JPCERT-WR-2017-2201
2017-06-14
2017-06-04
2017-06-10
Apache Tomcat にアクセス制限不備の脆弱性
Japan Vulnerability Notes JVNVU#95420726
Apache Tomcat にセキュリティ制限回避の脆弱性
https://jvn.jp/vu/JVNVU95420726/
Apache Tomcat には、アクセス制限不備の脆弱性があります。結果として、遠
隔の第三者が、細工した HTTP リクエストを処理させることで、エラーページ
の削除や上書きを行う可能性があります。
対象となるバージョンは以下の通りです。
- Apache Tomcat 9.0.0.M1 から 9.0.0.M20 まで
- Apache Tomcat 8.5.0 から 8.5.14 まで
- Apache Tomcat 8.0.0.RC1 から 8.0.43 まで
- Apache Tomcat 7.0.0 から 7.0.77 まで
この問題は、Apache Tomcat を Apache Tomcat が提供する修正済みのバージョン
に更新することで解決します。詳細は、Apache Tomcat が提供する情報を参照
してください。
Apache Tomcat
Fixed in Apache Tomcat 9.0.0.M21
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M21
Apache Tomcat
Fixed in Apache Tomcat 8.5.15
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.15
Apache Tomcat
Fixed in Apache Tomcat 8.0.44
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.44
Apache Tomcat
Fixed in Apache Tomcat 7.0.78
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.78
vSphere Data Protection に複数の脆弱性
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/06/07/VMware-Releases-Security-Updates
vSphere Data Protection には、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行するなどの可能性があります。
対象となるバージョンは以下の通りです。
- vSphere Data Protection 6.1.4 より前のバージョンの 6.1 系
- vSphere Data Protection 6.0.5 より前のバージョンの 6.0 系
- vSphere Data Protection 5.8 系
- vSphere Data Protection 5.5 系
この問題は、vSphere Data Protection を VMware が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、VMware が提供する情報を参照
してください。
VMware Security Advisories
VMSA-2017-0010
https://www.vmware.com/security/advisories/VMSA-2017-0010.html
複数の Cisco 製品に脆弱性
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/06/07/Cisco-Releases-Security-Updates
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Cisco Prime Data Center Network Manager (DCNM) 10.1(1) (Windows 版、Linux 版、Virtual Appliance 版)
- Cisco Prime Data Center Network Manager (DCNM) 10.1(2) (Windows 版、Linux 版、Virtual Appliance 版)
- Cisco Prime Data Center Network Manager (DCNM) 10.2(1) より前のバージョン (Windows 版、Linux 版、Virtual Appliance 版)
- Cisco AnyConnect Secure Mobility Client for Windows 4.4.02034 より前のバージョン
- Cisco TelePresence Codec (TC) 7.3.8 より前のバージョン
- Cisco Collaboration Endpoint (CE) 8.3.0 より前のバージョン
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco Prime Data Center Network Manager Debug Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170607-dcnm1
Cisco Security Advisory
Cisco Prime Data Center Network Manager Server Static Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170607-dcnm2
Cisco Security Advisory
Cisco AnyConnect Local Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170607-anyconnect
Cisco Security Advisory
