-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-4501 JPCERT/CC 2017-11-22 <<< JPCERT/CC WEEKLY REPORT 2017-11-22 >>> ―――――――――――――――――――――――――――――――――――――― ■11/12(日)〜11/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】Mozilla Firefox に複数の脆弱性 【4】Oracle Tuxedo に複数の脆弱性 【5】Cisco Voice Operating System にアクセス権限不備の脆弱性 【6】Windows 8 およびそれ以降のバージョンにおいて ASLR が適切に行われない問題 【7】WordPress 用プラグイン TablePress に XML 外部実体参照 (XXE) 処理の脆弱性 【8】CS-Cart日本語版にクロスサイトスクリプティングの脆弱性 【9】Packetbeat にサービス運用妨害 (DoS) の脆弱性 【10】ロボット家電 COCOROBO にセッション管理不備の脆弱性 【今週のひとくちメモ】経済産業省と IPA が「サイバーセキュリティ経営ガイドライン Ver2.0」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr174501.html https://www.jpcert.or.jp/wr/2017/wr174501.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases November 2017 Security Updates https://www.us-cert.gov/ncas/current-activity/2017/11/14/Microsoft-Releases-November-2017-Security-Updates CERT/CC Vulnerability Note VU#421280 Microsoft Office Equation Editor stack buffer overflow https://www.kb.cert.org/vuls/id/421280 概要 複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Internet Explorer - Microsoft Edge - Microsoft Windows - Microsoft Office and Microsoft Office Services および Web Apps - ASP.NET Core and .NET Core - Chakra Core この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2017 年 11 月のセキュリティ更新プログラム https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/bae9d0d8-e497-e711-80e5-000d3a32fc99 マイクロソフト株式会社 CVE-2017-11882 | Microsoft Office のメモリ破損の脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2017-11882 Japan Vulnerability Notes JVNVU#90967793 Microsoft Office 数式エディタにスタックベースのバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU90967793/ JPCERT/CC Alert 2017-11-15 2017年 11月マイクロソフトセキュリティ更新プログラムに関する注意喚起 https://www.jpcert.or.jp/at/2017/at170044.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/11/14/Adobe-Releases-Security-Updates 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Adobe Flash Player デスクトップランタイム 27.0.0.183 およびそれ以前 (Windows 版、Macintosh 版、Linux 版) - Photoshop CC 2017 18.1.1 (2017.1.1) およびそれ以前 (Windows 版、Macintosh 版) - Adobe Connect 9.6.2 およびそれ以前 - Adobe Acrobat DC (Continuous Track) 2017.012.20098 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat Reader DC (Continuous Track) 2017.012.20098 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat 2017 2017.011.30066 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat Reader 2017 2017.011.30066 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat DC (Classic Track) 2015.006.30355 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat Reader DC (Classic Track) 2015.006.30355 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat XI 11.0.22 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Reader XI 11.0.22 およびそれ以前 (Windows 版、Macintosh 版) - Adobe DNG Converter 9.12.1 およびそれ以前 (Windows 版) - Adobe InDesign 12.1.0 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Digital Editions 4.5.6 およびそれ以前 (Windows 版、Macintosh 版、iOS 版、Android 版) - Adobe Shockwave Player 12.2.9.199 およびそれ以前 (Windows 版) - Adobe Experience Manager 6.3 - Adobe Experience Manager 6.2 - Adobe Experience Manager 6.1 - Adobe Experience Manager 6.0 この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe Flash Player 用のセキュリティアップデート公開 | APSB17-33 https://helpx.adobe.com/jp/security/products/flash-player/apsb17-33.html Adobe Adobe Photoshop CC に関するセキュリティアップデート公開| APSB17-34 https://helpx.adobe.com/jp/security/products/photoshop/apsb17-34.html Adobe Adobe Connect 用のセキュリティアップデート | APSB17-35 