<<< JPCERT/CC WEEKLY REPORT 2017-04-05 >>>
■03/26(日)〜04/01(土) のセキュリティ関連情報
目 次
【1】複数の VMware 製品に脆弱性
【2】Internet Information Services (IIS) 6.0 にバッファオーバーフローの脆弱性
【3】複数の Apple 製品に脆弱性
【4】CentreCOM AR260S V2 に権限昇格の脆弱性
【今週のひとくちメモ】Ruby 2.1 の公式サポート終了
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr171301.txt
https://www.jpcert.or.jp/wr/2017/wr171301.xml
【1】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/03/28/VMware-Releases-Security-Updates
概要
複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユー ザがホスト OS 上で任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware ESXi 6.5 - VMware ESXi 6.0 U3 - VMware ESXi 6.0 U2 - VMware ESXi 6.0 U1 - VMware ESXi 5.5 - VMware Workstation 12 系のバージョン - VMware Fusion 8 系のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2017-0006
https://www.vmware.com/security/advisories/VMSA-2017-0006.html
【2】Internet Information Services (IIS) 6.0 にバッファオーバーフローの脆弱性
情報源
US-CERT Current Activity
Internet Information Services (IIS) 6.0 Vulnerability
https://www.us-cert.gov/ncas/current-activity/2017/03/30/Internet-Information-Services-IIS-60-Vulnerability
概要
Internet Information Services (IIS) 6.0 には、バッファオーバーフローの 脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能 性があります。 対象となる製品は以下の通りです。 - Internet Information Services (IIS) 6.0 2017年4月5日現在、IIS 6.0 のサポートは終了しています。IIS 6.0 の使用を 停止してください。
関連文書 (英語)
National Vulnerability Database
CVE-2017-7269 Detail
https://nvd.nist.gov/vuln/detail/CVE-2017-7269
【3】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/03/27/Apple-Releases-Security-Update-iWork
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - macOS Server 5.3 より前のバージョン - tvOS 10.2 より前のバージョン - watchOS 3.2 より前のバージョン - iOS 10.3 より前のバージョン - macOS Sierra 10.12.4 より前のバージョン - OS X El Capitan - OS X Yosemite - Safari 10.1 より前のバージョン - Pages 6.1 for Mac より前のバージョン - Numbers 4.1 for Mac より前のバージョン - Keynote 7.1 for Mac より前のバージョン - Pages 3.1 for iOS より前のバージョン - Numbers 3.1 for iOS より前のバージョン - Keynote 3.1 for iOS より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90482935
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90482935/
関連文書 (英語)
Apple
About the security content of macOS Server 5.3
https://support.apple.com/en-us/HT207604Apple
About the security content of tvOS 10.2
https://support.apple.com/en-us/HT207601Apple
About the security content of watchOS 3.2
https://support.apple.com/en-us/HT207602Apple
About the security content of iOS 10.3
https://support.apple.com/en-us/HT207617Apple
About the security content of macOS Sierra 10.12.4, Security Update 2017-001 El Capitan, and Security Update 2017-001 Yosemite
https://support.apple.com/en-us/HT207615Apple
About the security content of Safari 10.1
https://support.apple.com/en-us/HT207600Apple
About the security content of Pages 6.1, Numbers 4.1, and Keynote 7.1 for Mac and Pages 3.1, Numbers 3.1, and Keynote 3.1 for iOS
https://support.apple.com/en-us/HT207595
【4】CentreCOM AR260S V2 に権限昇格の脆弱性
情報源
Japan Vulnerability Notes JVN#55121369
CentreCOM AR260S V2 における権限昇格の脆弱性
https://jvn.jp/jp/JVN55121369/
概要
CentreCOM AR260S V2 には、権限昇格の脆弱性があります。結果として、アカ ウント「guest」でログイン可能なユーザが、管理者権限で任意の操作を行う 可能性があります。 対象となる製品は以下の通りです。 - CentreCOM AR260S V2 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 - アカウント「guest」のパスワードを変更する - 信頼できないユーザに認証情報を使用させない - ファイアウォール機能を有効にする 詳細は、アライドテレシス株式会社が提供する情報を参照してください。
関連文書 (日本語)
アライドテレシス株式会社
CentreCOM AR260S V2 における権限昇格の脆弱性
https://www.allied-telesis.co.jp/support/list/faq/vuls/20170330a.html
■今週のひとくちメモ
○Ruby 2.1 の公式サポート終了
2017年3月31日をもって、Ruby 2.1 は、公式サポートを終了しました。サポー ト終了後は、セキュリティ上の脅威が高まります。Ruby 2.1 を利用している 場合、サポートが行われているバージョンへの移行をお勧めします。また、 Ruby 2.2 は、2017年3月に重大なセキュリティ修正のみを行うセキュリティメン テナンスフェーズに移行しており、2018年3月末で公式サポートを終了する予 定とのことです。
参考文献 (日本語)
Ruby
Ruby 2.1 公式サポート終了
https://www.ruby-lang.org/ja/news/2017/04/01/support-of-ruby-2-1-has-ended/Ruby
Ruby 2.2.7 リリース
https://www.ruby-lang.org/ja/news/2017/03/28/ruby-2-2-7-released/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/