<<< JPCERT/CC WEEKLY REPORT 2017-08-30 >>>
■08/20(日)〜08/26(土) のセキュリティ関連情報
目 次
【1】Mozilla Thunderbird に複数の脆弱性
【2】サイボウズ ガルーンに複数の脆弱性
【3】baserCMS における複数の脆弱性
【4】ドコでもeye Smart HD SCR02HD に複数の脆弱性
【5】WordPress 用プラグイン BackupGuard にクロスサイトスクリプティングの脆弱性
【6】WebCalendar に複数の脆弱性
【7】SEO Panel に複数の脆弱性
【8】商業登記電子認証ソフトのインストーラに DLL 読み込みに関する脆弱性
【9】フォトコレクションPCソフトのインストーラに DLL 読み込みや実行ファイル呼び出しに関する脆弱性
【10】フレッツ接続ツールのインストーラに DLL 読み込みに関する脆弱性
【11】フレッツインストールツールのインストーラに DLL 読み込みに関する脆弱性
【12】フレッツ・あずけ〜る Windows用PC自動バックアップツールのインストーラに DLL 読み込みに関する脆弱性
【13】セキュリティ機能見張り番のインストーラに DLL 読み込みに関する脆弱性
【14】セキュリティセットアップツールのインストーラおよびインストーラを含む自己解凍書庫に DLL 読み込みに関する脆弱性
【15】Optimal Guard のインストーラに DLL 読み込みに関する脆弱性
【今週のひとくちメモ】JNSA が「セキュリティ知識分野(SecBoK)人材スキルマップ2017年版」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr173301.txt
https://www.jpcert.or.jp/wr/2017/wr173301.xml
【1】Mozilla Thunderbird に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/08/21/Mozilla-Releases-Security-Update
概要
Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - Mozilla Thunderbird 52.3 より前のバージョン この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。
関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisory 2017-20
https://www.mozilla.org/en-US/security/advisories/mfsa2017-20/
【2】サイボウズ ガルーンに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#63564682
サイボウズ ガルーンにおける複数の脆弱性
https://jvn.jp/jp/JVN63564682/
概要
サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第 三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、当該製品のユー ザがサービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - サイボウズ ガルーン 3.0.0 から 4.2.5 まで この問題は、サイボウズ ガルーンをサイボウズ株式会社が提供する修正済み のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提 供する情報を参照してください。
関連文書 (日本語)
サイボウズ株式会社
サイボウズ ガルーン 4 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2017/006442.html
【3】baserCMS における複数の脆弱性
情報源
Japan Vulnerability Notes JVN#78151490
baserCMS における複数の脆弱性
https://jvn.jp/jp/JVN78151490/
概要
baserCMS には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意の SQL 文を実行したり、任意のファイルを取得するなどの可能性がありま す。 対象となるバージョンは次のとおりです。 - baserCMS 3.0.14 およびそれ以前のバージョン - baserCMS 4.0.5 およびそれ以前のバージョン この問題は、baserCMS を baserCMSユーザー会が提供する修正済みのバージョン に更新することで解決します。詳細は、baserCMSユーザー会が提供する情報を 参照してください。
関連文書 (日本語)
baserCMSユーザー会
SQLインジェクションをはじめとする複数の脆弱性
https://basercms.net/security/JVN78151490
【4】ドコでもeye Smart HD SCR02HD に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#87410770
「ドコでもeye Smart HD」SCR02HD における複数の脆弱性
https://jvn.jp/jp/JVN87410770/
概要
ドコでもeye Smart HD SCR02HD には、複数の脆弱性があります。結果として、 遠隔の第三者が任意の OS コマンドを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - ドコでもeye Smart HD SCR02HD Firmware 1.0.3.1000 およびそれ以前 2017年8月29日現在、対策済みのバージョンは公開されていません。次の回避 策を適用することで、本脆弱性の影響を軽減することが可能です。 - 工場出荷時のパスワードを変更する - 公開されている無線 LAN 上 (公共 Wi-Fi 等) に製品を接続して使用しない - 製品と外部ネットワーク間にブロードバンドルーターなどを設置し、外部ネットワークからのアクセス制限を行う 詳細は、日本アンテナ株式会社が提供する情報を参照してください。
関連文書 (日本語)
日本アンテナ株式会社
ネットワークカメラのご使用時におけるセキュリティに関するご注意
http://www.nippon-antenna.co.jp/product/ine/pdf/scr02hd_about_security.pdf
【5】WordPress 用プラグイン BackupGuard にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#58559719
WordPress 用プラグイン BackupGuard におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN58559719/