https://helpx.adobe.com/jp/security/products/connect/apsb17-35.html Adobe Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB17-36 https://helpx.adobe.com/jp/security/products/acrobat/apsb17-36.html Adobe Adobe DNG Converter に関するセキュリティアップデート公開| APSB17-37 https://helpx.adobe.com/jp/security/products/dng-converter/apsb17-37.html Adobe InDesign を対象としたセキュリティアップデート公開 | APSB17-38 https://helpx.adobe.com/jp/security/products/indesign/apsb17-38.html Adobe Adobe Digital Editions に関するセキュリティアップデート公開 | APSB17-39 https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb17-39.html Adobe Shockwave Player 用のセキュリティアップデート公開 | APSB17-40 https://helpx.adobe.com/jp/security/products/shockwave/apsb17-40.html Adobe Adobe Experience Manager に関するセキュリティアップデート公開 | APSB17-41 https://helpx.adobe.com/jp/security/products/experience-manager/apsb17-41.html JPCERT/CC Alert 2017-11-15 Adobe Flash Player の脆弱性 (APSB17-33) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170042.html JPCERT/CC Alert 2017-11-15 Adobe Reader および Acrobat の脆弱性 (APSB17-36) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170043.html 【3】Mozilla Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/11/14/Mozilla-Releases-Security-Updates 概要 Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす るなどの可能性があります。 対象となるバージョンは次のとおりです。 - Mozilla Firefox 57 より前のバージョン - Mozilla Firefox ESR 52.5 より前のバージョン この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 関連文書 (英語) Mozilla Mozilla Foundation Security Advisories (November 14, 2017) https://www.mozilla.org/en-US/security/advisories/ 【4】Oracle Tuxedo に複数の脆弱性 情報源 US-CERT Current Activity Oracle Releases Security Alert https://www.us-cert.gov/ncas/current-activity/2017/11/16/Oracle-Releases-Security-Alert 概要 Oracle Tuxedo には、複数の脆弱性があります。結果として、遠隔の第三者が 任意の操作を行う可能性があります。 対象となるバージョンは次のとおりです。 - Oracle Tuxedo 11.1.1、12.1.1、12.1.3、12.2.2 この問題は、Oracle Tuxedo を Oracle が提供する修正済みのバージョンに更 新することで解決します。詳細は、Oracle が提供する情報を参照してくださ い。 関連文書 (英語) Oracle Oracle Security Alert Advisory - CVE-2017-10269 http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10269-4021872.html 【5】Cisco Voice Operating System にアクセス権限不備の脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/11/15/Cisco-Releases-Security-Update 概要 Cisco Voice Operating System の refresh upgrade (RU) 機能および Prime Collaboration Deployment (PCD) 機能には、脆弱性があります。結果として、 遠隔の第三者が任意の操作を行う可能性があります。 対象となる製品は次のとおりです。 - Cisco Unified Communications Manager (UCM) - Cisco Unified Communication Manager Session Management Edition (SME) - Cisco Emergency Responder - Cisco Unity Connection - Cisco Unified Communications Manager IM and Presence Service (IM&P) - Cisco Prime License Manager - Cisco Hosted Collaboration Mediation Fulfillment - Cisco Unified Contact Center Express (UCCx) - Cisco SocialMiner - Cisco Unified Intelligence Center (UIC) - Cisco Finesse - Cisco MediaSense この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Cisco Voice Operating System-Based Products Unauthorized Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171115-vos 【6】Windows 8 およびそれ以降のバージョンにおいて ASLR が適切に行われない問題 情報源 CERT/CC Vulnerability Note VU#817544 Windows 8 and later fail to properly randomize every application if system-wide mandatory ASLR is enabled via EMET or Windows Defender Exploit Guard https://www.kb.cert.org/vuls/id/817544 概要 EMET および Windows Defender Exploit Guard には、アドレスのランダマイ ズの設定を適切に行わない問題があります。結果として、遠隔の第三者が ASLR を回避する可能性があります。 対象となる製品は次のとおりです。 - Windows 8 およびそれ以降のバージョンにインストールされている EMET - Windows 8 およびそれ以降のバージョンにインストールされている Windows Defender Exploit Guard 2017年11月21日現在、対策済みのバージョンは公開されていません。以下の回 避策を適用することで、本脆弱性の影響を軽減することが可能です。 - システム全体に ASLR の強制を適用する場合、システム全体の bottom-up ASLR も合わせて有効にする 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91363799 Windows 8 およびそれ以降のバージョンにおいて、アドレス空間配置のランダム化が適切に行われない脆弱性 https://jvn.jp/vu/JVNVU91363799/ 【7】WordPress 用プラグイン TablePress に XML 外部実体参照 (XXE) 処理の脆弱性 情報源 Japan Vulnerability Notes JVN#05398317 WordPress 用プラグイン TablePress における XML 外部実体参照 (XXE) 処理の脆弱性 https://jvn.jp/jp/JVN05398317/ 概要 WordPress 用プラグイン TablePress には、XML 外部実体参照 (XXE) 処理の 脆弱性があります。結果として、当該プラグインの管理ページにアクセスでき る「投稿者」以上の権限を持つユーザが、任意のファイルにアクセスする可能 性があります。 対象となるバージョンは次のとおりです。 - TablePress 1.8.1 より前のバージョン この問題は、TablePress を開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) TablePress Changelog https://wordpress.org/plugins/tablepress/#developers 【8】CS-Cart日本語版にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#29602086 CS-Cart日本語版におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN29602086/ 概要 CS-Cart日本語版には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となるバージョンは次のとおりです。 - CS-Cart日本語版スタンダード版 v4.3.10 およびそれ以前 (v2系、v3系は除く) - CS-Cart日本語版マーケットプレイス版 v4.3.10 およびそれ以前 (v2系、v3系は除く) この問題は、CS-Cart日本語版を有限会社フロッグマンオフィスが提供する修 正済みのバージョンに更新することで解決します。詳細は、有限会社フロッグ マンオフィスが提供する情報を参照してください。 関連文書 (日本語) 有限会社フロッグマンオフィス 【JVN#29602086】 2017年11月13日に公表されたXSS脆弱性への対応方法 https://tips.cs-cart.jp/fix-jvn-29602086.html 【9】Packetbeat にサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVNVU#94371484 Packetbeat におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU94371484/ 概要 Packetbeat には、脆弱性があります。結果として、遠隔の第三者が、細工し たパケットを送信することで、サービス運用妨害 (DoS) 攻撃を行う可能性が あります。 対象となるバージョンは次のとおりです。 - Packetbeat 5.6.4 より前のバージョン この問題は、Packetbeat を Elastic が提供する修正済みのバージョンに更新 することで解決します。詳細は、Elastic が提供する情報を参照してください。 関連文書 (英語) Elastic Beats 5.6.4 security update https://discuss.elastic.co/t/beats-5-6-4-security-update/106739 【10】ロボット家電 COCOROBO にセッション管理不備の脆弱性 情報源 Japan Vulnerability Notes JVN#76382932 ロボット家電 COCOROBO におけるセッション管理不備の脆弱性 https://jvn.jp/jp/JVN76382932/ 概要 ロボット家電 COCOROBO には、セッション管理不備の脆弱性があります。結果 として、第三者が、任意の操作を実行したり、情報を取得したりするなどの可 能性があります。 対象となるバージョンは次のとおりです。 - RX-V200 ファームウェア バージョン 09.87.17.09 より前のバージョン - RX-V100 ファームウェア バージョン 03.29.17.09 より前のバージョン - RX-CLV1-P ファームウェア バージョン 79.17.17.09 より前のバージョン - RX-CLV2-B ファームウェア バージョン 89.07.17.09 より前のバージョン - RX-CLV3-N ファームウェア バージョン 91.09.17.10 より前のバージョン この問題は、ロボット家電 COCOROBO のファームウェアをシャープ株式会社が 提供する修正済みのバージョンに更新することで解決します。詳細は、シャー プ株式会社が提供する情報を参照してください。 関連文書 (日本語) シャープ株式会社 COCOROBOアップデート http://www.sharp.co.jp/cocorobo/manual/firmware.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○経済産業省と IPA が「サイバーセキュリティ経営ガイドライン Ver2.0」を公開 2017年11月16日、経済産業省と情報処理推進機構 (IPA) は、「サイバーセキュ リティ経営ガイドライン Ver2.0」を公開しました。このガイドラインは、2016年 12月に企業の経営者に向けて公開された「サイバーセキュリティ経営ガイドラ イン Ver 1.1」の改訂版です。「サイバーセキュリティリスクに対応するため の仕組みの構築」、「付録C インシデント発生時に組織内で整理しておくべき 事項」などの項目の追加や、既存の重要項目の再整理などが行われています。 参考文献 (日本語) 経済産業省 サイバーセキュリティ経営ガイドライン http://www.meti.go.jp/policy/netsecurity/mng_guide.html 経済産業省 サイバーセキュリティ経営ガイドライン Ver2.0 http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJaFMxyAAoJEDF9l6Rp7OBIyxIIAI0tX7hd46Zfz2hCt5AgUTRx ULj77K7qu8hO1CrtPZXsejRCVH8FYjjYlix8MpCDgNc9Jc3fvhQvLaRRBUqrVWj6 xgJKimovHpH3a8rkMWHx0giM4p4uwiBFwdBrMCEfUbcRRMxyvG/4VyDKyCCi/1H/ Aqmm+3zvAGNoX8aAkNgt2D7osXB2yzxSpI+5IW/mlPDPsZm1FdyUwUHEykcF5AH3 624Ol04WwhnC3U4jlHvu/0fD1WdRSIiVz9Q7/RMMjrA1Sq7GXL/lUmc+JOf8SPcT 4GZ+UMy72l8pZBAhxulsaJ4R61d80LkEJZuYXH6VhNouE4ao4UAbRFmGBYVOus0= =U1IZ -----END PGP SIGNATURE-----