<<< JPCERT/CC WEEKLY REPORT 2017-07-12 >>>
■07/02(日)〜07/08(土) のセキュリティ関連情報
目 次
【1】PHP に複数の脆弱性
【2】Joomla! に複数の脆弱性
【3】複数の Cisco 製品に脆弱性
【4】サイボウズ ガルーンに複数の脆弱性
【5】Lhaz と Lhaz+ のインストーラおよび Lhaz や Lhaz+ で作成された自己解凍書庫に DLL 読み込みに関する脆弱性
【6】WordPress 用プラグイン Shortcodes Ultimate にディレクトリトラバーサルの脆弱性
【7】WordPress 用プラグイン Responsive Lightbox にクロスサイトスクリプティングの脆弱性
【8】国土交通省国土技術政策総合研究所が提供する道路工事完成図等チェックプログラムのインストーラに DLL 読み込みに関する脆弱性
【9】国土交通省国土技術政策総合研究所が提供する道路施設基本データ作成システムのインストーラに DLL 読み込みに関する脆弱性
【10】国土交通省が提供する電子成果物作成支援・検査システムのインストーラおよびインストーラを含む自己解凍書庫に DLL 読み込みに関する脆弱性
【11】MFC-J960DWN にクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】FIRST が「Guidelines and Practices for Multi-Party Vulnerability Coordination and Disclosure」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr172601.txt
https://www.jpcert.or.jp/wr/2017/wr172601.xml
【1】PHP に複数の脆弱性
情報源
PHP Group
PHP 7.1.7 Released
https://secure.php.net/index.php#id2017-07-06-3PHP Group
PHP 7.0.21 Released
https://secure.php.net/index.php#id2017-07-06-1PHP Group
PHP 5.6.31 Released
https://secure.php.net/index.php#id2017-07-06-4
概要
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、サービス 運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりするなどの可能 性があります。 対象となるバージョンは次のとおりです。 - PHP 7.1.7 より前のバージョン - PHP 7.0.21 より前のバージョン - PHP 5.6.31 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。
関連文書 (英語)
PHP Group
PHP 7 ChangeLog Version 7.1.7
https://secure.php.net/ChangeLog-7.php#7.1.7PHP Group
PHP 7 ChangeLog Version 7.0.21
https://secure.php.net/ChangeLog-7.php#7.0.21PHP Group
PHP 5 ChangeLog Version 5.6.31
https://secure.php.net/ChangeLog-5.php#5.6.31
【2】Joomla! に複数の脆弱性
情報源
US-CERT Current Activity
Joomla! Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/07/05/Joomla-Releases-Security-Update
概要
Joomla! には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行したり、情報を取得したりする可能 性があります。 対象となるバージョンは次のとおりです。 - Joomla! 1.5.0 から 3.7.2 まで この問題は、Joomla! を Joomla! が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Joomla! が提供する情報を参照してください。
関連文書 (英語)
Joomla!
Joomla! 3.7.3 Release
https://www.joomla.org/announcements/release-news/5709-joomla-3-7-3-release.html
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/07/05/Cisco-Releases-Security-Updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を取得したりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cisco Elastic Services Controller 2.3.1.434 より前のバージョン - Cisco Elastic Services Controller 2.3.2 より前のバージョン - Cisco Ultra Services Framework UAS 5.0.3 より前のバージョン - Cisco Ultra Services Framework UAS 5.1 より前のバージョン - Cisco Ultra Services Framework Staging Server 5.0.3 より前のバージョン - Cisco Ultra Services Framework Staging Server 5.1 より前のバージョン - Cisco Ultra Services Framework 5.0.3 より前のバージョン - Cisco Ultra Services Framework 5.1 より前のバージョン - Cisco StarOS が稼働している ASR 5000 シリーズ - Cisco StarOS が稼働している ASR 5500 シリーズ - Cisco StarOS が稼働している ASR 5700 シリーズ - Cisco StarOS が稼働している Virtualized Packet Core-Distributed Instance (VPC-DI) - Cisco StarOS が稼働している Virtualized Packet Core-Single Instance (VPC-SI) この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Elastic Services Controller Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-esc2Cisco Security Advisory
Cisco Ultra Services Framework UAS Unauthenticated Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-uasCisco Security Advisory
Cisco Ultra Services Framework Staging Server Arbitrary Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-usf3Cisco Security Advisory