Cisco TelePresence Endpoint Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170607-tele
脆弱性体験学習ツール AppGoat に複数の脆弱性
Japan Vulnerability Notes JVN#01404851
脆弱性体験学習ツール AppGoat において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN01404851/
Japan Vulnerability Notes JVN#20870477
脆弱性体験学習ツール AppGoat において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN20870477/
Japan Vulnerability Notes JVN#32120290
脆弱性体験学習ツール AppGoat における情報漏えいの脆弱性
https://jvn.jp/jp/JVN32120290/
Japan Vulnerability Notes JVN#80238098
脆弱性体験学習ツール AppGoat において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN80238098/
脆弱性体験学習ツール AppGoat には、複数の脆弱性があります。結果として、
遠隔の第三者が、細工した URL にユーザをアクセスさせることで、任意のコー
ドを実行したり、情報を取得したりする可能性があります。
対象となるバージョンは以下の通りです。
- 脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール V3.0.2 およびそれ以前
この問題は、脆弱性体験学習ツール AppGoat を情報処理推進機構 (IPA) が提
供する修正済みのバージョンに更新することで解決します。詳細は、情報処理
推進機構 (IPA) が提供する情報を参照してください。
脆弱性体験学習ツール AppGoat
重要なお知らせ(更新日時:2017/6/6)
https://www.ipa.go.jp/security/vuln/appgoat/
CalAmp LMU-3030 デバイスの SMS インターフェースに脆弱性
CERT/CC Vulnerability Note VU#251927
CalAmp LMU-3030 devices may not authenticate SMS interface
https://www.kb.cert.org/vuls/id/251927
CalAmp LMU-3030 デバイスを使用している構成の複数のシステムについて、当
該デバイスの SMS インターフェースに認証設定が行われていない問題が確認
されています。結果として、遠隔の第三者が、情報を取得したり、当該デバイ
スのファームウェアを上書きしたりするなどの可能性があります。
対象となる製品は以下の通りです。
- CalAmp LMU-3030 シリーズ
この問題は、以下のいずれかの設定を行うことで解決します。
- SMS インターフェースにパスワードを設定する
- SMS インターフェースを無効にする
詳細は、開発者が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#91545522
CalAmp LMU-3030 デバイスの SMS インターフェースに認証設定が行われていない脆弱性
https://jvn.jp/vu/JVNVU91545522/
電子納品チェックシステム (農林水産省農業農村整備事業版) のインストーラに DLL 読み込みの脆弱性
Japan Vulnerability Notes JVN#65154137
電子納品チェックシステム(農林水産省農業農村整備事業版)のインストーラにおける DLL 読み込みの脆弱性
https://jvn.jp/jp/JVN65154137/
電子納品チェックシステム (農林水産省農業農村整備事業版) のインストーラ
には、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意の
コードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- 電子納品チェックシステム (農林水産省農業農村整備事業版) 平成26年3月版 (Ver.8.0.001.001)[平成28年5月31日更新]およびそれ以前
この問題は、農林水産省が提供する最新のインストーラでは解決しています。
なお、すでに電子納品チェックシステム (農林水産省農業農村整備事業版) を
インストールしている場合には、この問題の影響はありません。詳細は、農林
水産省が提供する情報を参照してください。
農林水産省
電子納品チェックシステム(農林水産省農業農村整備事業版) [平成29年6月9日更新]
http://www.maff.go.jp/j/nousin/seko/nouhin_youryou/densi.html
CASL II シミュレータ(自己解凍形式)のインストーラに DLL 読み込みに関する脆弱性
Japan Vulnerability Notes JVN#67305782
CASL II シミュレータ(自己解凍形式)のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN67305782/
CASL II シミュレータ(自己解凍形式)のインストーラには、DLL 読み込みに
関する脆弱性があります。結果として、第三者が任意のコードを実行する可能
性があります。
対象となる製品は以下の通りです。
- CASL II シミュレータ(自己解凍形式)のインストーラ
2017年6月14日現在、当該製品の配布は終了しています。当該製品をインストー
ルしないでください。詳細は、情報処理推進機構 (IPA) が提供する情報を参
照してください。
情報処理推進機構 (IPA)
CASL II シミュレータ(自己解凍形式)における脆弱性について
https://www.jitec.ipa.go.jp/1_20casl2/casl2dl_2017_01.html
