JPCERT-WR-2018-2001
2018-05-30
2018-05-20
2018-05-26
複数の VMware 製品に脆弱性
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- VMware Workstation Pro / Player 14.1.2 より前のバージョン
- VMware Fusion Pro / Fusion 10.1.2 より前のバージョン
この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
することで解決します。詳細は、VMware が提供する情報を参照してください。
サイボウズ Office およびサイボウズ メールワイズに複数の脆弱性
サイボウズ Office およびサイボウズ メールワイズには、複数の脆弱性があ
ります。結果として、当該製品のユーザがサービス運用妨害 (DoS) 攻撃を行っ
たり、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行したりす
る可能性があります。
対象となるバージョンは次のとおりです。
- サイボウズ Office 10.0.0 から 10.8.0 まで
- サイボウズ メールワイズ 5.0.0 から 5.4.1 まで
この問題は、該当する製品をサイボウズ株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を
参照してください。
サイボウズ株式会社
サイボウズ Office 10 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2018/006561.html
サイボウズ株式会社
サイボウズ メールワイズ 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2018/006573.html
投機的実行機能を持つ CPU に対するキャッシュサイドチャネル攻撃
投機的実行機能を持つ CPU には、キャッシュサイドチャネル攻撃に対する脆
弱性があります。結果として、システムにログイン可能なユーザが、システム
レジスタ値などの機密情報を取得する可能性があります。
対象となる製品は次のとおりです。
- 投機的実行機能を持つ CPU
この問題に対して、複数のベンダから対策に関する情報が公表されています。
使用しているシステムのベンダや配布元などの情報を確認し、対策の施された
バージョンが公開されている場合は適用することをおすすめします。
また、主要なブラウザでは、ブラウザの機能を悪用したサイドチャネル攻撃の
実行を難しくする緩和策が適用されています。使用しているブラウザのベンダ
や配布元などの情報を確認し、最新版へアップデートすることもおすすめしま
す。
Intel
INTEL-SA-00115
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
Intel
Side Channel Methods - Analysis, News and Updates
https://www.intel.com/content/www/us/en/architecture-and-technology/facts-about-side-channel-analysis-and-intel-products.html
ARM
Speculative Processor Vulnerability
https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability
strongSwan VPN charon サーバにバッファアンダーフローの脆弱性
strongSwan VPN charon サーバ には、バッファアンダーフローの脆弱性があ
ります。結果として、当該製品が待ち受けしているソケットにアクセスできる
ローカルユーザが、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは次のとおりです。
- strongSwan version 5.6.3rc1 より前のバージョン
この問題は、strongSwan を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
strongSwan
strongswan-5.6.3rc1
https://download.strongswan.org/CHANGES5rc.txt
Nessus にクロスサイトスクリプティングの脆弱性
Nessus には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。
対象となるバージョンは次のとおりです。
- Nessus 7.0.3 およびそれ以前
この問題は、Nessus を Tenable が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Tenable が提供する情報を参照してください。
Tenable
[R1] Nessus 7.1.0 Fixes Multiple Vulnerabilities
https://www.tenable.com/security/tns-2018-05
baserCMS に複数の脆弱性
baserCMS には、複数の脆弱性があります。結果として、遠隔の第三者が、運
営管理者の権限で任意のコードを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
- baserCMS 4.1.0.1 およびそれ以前
- baserCMS 3.0.15 およびそれ以前
この問題は、baserCMS を baserCMSユーザー会が提供する修正済みのバージョン
に更新するか、提供されている修正パッチを適用することで解決します。詳細
は、baserCMSユーザー会が提供する情報を参照してください。
baserCMSユーザー会
コードインジェクションをはじめとする複数の脆弱性
https://basercms.net/security/JVN67881316
Windows版 PlayMemories Home のインストーラに DLL 読み込みに関する脆弱性
Windows版 PlayMemories Home のインストーラには、DLL 読み込みに関する脆
弱性があります。結果として、第三者が任意のコードを実行する可能性があり
ます。
対象となる製品およびバージョンは次のとおりです。
- Windows版 PlayMemories Home ver.5.5.01 およびそれ以前
2018年5月29日現在、この問題に対する解決策は提供されていません。なお、
すでに該当する製品をインストールしている場合には、この問題の影響はあり
ません。次の回避策を適用することで、本脆弱性の影響を軽減することが可能
です。
- インストーラを実行する際には、インストーラと同じディレクトリに不審なファイルがないことを確認する
詳細はソニー株式会社が提供する情報を参照してください。
ソニー株式会社
PlayMemories Home
https://support.d-imaging.sony.co.jp/www/disoft/int/download/playmemories-home/win/ja/index.html
Susie プラグイン axpdfium に DLL 読み込みに関する脆弱性
Susie プラグイン axpdfium には、DLL 読み込みに関する脆弱性があります。
結果として、第三者が任意のコードを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
- axpdfium v0.01
この問題は、Susie プラグイン axpdfium を開発者が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、開発者が提供する情報を参照し
てください。
yak1ex
Susieプラグイン「axpdfium.spi」における任意の DLL 読み込みに関する脆弱性
https://github.com/yak1ex/axpdfium/wiki/JVN%2379301396
GDPR (一般データ保護規則) が施行
2018年5月25日、GDPR (General Data Protection Regulation 一般データ保護
規則) が施行されました。GDPR は、欧州連合 (EU) が EU域内の個人に関する
データを保護する法律として 2016年に制定され、EU 域内の個人に関するデー
タを取り扱う日本の組織は、企業のみならず公的機関や非営利法人なども対応
を検討することが求められています。
個人情報保護委員会や日本貿易振興機構は、GDPR に関するガイドラインや実
務ハンドブックを提供しています。自組織内での課題の整理や対応を検討する
うえで、ぜひご一読ください。
個人情報保護委員会
GDPR(General Data Protection Regulation:一般データ保護規則)
https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/
日本貿易振興機構
EU 一般データ保護規則(GDPR)について
https://www.jetro.go.jp/world/europe/eu/gdpr/