-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-1701 JPCERT/CC 2017-05-10 <<< JPCERT/CC WEEKLY REPORT 2017-05-10 >>> ―――――――――――――――――――――――――――――――――――――― ■04/23(日)〜05/06(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Ghostscript に任意のコードが実行可能な脆弱性 【2】複数の Intel 製品に脆弱性 【3】複数の Mozilla 製品に脆弱性 【4】複数の Cisco 製品に脆弱性 【5】Adobe ColdFusion に複数の脆弱性 【6】Portrait Displays SDK を使用して作成されたアプリケーションに任意のコードが実行可能な脆弱性 【7】Windows 版 Vivaldi のインストーラに任意のコードが実行可能な脆弱性 【今週のひとくちメモ】IPA が「SECURITY ACTION」を開始 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr171701.html https://www.jpcert.or.jp/wr/2017/wr171701.xml ============================================================================ 【1】Ghostscript に任意のコードが実行可能な脆弱性 情報源 Japan Vulnerability Notes JVNVU#98641178 Ghostscript に任意のコードが実行可能な脆弱性 https://jvn.jp/vu/JVNVU98641178/ 概要 Ghostscript には、任意のコードが実行可能な脆弱性があります。結果として、 第三者が、細工した .eps ファイルをユーザに開かせることで、任意のコード を実行する可能性があります。 対象となるバージョンは以下の通りです。 - Ghostscript 9.21 およびそれ以前 この問題は、Ghostscript に開発者が提供するパッチを適用することで解決し ます。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Ghostscript Bug 697799: have .eqproc check its parameters https://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=4f83478c88 Ghostscript Bug 697799: have .rsdparams check its parameters https://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=04b37bbce1 【2】複数の Intel 製品に脆弱性 情報源 US-CERT Current Activity Intel Firmware Vulnerability https://www.us-cert.gov/ncas/current-activity/2017/05/01/Intel-Firmware-Vulnerability 概要 複数の Intel 製品には、脆弱性があります。結果として、遠隔の第三者がシ ステムのリモート管理機能にアクセスする可能性があります。 対象となる製品は以下の通りです。 - Intel manageability ファームウェア 6 系から 11.6 までを使用しているハードウエア この問題は、該当する製品のファームウェアを各開発者が提供する修正済みの バージョンに更新することで解決します。詳細は、各開発者が提供する情報を 参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92793783 Intel Active Management Technology (AMT) にアクセス制限不備の脆弱性 https://jvn.jp/vu/JVNVU92793783/ 関連文書 (英語) Intel Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr 【3】複数の Mozilla 製品に脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/05/05/Mozilla-Releases-Security-Updates 概要 複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Thunderbird 52.1 より前のバージョン - Mozilla Firefox 53.0.2 より前のバージョン - Mozilla Firefox ESR 52.1.1 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ 2017-13 http://www.mozilla-japan.org/security/announce/2017/mfsa2017-13.html Mozilla Japan Mozilla Foundation セキュリティアドバイザリ 2017-14 http://www.mozilla-japan.org/security/announce/2017/mfsa2017-14.html 【4】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/05/03/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 root 権限で任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco CVR100W Wireless-N VPN Router ファームウェア 1.0.1.22 より前のバージョン - Cisco Aironet 1800 シリーズ ファームウェア 8.3.102.0 - Cisco Aironet 2800 シリーズ ファームウェア 8.3.102.0 - Cisco Aironet 3800 シリーズ ファームウェア 8.3.102.0 - Spark Room OS CE8.3.2 より前のバージョン - TelePresence SX、MX、DX シリーズ CE8.3.2 より前のバージョン - Cisco IOS XR 6.1.1 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco CVR100W Wireless-N VPN Router Universal Plug-and-Play Buffer Overflow Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-cvr100w1 Cisco Security Advisory Cisco Aironet 1800, 2800, and 3800 Series Access Points Plug-and-Play Arbitrary Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-cme Cisco Security Advisory Cisco TelePresence ICMP Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-ctp Cisco Security Advisory Cisco IOS XR Software Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-ios-xr 【5】Adobe ColdFusion に複数の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for ColdFusion https://www.us-cert.gov/ncas/current-activity/2017/04/26/Adobe-Releases-Security-Updates-ColdFusion 概要 Adobe ColdFusion には、複数の脆弱性があります。