国土地理院が提供する複数のソフトウェアのインストーラに任意の DLL 読み込みの脆弱性
Japan Vulnerability Notes JVN#52691241
国土地理院が提供する複数のソフトウェアのインストーラにおける任意の DLL 読み込みの脆弱性
https://jvn.jp/jp/JVN52691241/
国土地理院が提供する複数のソフトウェアのインストーラには、DLL 読み込み
に関する脆弱性があります。結果として、第三者が任意のコードを実行する可
能性があります。
対象となる製品とバージョンは以下の通りです。
- 座標補正ソフトウェア PatchJGD ver. 1.0.1
- 標高補正ソフトウェア PatchJGD (標高版) ver. 1.0.1
- 座標変換ソフトウェア TKY2JGD ver. 1.3.79
- セミ・ダイナミック補正支援ソフトウェア SemiDynaEXE ver. 1.0.2
2017年6月14日現在、当該製品の配布は終了しています。当該製品をインストー
ルしないでください。詳細は、国土地理院が提供する情報を参照してください。
国土地理院
ソフトウェア「TKY2JGD」「SemiDynaEXE」「PatchJGD」「PatchJGD(標高版)」の脆弱性及び提供終了に関するお知らせ
http://www.gsi.go.jp/sokuchikijun/sokuchikijun41011.html
[Simeji Windows版(β)]文字入力システムのインストーラに DLL 読み込みに関する脆弱性
Japan Vulnerability Notes JVN#31236539
[Simeji Windows版(β)]文字入力システムのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN31236539/
[Simeji Windows版(β)]文字入力システムのインストーラには、DLL 読み込み
に関する脆弱性があります。結果として、第三者が任意のコードを実行する可
能性があります。
対象となる製品は以下の通りです。
- [Simeji Windows版(β)]文字入力システムのインストーラ
2017年6月14日現在、当該製品の配布は終了しています。当該製品をインストー
ルしないでください。詳細は、バイドゥ株式会社が提供する情報を参照してく
ださい。
バイドゥ株式会社
Simeji Windows版(β)のインストーラーが意図しない DLL を読み込んでしまう脆弱性について
https://www.baidu.jp/info/press/report/170602.html
AppCheck に任意のコードが実行可能な脆弱性
Japan Vulnerability Notes JVN#99737748
AppCheck における実行ファイル呼び出しに関する脆弱性
https://jvn.jp/jp/JVN99737748/
AppCheck には、意図しない実行ファイルの呼び出しに関する脆弱性がありま
す。結果として、第三者が任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- AppCheck Version 2.0.1.15 より前のバージョン
- AppCheck Pro Version 2.0.1.15 より前のバージョン
この問題は、AppCheck を株式会社 Jiransoft Japan が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、株式会社 Jiransoft Japan が
提供する情報を参照してください。
株式会社 Jiransoft Japan
AppCheckの脆弱性に対処するアップデート配信のお知らせ
https://www.jiransoft.co.jp/support/apc_1
WordPress 用プラグイン Multi Feed Reader に SQL インジェクションの脆弱性
Japan Vulnerability Notes JVN#98617234
WordPress 用プラグイン Multi Feed Reader における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN98617234/
WordPress 用プラグイン Multi Feed Reader には、SQL インジェクションの
脆弱性があります。結果として、当該製品にアクセス可能なユーザが、データ
ベース内の情報を取得したり、改ざんしたりする可能性があります。
対象となるバージョンは以下の通りです。
- Multi Feed Reader 2.2.4 より前のバージョン
この問題は、Multi Feed Reader を開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。
Multi Feed Reader
Changelog
https://wordpress.org/plugins/multi-feed-reader/#developers
FIRST が学習用のプラットフォームを公開
2017年6月7日、FIRST (Forum of Incident Response and Security Teams) は、
インシデント対応に関わるスタッフ向けの e-ラーニングプラットフォームを
公開しました。現在、2015年6月に公開された共通脆弱性評価システム CVSS v3
をマスターするための「Common Vulnerability Scoring System (CVSS) v3」
コースが提供されています。あわせて 2つの資料、CSIRT の基礎的な作業を学
ぶ「FIRST CSIRT Basic Course」と、インシデント対応の際の情報分析や対策
の決定を支援する「FIRST Fusion course」が提供されています。
FIRST
FIRST boosts learning and development offering with launch of open training platform
https://www.first.org/newsroom/releases/20170607