JPCERT-WR-2017-3301
2017-08-30
2017-08-20
2017-08-26
Mozilla Thunderbird に複数の脆弱性
Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したりするなどの可能性があります。
対象となるバージョンは次のとおりです。
- Mozilla Thunderbird 52.3 より前のバージョン
この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。
Mozilla
Mozilla Foundation Security Advisory 2017-20
https://www.mozilla.org/en-US/security/advisories/mfsa2017-20/
サイボウズ ガルーンに複数の脆弱性
サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第
三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、当該製品のユー
ザがサービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となるバージョンは次のとおりです。
- サイボウズ ガルーン 3.0.0 から 4.2.5 まで
この問題は、サイボウズ ガルーンをサイボウズ株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提
供する情報を参照してください。
サイボウズ株式会社
サイボウズ ガルーン 4 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2017/006442.html
baserCMS における複数の脆弱性
baserCMS には、複数の脆弱性があります。結果として、遠隔の第三者が、任
意の SQL 文を実行したり、任意のファイルを取得するなどの可能性がありま
す。
対象となるバージョンは次のとおりです。
- baserCMS 3.0.14 およびそれ以前のバージョン
- baserCMS 4.0.5 およびそれ以前のバージョン
この問題は、baserCMS を baserCMSユーザー会が提供する修正済みのバージョン
に更新することで解決します。詳細は、baserCMSユーザー会が提供する情報を
参照してください。
baserCMSユーザー会
SQLインジェクションをはじめとする複数の脆弱性
https://basercms.net/security/JVN78151490
ドコでもeye Smart HD SCR02HD に複数の脆弱性
ドコでもeye Smart HD SCR02HD には、複数の脆弱性があります。結果として、
遠隔の第三者が任意の OS コマンドを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- ドコでもeye Smart HD SCR02HD Firmware 1.0.3.1000 およびそれ以前
2017年8月29日現在、対策済みのバージョンは公開されていません。次の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。
- 工場出荷時のパスワードを変更する
- 公開されている無線 LAN 上 (公共 Wi-Fi 等) に製品を接続して使用しない
- 製品と外部ネットワーク間にブロードバンドルーターなどを設置し、外部ネットワークからのアクセス制限を行う
詳細は、日本アンテナ株式会社が提供する情報を参照してください。
日本アンテナ株式会社
ネットワークカメラのご使用時におけるセキュリティに関するご注意
http://www.nippon-antenna.co.jp/product/ine/pdf/scr02hd_about_security.pdf
WordPress 用プラグイン BackupGuard にクロスサイトスクリプティングの脆弱性
WordPress 用プラグイン BackupGuard には、クロスサイトスクリプティング
の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任
意のスクリプトを実行する可能性があります。
対象となるバージョンは次のとおりです。
- BackupGuard 1.1.47 より前のバージョン
この問題は、BackupGuard を BackupGuard が提供する修正済みのバージョン
に更新することで解決します。詳細は、BackupGuard が提供する情報を参照し
てください。
BackupGuard
Changelog
https://wordpress.org/plugins/backup/#developers
WebCalendar に複数の脆弱性
WebCalendar には、複数の脆弱性があります。結果として、遠隔の第三者が、
ユーザのブラウザ上で任意のスクリプトを実行したり、当該製品に管理者とし
てログイン可能なユーザが、任意のファイルにアクセスしたりする可能性があ
ります。
対象となるバージョンは次のとおりです。
- WebCalendar 1.2.7 およびそれ以前
この問題は、WebCalendar を k5n.us が提供する修正済みのバージョンに更新
することで解決します。詳細は、k5n.us が提供する情報を参照してください。
WebCalendar
Release 1.2.8
https://github.com/craigk5n/webcalendar/releases/tag/v1.2.8
SEO Panel に複数の脆弱性
SEO Panel には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザのブラウザ上で任意のスクリプトを実行したり、当該製品にログイン可能な
ユーザが、データベースの内容を取得したりするなどの可能性があります。
対象となるバージョンは次のとおりです。
- SEO Panel 3.11.0 より前のバージョン
この問題は、SEO Panel を SEO Panel が提供する修正済みのバージョンに更
新することで解決します。詳細は、SEO Panel が提供する情報を参照してくだ
さい。
SEO Panel
Seo Panel 3.11.0 Released
http://blog.seopanel.in/2017/07/seo-panel-3-11-0-released/
商業登記電子認証ソフトのインストーラに DLL 読み込みに関する脆弱性
商業登記電子認証ソフトのインストーラには、DLL 読み込みに関する脆弱性が
あります。結果として、第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- 商業登記電子認証ソフトVer1.8 およびそれ以前
この問題は、法務省が提供する最新のインストーラでは解決しています。なお、
すでに商業登記電子認証ソフトをインストールしている場合には、この問題の
影響はありません。詳細は、法務省が提供する情報を参照してください。
法務省
「商業登記電子認証ソフト」のダウンロード
http://www.moj.go.jp/MINJI/minji06_00027.html