結果として、遠隔の第三 者が、任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを 実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - ColdFusion(2016 年リリース)アップデート 3 およびそれ以前 - ColdFusion 11 アップデート 11 およびそれ以前 - ColdFusion 10 アップデート 22 およびそれ以前 この問題は、ColdFusion を Adobe が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe セキュリティ情報 セキュリティアップデート: ColdFusion 用ホットフィックス公開 https://helpx.adobe.com/jp/security/products/coldfusion/apsb17-14.html 【6】Portrait Displays SDK を使用して作成されたアプリケーションに任意のコードが実行可能な脆弱性 情報源 US-CERT Current Activity Pre-Installed Applications Developed with Portrait Displays SDK Contain Critical Vulnerability https://www.us-cert.gov/ncas/current-activity/2017/04/25/Pre-installed-Applications-Developed-Portrait-Displays-SDK-Contain 概要 Portrait Displays SDK を使用して作成されたアプリケーションには、デフォ ルトの権限設定に関する問題があります。結果として、ユーザが SYSTEM 権限 で任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Portrait Displays SDK 2.30 から 2.34 までを使用して作成されたアプリケーション この問題は、Portrait Displays SDK を使用して作成されたアプリケーション を、各アプリケーション開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、各アプリケーション開発者が提供する情報を参照し てください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96080594 Portrait Displays SDK を使用して作成されたアプリケーションに任意のコードが実行可能な脆弱性 https://jvn.jp/vu/JVNVU96080594/ 【7】Windows 版 Vivaldi のインストーラに任意のコードが実行可能な脆弱性 情報源 Japan Vulnerability Notes JVN#71572107 Windows 版 Vivaldi のインストーラにおける実行ファイル読み込みの脆弱性 https://jvn.jp/jp/JVN71572107/ 概要 Windows 版 Vivaldi のインストーラには、実行ファイル読み込みに関する脆 弱性があります。結果として、第三者が任意のコードを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - Windows 版 Vivaldi インストーラ 1.7.735.48 より前のバージョン この問題は、Vivaldi Technologies が提供する最新のインストーラを使用す ることで解決します。なお、すでに Windows 版 Vivaldi をインストールして いる場合には、この問題の影響はありません。詳細は、Vivaldi Technologies が提供する情報を参照してください。 関連文書 (英語) Vivaldi Vulnerability Disclosure: Vivaldi installer for Windows could run arbitrary downloaded code (JVN#71572107) https://vivaldi.com/security/vulnerability-disclosure-vivaldi-installer-for-windows-could-run-arbitrary-downloaded-code-jvn71572107/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA が「SECURITY ACTION」を開始 2017年4月28日、情報処理推進機構 (IPA) は「SECURITY ACTION」を開始しま した。この制度は、中小企業が自身の情報セキュリティ対策に関する取り組み を示すために開始されたものです。2017年1月に公開された「中小企業の情報 セキュリティガイドライン」に沿った取り組みの実施状況を申請することで、 取り組みの段階に応じたロゴマークが提供されます。 参考文献 (日本語) 情報処理推進機構 (IPA) SECURITY ACTION https://www.ipa.go.jp/security/security-action/ 情報処理推進機構 (IPA) 中小企業の情報セキュリティガイドライン https://www.ipa.go.jp/security/keihatsu/sme/guideline/ JPCERT-WR-2017-0601 【今週のひとくちメモ】JNSA が「中小企業の情報セキュリティ対策ガイドライン」に対応する製品・サービス検索ページを公開 https://www.jpcert.or.jp/wr/2017/wr170601.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJZEmUwAAoJEDF9l6Rp7OBICcYH/3AgyzJBJjzBrdu9aEmMSgZl EjmNT4x4D5ysHmifRl4t379gtzJkKZ9nx9+6UFZFQKZCPQjM1wvOPULy8zPzU/rz +vWXEi8S2TK17h/lOnTqlLFLHqLbWL9Z4oq5akZL0ldjl/bOcvgFFbJpvvimp9fo xgxP7bnrHNHkjJ6ujUmRYS/g06RGFGgRU71dfmjZ95aoXBaTRmbYQfxyz261SGq4 FGijr9c9fURpRuAJvJhT4GL9HM6+iJUsTUoTRT99ZczjybbYqdE4dT04mH9ROzgL j5WxKe/ihOstcNeUaIVzg2SsFFenORZVNHSK4zAl6g2/p0w0Jfa6zeenqqRZynA= =yn38 -----END PGP SIGNATURE-----