Cisco StarOS CLI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-asrcmdCisco Security Advisory
Cisco Elastic Services Controller Arbitrary Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-esc1Cisco Security Advisory
Cisco Ultra Services Framework AutoVNF Symbolic Link Handling Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-usf1Cisco Security Advisory
Cisco Ultra Services Framework AutoVNF Log File User Credential Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-usf2
【4】サイボウズ ガルーンに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#43534286
サイボウズ ガルーンにおける複数の脆弱性
https://jvn.jp/jp/JVN43534286/
概要
サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第 三者が、任意の操作を実行したり、ユーザのブラウザ上で任意のスクリプトを 実行したりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - サイボウズ ガルーン 3.0.0 から 4.2.4 まで この問題は、サイボウズ ガルーンをサイボウズ株式会社が提供する修正済み のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提 供する情報を参照してください。
関連文書 (日本語)
サイボウズ株式会社
サイボウズ ガルーン 4 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2017/006402.html
【5】Lhaz と Lhaz+ のインストーラおよび Lhaz や Lhaz+ で作成された自己解凍書庫に DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#21369452
Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN21369452/
概要
Lhaz と Lhaz+ のインストーラおよび Lhaz や Lhaz+ で作成された自己解凍 書庫には、DLL 読み込みに関する脆弱性があります。結果として、第三者が任 意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Lhaz バージョン 2.4.0 およびそれ以前のバージョンのインストーラ - Lhaz バージョン 2.4.0 およびそれ以前を使用して作成された自己解凍書庫 - Lhaz+ バージョン 3.4.0 およびそれ以前のバージョンのインストーラ - Lhaz+ バージョン 3.4.0 およびそれ以前を使用して作成された自己解凍書庫 この問題は、該当する製品を、ちとらsoft が提供する修正済みのバージョン に更新することで解決します。詳細は、ちとらsoft が提供する情報を参照し てください。
関連文書 (日本語)
ちとらsoft
Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性
http://chitora.com/jvn21369452.html
【6】WordPress 用プラグイン Shortcodes Ultimate にディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#63249051
WordPress 用プラグイン Shortcodes Ultimate におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN63249051/
概要
WordPress 用プラグイン Shortcodes Ultimate には、ディレクトリトラバー サルの脆弱性があります。結果として、当該製品にログイン可能なユーザが任 意のファイルにアクセスする可能性があります。 対象となるバージョンは次のとおりです。 - Shortcodes Ultimate 4.10.0 より前のバージョン この問題は、Shortcodes Ultimate を開発者が提供する修正済みのバージョン に更新することで解決します。詳細は、開発者が提供する情報を参照してくだ さい。
関連文書 (英語)
Shortcodes Ultimate
Changelog
https://wordpress.org/plugins/shortcodes-ultimate/#developers
【7】WordPress 用プラグイン Responsive Lightbox にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#39819446
WordPress 用プラグイン Responsive Lightbox におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN39819446/
概要
WordPress 用プラグイン Responsive Lightbox には、クロスサイトスクリプ ティングの脆弱性があります。結果として、遠隔の第三者が、当該製品にログ インしているユーザのブラウザ上で任意のスクリプトを実行する可能性があり ます。 対象となるバージョンは次のとおりです。 - Responsive Lightbox 1.7.2 より前のバージョン この問題は、Responsive Lightbox を dFactory が提供する修正済みのバー ジョンに更新することで解決します。詳細は、dFactory が提供する情報を参 照してください。
関連文書 (英語)
Responsive Lightbox
Changelog
https://wordpress.org/plugins/responsive-lightbox/#developers
【8】国土交通省国土技術政策総合研究所が提供する道路工事完成図等チェックプログラムのインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#82120115
国土交通省国土技術政策総合研究所が提供する道路工事完成図等チェックプログラムのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN82120115/
概要
国土交通省国土技術政策総合研究所が提供する道路工事完成図等チェックプロ グラムのインストーラには、DLL 読み込みに関する脆弱性があります。結果と して、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - 道路工事完成図等チェックプログラム Ver.3.1 およびそれ以前 この問題は、国土交通省国土技術政策総合研究所が提供する最新のインストー ラでは解決しています。なお、すでに道路工事完成図等チェックプログラムを インストールしている場合には、この問題の影響はありません。詳細は、国土 交通省国土技術政策総合研究所が提供する情報を参照してください。
