JPCERT-WR-2017-2701
2017-07-20
2017-07-09
2017-07-15
複数の Microsoft 製品に脆弱性
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。
対象となる製品は次のとおりです。
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office and Microsoft Office Services and Web Apps
- .NET Framework
- Microsoft Exchange Server
この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。
マイクロソフト株式会社
2017 年 7 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/f2b16606-4945-e711-80dc-000d3a32fc99
JPCERT/CC Alert
2017年 7月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170027.html
複数の Adobe 製品に脆弱性
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Adobe Flash Player デスクトップランタイム 26.0.0.131 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
- Adobe Connect 9.6.1 およびそれ以前 (Windows 版)
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。
Adobe セキュリティ情報
Flash Player 用のセキュリティアップデート公開 | APSB17-21
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-21.html
Adobe セキュリティ情報
Adobe Connect 用のセキュリティアップデート | APSB17-22
https://helpx.adobe.com/jp/security/products/connect/apsb17-22.html
JPCERT/CC Alert 2017-07-12
Adobe Flash Player の脆弱性 (APSB17-21) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170026.html
Apache Struts 2 の Struts 1 プラグインを使用するアプリケーションに任意のコードが実行可能な脆弱性
Apache Struts 2 の Struts 1 プラグインを使用するアプリケーションには、
脆弱性があります。結果として、遠隔の第三者が、細工したリクエストを送信
することで、任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Struts 2.3 系で Struts 1 プラグインを使用して動作するアプリケーション
開発者が公開する S2-048 では、本脆弱性を含むアプリケーションとして Apache
Struts 2 に付属しているサンプルアプリケーション showcase が挙げられて
います。showcase に関する問題は、Apache Struts を The Apache Software
Foundation が提供する修正済みのバージョンに更新することで解決します。
Struts1 プラグインを使用するアプリケーションに対しては、showcase アプ
リケーションの修正方法を参考に、ActionMessage クラスを用いた処理におい
て、リソースキーを使用するなど適切な処理を行ってください。詳細は、The
Apache Software Foundation が提供する情報を参照してください。
JPCERT/CC Alert 2017-07-10
Apache Struts 2 の脆弱性 (S2-048) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170025.html
The Apache Software Foundation
Struts 2.3.33
https://struts.apache.org/download.cgi
Apache Struts 2 Documentation
Version Notes 2.3.33
https://struts.apache.org/docs/version-notes-2333.html
Apache Struts 2 Documentation
S2-048
https://struts.apache.org/docs/s2-048.html
Apache HTTP Web Server に複数の脆弱性
Apache HTTP Web Server には、複数の脆弱性があります。結果として、遠隔
の第三者が、情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりす
るなどの可能性があります。
対象となるバージョンは次のとおりです。
- Apache HTTP Web Server 2.2.33 およびそれ以前
- Apache HTTP Web Server 2.4.26 およびそれ以前
この問題は、Apache HTTP Web Server を The Apache Software Foundation
が提供する修正済みのバージョンに更新することで解決します。詳細は、The
Apache Software Foundation が提供する情報を参照してください。
The Apache Software Foundation
Fixed in Apache httpd 2.2.34
http://httpd.apache.org/security/vulnerabilities_22.html#2.2.34
The Apache Software Foundation
Fixed in Apache httpd 2.4.27
