-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-1101 JPCERT/CC 2017-03-23 <<< JPCERT/CC WEEKLY REPORT 2017-03-23 >>> ―――――――――――――――――――――――――――――――――――――― ■03/12(日)〜03/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】複数の Cisco 製品に脆弱性 【4】複数の VMware 製品に脆弱性 【5】Apache Tomcat に情報漏えいの脆弱性 【6】Drupal に複数の脆弱性 【7】安全なウェブサイト運営入門に OS コマンドインジェクションの脆弱性 【8】サイボウズ KUNAI for Android に情報管理不備の脆弱性 【9】Commvault Edge にバッファオーバーフローの脆弱性 【今週のひとくちメモ】US-CERT が「HTTPS Interception Weakens TLS Security」公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr171101.html https://www.jpcert.or.jp/wr/2017/wr171101.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases March 2017 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2017/03/14/Microsoft-Releases-March-2017-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Internet Explorer - Microsoft Edge - Microsoft Office - Microsoft Office Services および Web Apps - Microsoft Exchange - Skype for Business - Microsoft Lync - Microsoft Silverlight - Microsoft サーバー ソフトウェア - Microsoft コミュニケーション プラットフォームおよびソフトウェア この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2017 年 3 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms17-Mar Japan Vulnerability Notes JVNVU#95841181 Microsoft Windows の SMB Tree Connect Response パケットの処理にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU95841181/ JPCERT/CC Alert 2017-03-15 2017年 3月 Microsoft セキュリティ情報 (緊急 9件含) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170011.html 関連文書 (英語) US-CERT Current Activity Microsoft SMBv1 Vulnerability https://www.us-cert.gov/ncas/current-activity/2017/03/16/Microsoft-SMBv1-Vulnerability 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/03/14/Adobe-Releases-Security-Updates 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 24.0.0.221 およびそれ以前 (Windows 版、Macintosh 版、Linux 版) - Adobe Shockwave Player 12.2.7.197 およびそれ以前 (Windows 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe セキュリティ情報 Adobe Flash Player に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb17-07.html Adobe セキュリティ情報 Adobe Shockwave Player用セキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/shockwave/apsb17-08.html JPCERT/CC Alert 2017-03-15 Adobe Flash Player の脆弱性 (APSB17-07) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170010.html 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/03/15/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を取得したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Mobility Express 1800 Series Access Points 8.2.110.0 より前のバージョン - StarOS 17.7.0 より後のバージョンの 17 系が稼働している Cisco ASR 5000/5500/5700 Series - StarOS 18.7.4 より前のバージョンの 18 系が稼働している Cisco ASR 5000/5500/5700 Series - StarOS 19.5 より前のバージョンの 19 系が稼働している Cisco ASR 5000/5500/5700 Series - StarOS 20.2.3 より前のバージョンの 20 系が稼働している Cisco ASR 5000/5500/5700 Series - StarOS N4.2.7 (19.3.v7) より前のバージョンが稼働している Cisco Virtualized Packet Core - StarOS N4.7 (20.2.v0) より前のバージョンが稼働している Cisco Virtualized Packet Core - Cisco Tidal Enterprise Scheduler Client Manager Server 6.2.1.435 およびそれ以降 - Cisco Workload Automation Client Manager Server 6.3.0.116 およびそれ以降 - Cisco 8500/5500/2500 Series Wireless Controller 8.0.140.0 より前のバージョン - Cisco 8500/5500/2500 Series Wireless Controller 8.2 より前のバージョン - Cisco Flex 7500 Series Wireless Controller 8.0.140.0 より前のバージョン - Cisco Flex 7500 Series Wireless Controller 8.2 より前のバージョン - Cisco Virtual Wireless Controller 8.0.140.0 より前のバージョン - Cisco Virtual Wireless Controller 8.2 より前のバージョン - Wireless Services Module 2 (WiSM2) 8.0.140.0 より前のバージョン - Wireless Services Module 2 (WiSM2) 8.2 より前のバージョン この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 するか、該当する製品に hotfix を適用することで解決します。詳細は、 Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Mobility Express 1800 Access Point Series Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-ap1800 Cisco Security Advisory Cisco StarOS SSH Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-asr Cisco Security Advisory Cisco Workload Automation and Tidal Enterprise Scheduler Client Manager Server Arbitrary File Read Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-tes Cisco Security Advisory Cisco Meshed Wireless LAN Controller Impersonation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-wlc-mesh 【4】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/03/14/VMware-Releases-Security-Updates 概要 複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー ザがホスト OS 上で任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware Workstation Pro 12.5.4 より前のバージョン - VMware Workstation Player 12.5.4 より前のバージョン - VMware Fusion Pro 8.5.5 より前のバージョン - VMware Fusion 8.5.5 より前のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2017-0005 https://www.vmware.com/security/advisories/VMSA-2017-0005.html 【5】Apache Tomcat に情報漏えいの脆弱性 情報源 Japan Vulnerability Notes JVNVU#94686945 Apache Tomcat に情報漏えいの脆弱性 https://jvn.jp/vu/JVNVU94686945/ 概要 Apache Tomcat には、情報漏えいの脆弱性があります。