フォトコレクションPCソフトのインストーラに DLL 読み込みや実行ファイル呼び出しに関する脆弱性
フォトコレクションPCソフトのインストーラには、DLL 読み込みや実行ファイ
ルの呼び出しに関する脆弱性が存在します。結果として、第三者が任意のコー
ドを実行する可能性があります。
対象となるバージョンは次のとおりです。
- フォトコレクションPCソフト Ver.4.0.2 およびそれ以前
この問題は、株式会社NTTドコモが提供する最新のインストーラでは解決して
います。なお、すでにフォトコレクションPCソフトをインストールしている場
合には、この問題の影響はありません。詳細は、株式会社NTTドコモが提供す
る情報を参照してください。
株式会社NTTドコモ
フォトコレクションPCソフト
https://www.nttdocomo.co.jp/support/utilization/application/service/photo_collection/
フレッツ接続ツールのインストーラに DLL 読み込みに関する脆弱性
フレッツ接続ツールのインストーラには、DLL 読み込みに関する脆弱性があり
ます。結果として、第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- フレッツ接続ツール Windows 版 すべてのバージョン
2017年8月30日現在、当該製品の提供は終了しています。当該製品をインストー
ルしないでください。詳細は、西日本電信電話株式会社が提供する情報を参照
してください。
西日本電信電話株式会社
「フレッツ接続ツール」における脆弱性について
http://flets-w.com/topics/setsuzoku_tool_vulnerability/
フレッツインストールツールのインストーラに DLL 読み込みに関する脆弱性
フレッツインストールツールのインストーラには、DLL 読み込みに関する脆弱
性があります。結果として、第三者が任意のコードを実行する可能性がありま
す。
対象となるバージョンは次のとおりです。
- フレッツインストールツール (2017年8月8日以前にダウンロードされたバージョンすべて)
この問題は、西日本電信電話株式会社が提供する最新のインストーラでは解決
しています。なお、すでにフレッツインストールツールをインストールしてい
る場合には、この問題の影響はありません。詳細は、西日本電信電話株式会社
が提供する情報を参照してください。
西日本電信電話株式会社
「インストールツール」(InstTool12.6.0_EX.exe、InstTool12.6.0_v6.exe)における脆弱性について
http://flets-w.com/topics/inst_tool_vulnerability/
フレッツ・あずけ〜る Windows用PC自動バックアップツールのインストーラに DLL 読み込みに関する脆弱性
フレッツ・あずけ〜る Windows用PC自動バックアップツールのインストーラに
は、DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコー
ドを実行する可能性があります。
対象となるバージョンは次のとおりです。
- フレッツ・あずけ〜る Windows用PC自動バックアップツール v1.0.3.0 およびそれ以前
この問題は、西日本電信電話株式会社が提供する最新のインストーラでは解決
しています。なお、すでにフレッツ・あずけ〜る Windows用PC自動バックアッ
プツールをインストールしている場合には、この問題の影響はありません。詳
細は、西日本電信電話株式会社が提供する情報を参照してください。
西日本電信電話株式会社
「フレッツ・あずけ〜るWindows用PC自動バックアップツール」における脆弱性について
http://flets-w.com/topics/azukeru_vulnerability/
セキュリティ機能見張り番のインストーラに DLL 読み込みに関する脆弱性
セキュリティ機能見張り番のインストーラには、DLL 読み込みに関する脆弱性
があります。結果として、第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- セキュリティ機能見張り番 バージョン 1.0.21 およびそれ以前
この問題は、西日本電信電話株式会社が提供する最新のインストーラでは解決
しています。なお、すでにセキュリティ機能見張り番をインストールしている
場合には、この問題の影響はありません。詳細は、西日本電信電話株式会社が
提供する情報を参照してください。
西日本電信電話株式会社
「セキュリティ機能見張り番」における脆弱性について
http://flets-w.com/topics/mihariban_vulnerability/
セキュリティセットアップツールのインストーラおよびインストーラを含む自己解凍書庫に DLL 読み込みに関する脆弱性
セキュリティセットアップツールのインストーラおよびインストーラを含む自
己解凍書庫には、DLL 読み込みに関する脆弱性があります。結果として、第三
者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- セキュリティセットアップツール すべてのバージョン
2017年8月30日現在、当該製品の提供は終了しています。当該製品をインストー
ルしないでください。詳細は、西日本電信電話株式会社が提供する情報を参照
してください。
西日本電信電話株式会社
セキュリティセットアップツール ( ESAT_SUT.exe ) における脆弱性について
http://f-security.jp/v6/support/information/100161.html
Optimal Guard のインストーラに DLL 読み込みに関する脆弱性
Optimal Guard のインストーラには、DLL 読み込みに関する脆弱性があります。
結果として、第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Optimal Guard 1.1.21 およびそれ以前
この問題は、株式会社オプティムが提供する最新のインストーラでは解決して
います。なお、すでに Optimal Guard をインストールしている場合には、こ
の問題の影響はありません。詳細は、株式会社オプティムが提供する情報を参
照してください。
株式会社オプティム
「Optimal Guard」ご利用のお客様へ
https://www.optim.co.jp/contents/23246
JNSA が「セキュリティ知識分野(SecBoK)人材スキルマップ2017年版」を公開
2017年8月21日、日本ネットワークセキュリティ協会 (JNSA) は、「セキュリ
ティ知識分野(SecBoK)人材スキルマップ2017年版」を公開しました。この資
料は、情報セキュリティに関する業務に携わる人材が身につけるべき知識とス
キルを体系的に整理したもので、CISO、脆弱性診断士、インシデントハンドラー
など、16 の役割それぞれに必要とされる前提スキルと必須スキルがまとめら
れています。
日本ネットワークセキュリティ協会 (JNSA)
セキュリティ知識分野(SecBoK)人材スキルマップ2017年版 〜ITSS+との連携などを追記した2017年版を公開〜
http://www.jnsa.org/result/2017/skillmap/