http://httpd.apache.org/security/vulnerabilities_24.html#2.4.27
Samba に認証回避の脆弱性
Samba には、認証回避の脆弱性があります。結果として、遠隔の第三者が、中
間者攻撃を行うことによって、任意の操作を行う可能性があります。
対象となるバージョンは次のとおりです。
- Samba 4.0.0 以降
この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新するか、パッチを適用することで解決します。また、次の回避策を適用する
ことで、本脆弱性の影響を軽減することが可能です。
- MIT Kerberos を使用する設定でコンパイルした Samba を使用する
詳細は、The Samba Team が提供する情報を参照してください。
The Samba Team
Orpheus' Lyre mutual authentication validation bypass
https://www.samba.org/samba/security/CVE-2017-11103.html
Cisco IOS および Cisco IOS XE ソフトウェアにバッファオーバーフローの脆弱性
Cisco IOS および Cisco IOS XE ソフトウェアには、バッファオーバーフロー
の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するな
どの可能性があります。
対象となる製品は次のとおりです。
- Cisco IOS ソフトウェア
- Cisco IOS XE ソフトウェア
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
SNMP Remote Code Execution Vulnerabilities in Cisco IOS and IOS XE Software
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp
ScreenOS に複数のクロスサイトスクリプティングの脆弱性
ScreenOS には、複数のクロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、管理者権限で任意のスクリプトを実行する可能
性があります。
対象となるバージョンは次のとおりです。
- ScreenOS 6.3.0r24 より前のバージョン
この問題は、ScreenOS を Juniper が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Juniper が提供する情報を参照してください。
Juniper
2017-07 Security Bulletin: ScreenOS: Multiple XSS vulnerabilities in ScreenOS Firewall
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10782
Dahua 製ネットワークカメラに複数の脆弱性
Dahua 製ネットワークカメラには、複数の脆弱性があります。結果として、遠
隔の第三者が任意の操作を行う可能性があります。
対象となる製品は次のとおりです。
- Dahua 製ネットワークカメラ
この問題は、該当する製品を Dahua Technology Co., Ltd が提供する修正済
みのバージョンに更新することで解決します。詳細は、Dahua Technology Co.,
Ltd が提供する情報を参照してください。
Dahua Technology
March 6, 2017 Security Bulletin: Cyber Vulnerability Affecting Certain Dahua IP Cameras and Recorders
https://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php
Hikvision 製ネットワークカメラに複数の脆弱性
Hikvision 製ネットワークカメラには、複数の脆弱性があります。結果として、
遠隔の第三者が任意の操作を行う可能性があります。
対象となる製品は次のとおりです。
- Hikvision 製ネットワークカメラ
この問題は、該当する製品を Hikvision が提供する修正済みのバージョンに
更新することで解決します。詳細は、Hikvision が提供する情報を参照してく
ださい。
Hikvision
Security Notification: Privilege-Escalating Vulnerability in Certain Hikvision IP Cameras
http://www.hikvision.com/us/about_10805.html
Hikvision
Privilege-Escalating Vulnerability Notice
http://www.hikvision.com/us/about_10807.html
AssetView for MacOS の「ファイル転送Webサービス」に複数の脆弱性
AssetView for MacOS の「ファイル転送Webサービス」には、複数の脆弱性が
あります。結果として、遠隔の第三者が、任意の SQL 文を実行したり、任意
のファイルを取得したりする可能性があります。
対象となるバージョンは次のとおりです。
- AssetView for MacOS Ver.9.2.0 およびそれ以前
この問題は、AssetView for MacOS に株式会社ハンモックが提供するパッチを
適用することで解決します。詳細は、株式会社ハンモックが提供する情報を参
照してください。
AssetView セキュリティ情報
JVNVU#93377948 : AssetView for MacOS サーバーに2件の脆弱性
https://www.hammock.jp/assetview/info/170714.html
Yahoo!ツールバー (Internet explorer 版) のインストーラに任意の DLL 読み込みの脆弱性
Yahoo!ツールバー (Internet explorer 版) のインストーラには、DLL 読み込