関連文書 (日本語)
国土交通省国土技術政策総合研究所
道路工事完成図等チェックプログラム Ver.3.1.2
http://www.nilim-cdrw.jp/dl_tool_quality.html
【9】国土交通省国土技術政策総合研究所が提供する道路施設基本データ作成システムのインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#20409270
国土交通省国土技術政策総合研究所が提供する道路施設基本データ作成システムのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN20409270/
概要
国土交通省国土技術政策総合研究所が提供する道路施設基本データ作成システ ムのインストーラには、DLL 読み込みに関する脆弱性があります。結果として、 第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - 道路施設基本データ作成システム Ver.1.0.2 およびそれ以前 2017年7月12日現在、対策済みのバージョンは公開されていません。以下の回 避策を適用することで、本脆弱性の影響を軽減することが可能です。 - インストーラを実行する際、同一ディレクトリ内に不審なファイルが存在しないことを確認する なお、すでに道路施設基本データ作成システムをインストールしている場合に は、この問題の影響はありません。詳細は、国土交通省国土技術政策総合研究 所が提供する情報を参照してください。
関連文書 (日本語)
国土交通省国土技術政策総合研究所
道路施設基本データ作成システム Ver.1.0.2
http://www.nilim-cdrw.jp/rd_tool.html
【10】国土交通省が提供する電子成果物作成支援・検査システムのインストーラおよびインストーラを含む自己解凍書庫に DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#06337557
国土交通省が提供する電子成果物作成支援・検査システムのインストーラおよびインストーラを含む自己解凍書庫における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN06337557/
概要
国土交通省が提供する電子成果物作成支援・検査システムのインストーラおよ びインストーラを含む自己解凍書庫には、DLL 読み込みに関する脆弱性があり ます。結果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - 電子成果物作成支援・検査システム Ver3.0.2 およびそれ以前 (2017年6月20日より前に掲載されていた版) 自己解凍書庫の問題は、国土交通省が提供する最新の自己解凍書庫では解決し ています。自己解凍書庫を展開して得られたインストーラの問題については、 2017年7月12日現在、対策済みのバージョンは公開されていません。以下の回 避策を適用することで、本脆弱性の影響を軽減することが可能です。 - インストーラを実行する際、同一ディレクトリ内に不審なファイルが存在しないことを確認する なお、すでに電子成果物作成支援・検査システムをインストールしている場合 には、この問題の影響はありません。詳細は、国土交通省が提供する情報を参 照してください。
関連文書 (日本語)
国土交通省
電子成果品作成支援・検査システムにおける任意のDLL読み込みに関する脆弱性の注意喚起
http://www.mlit.go.jp/common/001189444.pdf
【11】MFC-J960DWN にクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#95996423
MFC-J960DWN におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN95996423/
概要
MFC-J960DWN には、クロスサイトリクエストフォージェリの脆弱性があります。 結果として、遠隔の第三者が、細工したコンテンツをユーザに開かせることで、 ユーザの意図しない操作を実行する可能性があります。 対象となるバージョンは次のとおりです。 - MFC-J960DWN ファームウェア ver.D およびそれ以前 2017年7月12日現在、対策済みのバージョンは公開されていません。以下の回 避策を適用することで、本脆弱性の影響を軽減することが可能です。 - ブラザー工業株式会社が提供する、本脆弱性を回避するツールを使用する 詳細は、ブラザー工業株式会社が提供する情報を参照してください。
関連文書 (日本語)
ブラザー工業株式会社
JVN#95996423脆弱性問題について
http://support.brother.co.jp/j/s/support/vul_info/JVN95996423/
■今週のひとくちメモ
○FIRST が「Guidelines and Practices for Multi-Party Vulnerability Coordination and Disclosure」を公開
2017年7月6日、FIRST (Forum of Incident Response and Security Teams) は、 「Guidelines and Practices for Multi-Party Vulnerability Coordination and Disclosure」を公開しました。このガイドラインでは、「Heartbleed」や 「Shellshock」などの事例における経験に基づき、脆弱性の発見から公表に至 るまでの過程において、多数の関係者間で調整を行う状況を複数のユースケー スに分類して検討し、より良い調整結果を得るための考え方やベストプラクティ スをまとめています。
参考文献 (英語)
FIRST
FIRST announces release of Guidelines and Practices for Multi-Party Vulnerability Coordination and Disclosure
https://www.first.org/newsroom/releases/20170706FIRST
Guidelines and Practices for Multi-Party Vulnerability Coordination and Disclosure (Web format)
https://www.first.org/global/sigs/vulnerability-coordination/multiparty/guidelines-v1.0FIRST
Guidelines and Practices for Multi-Party Vulnerability Coordination and Disclosure (PDF format)
https://www.first.org/global/sigs/vulnerability-coordination/multiparty/FIRST-Multiparty-Vulnerability-Coordination-v1.0.pdfFIRST
Vulnerability Coordination SIG
https://www.first.org/global/sigs/vulnerability-coordination/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/