概要
WordPress 用プラグイン BackupGuard には、クロスサイトスクリプティング の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任 意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - BackupGuard 1.1.47 より前のバージョン この問題は、BackupGuard を BackupGuard が提供する修正済みのバージョン に更新することで解決します。詳細は、BackupGuard が提供する情報を参照し てください。
関連文書 (英語)
BackupGuard
Changelog
https://wordpress.org/plugins/backup/#developers
【6】WebCalendar に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#23340457
WebCalendar における複数の脆弱性
https://jvn.jp/jp/JVN23340457/
概要
WebCalendar には、複数の脆弱性があります。結果として、遠隔の第三者が、 ユーザのブラウザ上で任意のスクリプトを実行したり、当該製品に管理者とし てログイン可能なユーザが、任意のファイルにアクセスしたりする可能性があ ります。 対象となるバージョンは次のとおりです。 - WebCalendar 1.2.7 およびそれ以前 この問題は、WebCalendar を k5n.us が提供する修正済みのバージョンに更新 することで解決します。詳細は、k5n.us が提供する情報を参照してください。
関連文書 (英語)
WebCalendar
Release 1.2.8
https://github.com/craigk5n/webcalendar/releases/tag/v1.2.8
【7】SEO Panel に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#39628662
SEO Panel における複数の脆弱性
https://jvn.jp/jp/JVN39628662/
概要
SEO Panel には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行したり、当該製品にログイン可能な ユーザが、データベースの内容を取得したりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - SEO Panel 3.11.0 より前のバージョン この問題は、SEO Panel を SEO Panel が提供する修正済みのバージョンに更 新することで解決します。詳細は、SEO Panel が提供する情報を参照してくだ さい。
関連文書 (英語)
SEO Panel
Seo Panel 3.11.0 Released
http://blog.seopanel.in/2017/07/seo-panel-3-11-0-released/
【8】商業登記電子認証ソフトのインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#30866130
商業登記電子認証ソフトのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN30866130/
概要
商業登記電子認証ソフトのインストーラには、DLL 読み込みに関する脆弱性が あります。結果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - 商業登記電子認証ソフトVer1.8 およびそれ以前 この問題は、法務省が提供する最新のインストーラでは解決しています。なお、 すでに商業登記電子認証ソフトをインストールしている場合には、この問題の 影響はありません。詳細は、法務省が提供する情報を参照してください。
関連文書 (日本語)
法務省
「商業登記電子認証ソフト」のダウンロード
http://www.moj.go.jp/MINJI/minji06_00027.html
【9】フォトコレクションPCソフトのインストーラに DLL 読み込みや実行ファイル呼び出しに関する脆弱性
情報源
Japan Vulnerability Notes JVN#67954465
株式会社NTTドコモが提供するフォトコレクションPCソフトのインストーラにおける DLL 読み込みや実行ファイル呼び出しに関する脆弱性
https://jvn.jp/jp/JVN67954465/
概要
フォトコレクションPCソフトのインストーラには、DLL 読み込みや実行ファイ ルの呼び出しに関する脆弱性が存在します。結果として、第三者が任意のコー ドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - フォトコレクションPCソフト Ver.4.0.2 およびそれ以前 この問題は、株式会社NTTドコモが提供する最新のインストーラでは解決して います。なお、すでにフォトコレクションPCソフトをインストールしている場 合には、この問題の影響はありません。詳細は、株式会社NTTドコモが提供す る情報を参照してください。
関連文書 (日本語)
株式会社NTTドコモ
フォトコレクションPCソフト
https://www.nttdocomo.co.jp/support/utilization/application/service/photo_collection/
【10】フレッツ接続ツールのインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#22272314
フレッツ接続ツールのインストーラにおける任意の DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN22272314/
概要
フレッツ接続ツールのインストーラには、DLL 読み込みに関する脆弱性があり ます。結果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - フレッツ接続ツール Windows 版 すべてのバージョン 2017年8月30日現在、当該製品の提供は終了しています。当該製品をインストー ルしないでください。詳細は、西日本電信電話株式会社が提供する情報を参照 してください。
関連文書 (日本語)
西日本電信電話株式会社
「フレッツ接続ツール」における脆弱性について
http://flets-w.com/topics/setsuzoku_tool_vulnerability/
【11】フレッツインストールツールのインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#14926025
フレッツインストールツールのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN14926025/
概要