みに関する脆弱性があります。結果として、第三者が任意のコードを実行する
可能性があります。
対象となるバージョンは次のとおりです。
- Yahoo!ツールバー (Internet explorer 版) v8.0.0.6 およびそれ以前のインストーラ (デジタル署名のタイムスタンプが 2017年6月13日 18:18:55 より前の版)
この問題は、ヤフー株式会社が提供する最新のインストーラでは解決していま
す。なお、すでに該当する製品をインストールしている場合には、この問題の
影響はありません。詳細は、ヤフー株式会社が提供する情報を参照してくださ
い。
アタッシェケースで作成された自己実行可能形式の暗号化ファイルに DLL 読み込みに関する脆弱性
アタッシェケースで作成された自己実行可能形式の暗号化ファイルには、DLL
読み込みに関する脆弱性があります。結果として、第三者が任意のコードを実
行する可能性があります。
対象となるバージョンは次のとおりです。
- アタッシェケース ver.2.8.3.0 およびそれ以前
- アタッシェケース ver.3.2.2.6 およびそれ以前
2017年7月19日現在、対策済みのバージョンは公開されていません。次の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。
- 自己実行可能形式の暗号化ファイルは新たに作成したディレクトリに保存し、他の無関係なファイルが存在しない状態で実行する
- 自己実行可能形式の暗号化ファイルを実行する際、同一ディレクトリ内に不審なファイルが存在しないことを確認する
- 自己実行可能形式の暗号化ファイルを共有ディレクトリに置き、実行させるような運用を行っている場合は、当該ディレクトリを読み取り専用にする
- 自己実行可能形式の暗号化ファイルは管理者権限を持たない標準ユーザアカウントで操作することを原則とし、必要なときのみ管理者アカウントで操作する
詳細は、HiBARA Software が提供する情報を参照してください。
HiBARA Software
2017/07/13 - 自己実行形式ファイルにおける任意のDLL読み込み(DLLハイジャック、DLLプリロード)
https://hibara.org/software/attachecase/vulnerability/
ファイルコンパクトで作成された自己解凍書庫ファイルに DLL 読み込みに関する脆弱性
ファイルコンパクトで作成された自己解凍書庫ファイルには、DLL 読み込みに
関する脆弱性があります。結果として、第三者が任意のコードを実行する可能
性があります。
対象となるバージョンは次のとおりです。
- ファイルコンパクト Ver.5 バージョン 5.09 およびそれ以前
- ファイルコンパクト Ver.6 バージョン 6.01 およびそれ以前
- ファイルコンパクト Ver.7 バージョン 7.01 およびそれ以前
この問題は、ファイルコンパクトをソースネクスト株式会社が提供する修正済
みのバージョンに更新し、自己解凍書庫ファイルを作成しなおすことで解決し
ます。詳細は、ソースネクスト株式会社が提供する情報を参照してください。
ソースネクスト株式会社
ファイルコンパクトで作成された自己解凍書庫の脆弱性と修正完了のお知らせ(2017/7/7)
https://www.sourcenext.com/support/i/20170704_01
FileCapsule Deluxe Portable および FileCapsule Deluxe Portable で作成された自己復号形式の暗号ファイルに DLL 読み込みに関する脆弱性
FileCapsule Deluxe Portable および FileCapsule Deluxe Portable で作成
された自己復号形式の暗号ファイルには、DLL 読み込みに関する脆弱性があり
ます。結果として、第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- FileCapsule Deluxe Portable Ver.1.0.4.1 およびそれ以前
- FileCapsule Deluxe Portable Ver.1.0.5.1 およびそれ以前
- FileCapsule Deluxe Portable Ver.2.0.9 およびそれ以前
- FileCapsule Deluxe Portable Ver.1.0.4.1 およびそれ以前を使用して作成された自己復号形式の暗号ファイル
- FileCapsule Deluxe Portable Ver.1.0.5.1 およびそれ以前を使用して作成された自己復号形式の暗号ファイル
- FileCapsule Deluxe Portable Ver.2.0.9 およびそれ以前を使用して作成された自己復号形式の暗号ファイル
この問題は、FileCapsule Deluxe Portable を開発者が提供する修正済みのバー
ジョンに更新し、自己復号形式の暗号ファイルを作成しなおすことで解決しま
す。詳細は、開発者が提供する情報を参照してください。
ON ERROR RESUME NEXT ブログ
【重要なお知らせ】FileCapsule Deluxe Portableの脆弱性について / [Important Notice] About FileCapsule Deluxe Portable Vulnerability
http://resumenext.blog.fc2.com/blog-entry-30.html
総務省が「サイバー攻撃(標的型攻撃)対策防御モデルの解説」を公開
2017年7月10日、総務省は、官公庁や民間企業などに推奨される標的型攻撃へ
の対策について解説した「サイバー攻撃(標的型攻撃)対策防御モデルの解説」
を公開しました。このドキュメントは、インシデントレスポンスの計画と実行
について解説した「人・組織対策」と、事前対策・検知・事後対策を解説した
「技術的対策」から構成されています。
総務省
「サイバー攻撃(標的型攻撃)対策防御モデルの解説」の公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000125.html
総務省
サイバー攻撃(標的型攻撃)対策防御モデルの解説
http://www.soumu.go.jp/main_content/000495298.pdf