Android アプリ「サイボウズ KUNAI for Android」における情報管理不備の脆弱性
https://jvn.jp/jp/JVN88745657/
概要
サイボウズ KUNAI for Android には、情報管理不備の脆弱性があります。結 果として、第三者が、細工したアプリケーションをユーザに実行させることで、 ログ情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ KUNAI for Android 3.0.4 から 3.0.5.1 まで この問題は、サイボウズ KUNAI for Android をサイボウズ株式会社が提供す る修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株 式会社が提供する情報を参照してください。
関連文書 (日本語)
サイボウズ株式会社
[CyVDB-1166]ログの出力設定をオフにしていても、ログが出力される場合がある
https://support.cybozu.com/ja-jp/article/9836
【9】Commvault Edge にバッファオーバーフローの脆弱性
情報源
CERT/CC Vulnerability Note VU#214283
Commvault Edge contains a buffer overflow vulnerability
https://www.kb.cert.org/vuls/id/214283
概要
Commvault Edge には、バッファオーバーフローの脆弱性があります。結果と して、遠隔の第三者が root または SYSTEM 権限で任意のコードを実行する可 能性があります。 対象となるバージョンは以下の通りです。 - Commvault Edge version 11 SP6 (11.80.50.0) この問題は、Commvault Edge を Commvault が提供する修正済みのバージョン に更新することで解決します。詳細は、Commvault が提供する情報を参照して ください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97075940
Commvault Edge にスタックバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU97075940/
関連文書 (英語)
Commvault
Stack-based buffer overflow vulnerability
http://kb.commvault.com/article/SEC0013
■今週のひとくちメモ
○US-CERT が「HTTPS Interception Weakens TLS Security」公開
2017年3月15日、US-CERT は「HTTPS Interception Weakens TLS Security」を 公開しました。このアラートでは、HTTPS 通信監視機器を使用する場合のリス クについて説明し、使用する機器が適切に動作しているか確認することを推奨 しています。 また、これに先立って 2017年2月26日から 3月1日にかけて開催された NDSS シンポジウムで「The Security Impact of HTTPS Interception」と題する論 文が発表されました。この論文では、HTTPS 通信監視機器を経由してサーバに アクセスするトラフィックの割合を実環境で調査した結果の紹介と HTTPS 通 信監視機器を使用する環境で発生する問題の検討を行っています。HTTPS 通信 監視機器を運用している組織や、導入を検討している組織は、これらのアラー トや論文を確認することをお勧めします。
参考文献 (日本語)
Japan Vulnerability Notes JVNTA#96603741
HTTPS 通信監視機器によるセキュリティ強度低下の問題
https://jvn.jp/ta/JVNTA96603741/
参考文献 (英語)
US-CERT Alert (TA17-075A)
HTTPS Interception Weakens TLS Security
https://www.us-cert.gov/ncas/alerts/TA17-075AInternet Society
The Security Impact of HTTPS Interception
https://www.internetsociety.org/doc/security-impact-https-interception
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/