フレッツインストールツールのインストーラには、DLL 読み込みに関する脆弱 性があります。結果として、第三者が任意のコードを実行する可能性がありま す。 対象となるバージョンは次のとおりです。 - フレッツインストールツール (2017年8月8日以前にダウンロードされたバージョンすべて) この問題は、西日本電信電話株式会社が提供する最新のインストーラでは解決 しています。なお、すでにフレッツインストールツールをインストールしてい る場合には、この問題の影響はありません。詳細は、西日本電信電話株式会社 が提供する情報を参照してください。
関連文書 (日本語)
西日本電信電話株式会社
「インストールツール」(InstTool12.6.0_EX.exe、InstTool12.6.0_v6.exe)における脆弱性について
http://flets-w.com/topics/inst_tool_vulnerability/
【12】フレッツ・あずけ〜る Windows用PC自動バックアップツールのインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#14658714
「フレッツ・あずけ〜る Windows用PC自動バックアップツール」のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN14658714/
概要
フレッツ・あずけ〜る Windows用PC自動バックアップツールのインストーラに は、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコー ドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - フレッツ・あずけ〜る Windows用PC自動バックアップツール v1.0.3.0 およびそれ以前 この問題は、西日本電信電話株式会社が提供する最新のインストーラでは解決 しています。なお、すでにフレッツ・あずけ〜る Windows用PC自動バックアッ プツールをインストールしている場合には、この問題の影響はありません。詳 細は、西日本電信電話株式会社が提供する情報を参照してください。
関連文書 (日本語)
西日本電信電話株式会社
「フレッツ・あずけ〜るWindows用PC自動バックアップツール」における脆弱性について
http://flets-w.com/topics/azukeru_vulnerability/
【13】セキュリティ機能見張り番のインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#11601216
セキュリティ機能見張り番のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN11601216/
概要
セキュリティ機能見張り番のインストーラには、DLL 読み込みに関する脆弱性 があります。結果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - セキュリティ機能見張り番 バージョン 1.0.21 およびそれ以前 この問題は、西日本電信電話株式会社が提供する最新のインストーラでは解決 しています。なお、すでにセキュリティ機能見張り番をインストールしている 場合には、この問題の影響はありません。詳細は、西日本電信電話株式会社が 提供する情報を参照してください。
関連文書 (日本語)
西日本電信電話株式会社
「セキュリティ機能見張り番」における脆弱性について
http://flets-w.com/topics/mihariban_vulnerability/
【14】セキュリティセットアップツールのインストーラおよびインストーラを含む自己解凍書庫に DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#36303528
セキュリティセットアップツールのインストーラおよびインストーラを含む自己解凍書庫における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN36303528/
概要
セキュリティセットアップツールのインストーラおよびインストーラを含む自 己解凍書庫には、DLL 読み込みに関する脆弱性があります。結果として、第三 者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - セキュリティセットアップツール すべてのバージョン 2017年8月30日現在、当該製品の提供は終了しています。当該製品をインストー ルしないでください。詳細は、西日本電信電話株式会社が提供する情報を参照 してください。
関連文書 (日本語)
西日本電信電話株式会社
セキュリティセットアップツール ( ESAT_SUT.exe ) における脆弱性について
http://f-security.jp/v6/support/information/100161.html
【15】Optimal Guard のインストーラに DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#87540575
Optimal Guard のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN87540575/
概要
Optimal Guard のインストーラには、DLL 読み込みに関する脆弱性があります。 結果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Optimal Guard 1.1.21 およびそれ以前 この問題は、株式会社オプティムが提供する最新のインストーラでは解決して います。なお、すでに Optimal Guard をインストールしている場合には、こ の問題の影響はありません。詳細は、株式会社オプティムが提供する情報を参 照してください。
関連文書 (日本語)
株式会社オプティム
「Optimal Guard」ご利用のお客様へ
https://www.optim.co.jp/contents/23246
■今週のひとくちメモ
○JNSA が「セキュリティ知識分野(SecBoK)人材スキルマップ2017年版」を公開
2017年8月21日、日本ネットワークセキュリティ協会 (JNSA) は、「セキュリ ティ知識分野(SecBoK)人材スキルマップ2017年版」を公開しました。この資 料は、情報セキュリティに関する業務に携わる人材が身につけるべき知識とス キルを体系的に整理したもので、CISO、脆弱性診断士、インシデントハンドラー など、16 の役割それぞれに必要とされる前提スキルと必須スキルがまとめら れています。
参考文献 (日本語)
日本ネットワークセキュリティ協会 (JNSA)
セキュリティ知識分野(SecBoK)人材スキルマップ2017年版 〜ITSS+との連携などを追記した2017年版を公開〜
http://www.jnsa.org/result/2017/skillmap/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/