結果として、遠隔の第 三者が通信内容を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Apache Tomcat 9.0.0.M11 から 9.0.0.M15 まで - Apache Tomcat 8.5.7 から 8.5.9 まで この問題は、Apache Tomcat を Apache Tomcat が提供する修正済みのバージョン に更新することで解決します。詳細は、Apache Tomcat が提供する情報を参照 してください。 関連文書 (英語) Apache Tomcat Fixed in Apache Tomcat 9.0.0.M17 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M17 Apache Tomcat Fixed in Apache Tomcat 8.5.11 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.11 【6】Drupal に複数の脆弱性 情報源 US-CERT Current Activity Drupal Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/03/15/Drupal-Releases-Security-Update 概要 Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が任意の コードを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Drupal 8.2.7 より前のバージョン この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Drupal が提供する情報を参照してください。 関連文書 (英語) Drupal Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-001 https://www.drupal.org/SA-2017-001 【7】安全なウェブサイト運営入門に OS コマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#11448789 安全なウェブサイト運営入門における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN11448789/ 概要 安全なウェブサイト運営入門には、OS コマンドインジェクションの脆弱性が あります。結果として、第三者が、細工したセーブデータを読み込ませること で、任意の OS コマンドを実行する可能性があります。 対象となる製品は以下の通りです。 - 安全なウェブサイト運営入門 2017年3月23日現在、安全なウェブサイト運営入門の開発は終了しています。 安全なウェブサイト運営入門の使用を停止してください。詳細は、情報処理推 進機構 (IPA) が提供する情報を参照してください。 関連文書 (日本語) 情報処理推進機構 (IPA) 「安全なウェブサイト運営入門」におけるOSコマンド・インジェクションの脆弱性 https://www.ipa.go.jp/security/vuln/7incidents/ 【8】サイボウズ KUNAI for Android に情報管理不備の脆弱性 情報源 Japan Vulnerability Notes JVN#88745657 Android アプリ「サイボウズ KUNAI for Android」における情報管理不備の脆弱性 https://jvn.jp/jp/JVN88745657/ 概要 サイボウズ KUNAI for Android には、情報管理不備の脆弱性があります。結 果として、第三者が、細工したアプリケーションをユーザに実行させることで、 ログ情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ KUNAI for Android 3.0.4 から 3.0.5.1 まで この問題は、サイボウズ KUNAI for Android をサイボウズ株式会社が提供す る修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株 式会社が提供する情報を参照してください。 関連文書 (日本語) サイボウズ株式会社 [CyVDB-1166]ログの出力設定をオフにしていても、ログが出力される場合がある https://support.cybozu.com/ja-jp/article/9836 【9】Commvault Edge にバッファオーバーフローの脆弱性 情報源 CERT/CC Vulnerability Note VU#214283 Commvault Edge contains a buffer overflow vulnerability https://www.kb.cert.org/vuls/id/214283 概要 Commvault Edge には、バッファオーバーフローの脆弱性があります。結果と して、遠隔の第三者が root または SYSTEM 権限で任意のコードを実行する可 能性があります。 対象となるバージョンは以下の通りです。 - Commvault Edge version 11 SP6 (11.80.50.0) この問題は、Commvault Edge を Commvault が提供する修正済みのバージョン に更新することで解決します。詳細は、Commvault が提供する情報を参照して ください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97075940 Commvault Edge にスタックバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU97075940/ 関連文書 (英語) Commvault Stack-based buffer overflow vulnerability http://kb.commvault.com/article/SEC0013 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○US-CERT が「HTTPS Interception Weakens TLS Security」公開 2017年3月15日、US-CERT は「HTTPS Interception Weakens TLS Security」を 公開しました。このアラートでは、HTTPS 通信監視機器を使用する場合のリス クについて説明し、使用する機器が適切に動作しているか確認することを推奨 しています。 また、これに先立って 2017年2月26日から 3月1日にかけて開催された NDSS シンポジウムで「The Security Impact of HTTPS Interception」と題する論 文が発表されました。この論文では、HTTPS 通信監視機器を経由してサーバに アクセスするトラフィックの割合を実環境で調査した結果の紹介と HTTPS 通 信監視機器を使用する環境で発生する問題の検討を行っています。HTTPS 通信 監視機器を運用している組織や、導入を検討している組織は、これらのアラー トや論文を確認することをお勧めします。 参考文献 (日本語) Japan Vulnerability Notes JVNTA#96603741 HTTPS 通信監視機器によるセキュリティ強度低下の問題 https://jvn.jp/ta/JVNTA96603741/ 参考文献 (英語) US-CERT Alert (TA17-075A) HTTPS Interception Weakens TLS Security https://www.us-cert.gov/ncas/alerts/TA17-075A Internet Society The Security Impact of HTTPS Interception https://www.internetsociety.org/doc/security-impact-https-interception ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJY0yT4AAoJEDF9l6Rp7OBIJK8H/jX1ng5I1wTSP5NCS8AJKurs EN1ahp6oUtNehYIrdJy7nA6pIOechNtn0Ipy4lB7nF3oa899ydppjyaIPBvOXWkN Pv+rUSXop5qJMuHahgKe11vgWrEU/MRsmnWKkOpjryX34DpTLUYqDKBFKArKgOlm 8fPVkcCkN3Q66/DEyouhRDn5ptowvKxRZnRc+2MUE2lnFP5A+t1JltTkr02AJudM rWijRIjdtqfO2wufL82GMHYvSFhS7UqON4vi0Q0qUnCfT4xOkll9Ii2eXYfH0nPC Ijzh57njCG1S4dD+oN+jn7Sd0/rbbeRTgcygdCDQ0jMVomZYKDDET7v6F342KSI= =xnci -----END PGP SIGNATURE-----