<<< JPCERT/CC WEEKLY REPORT 2016-09-28 >>>
■09/18(日)〜09/24(土) のセキュリティ関連情報
目 次
【1】Mozilla Firefox に複数の脆弱性
【2】OpenSSL に複数の脆弱性
【3】複数の Cisco 製品に脆弱性
【4】Drupal に複数の脆弱性
【5】複数の Apple 製品に脆弱性
【6】Android アプリ「マネーフォワード」に複数の脆弱性
【7】Geeklog IVYWE版の複数のプラグインにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】CEATEC JAPAN 2016 開催
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr163801.txt
https://www.jpcert.or.jp/wr/2016/wr163801.xml
【1】Mozilla Firefox に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/09/20/Mozilla-Releases-Security-Updates
概要
Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となる製品は以下の通りです。 - Firefox 49 より前のバージョン - Firefox ESR 45.4 より前のバージョン この問題は、Firefox を Mozilla が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2016 年 9 月 20 日)
http://www.mozilla-japan.org/security/announce/
【2】OpenSSL に複数の脆弱性
情報源
US-CERT Current Activity
OpenSSL Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/09/23/OpenSSL-Releases-Security-Updates
概要
OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.1.0b より前のバージョン - OpenSSL 1.0.2j より前のバージョン - OpenSSL 1.0.1u より前のバージョン この問題は、OpenSSL を、使用している OS のベンダや配布元が提供する修正 済みのバージョンに更新することで解決します。詳細は、開発者が提供する情 報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98667810
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU98667810/Japan Vulnerability Notes JVNVU#99474230
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU99474230/
関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [22 Sep 2016]
https://www.openssl.org/news/secadv/20160922.txtOpenSSL Project
OpenSSL Security Advisory [26 Sep 2016]
https://www.openssl.org/news/secadv/20160926.txt
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/09/21/Cisco-Releases-Security-Updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Cloud Services Platform 2100 version 2.0 - Cisco IOS - IOS XE Software - Cisco Firepower Management Center - Cisco FireSIGHT System software - Cisco Prime Home - Cisco APIC software - Cisco RV320 Dual Gigabit WAN VPN Router - Cisco RV325 Dual Gigabit WAN VPN Router - Cisco RVS4000 4-port Gigabit Security Router - VPN - Cisco WRV210 Wireless-G VPN Router - RangeBooster - Cisco WAP4410N Wireless-N Access Point - PoE/Advanced Security - Cisco WRV200 Wireless-G VPN Router - RangeBooster - Cisco WRVS4400N Wireless-N Gigabit Security Router - VPN V2.0 - Cisco WAP200 Wireless-G Access Point - PoE/Rangebooster - Cisco WVC2300 Wireless-G Business Internet Video Camera - Audio - Cisco PVC2300 Business Internet Video Camera - Audio/PoE - Cisco SRW224P 24-port 10/100 + 2-port Gigabit Switch - WebView/PoE - Cisco WET200 Wireless-G Business Ethernet Bridge - Cisco WAP2000 Wireless-G Access Point - PoE - Cisco WAP4400N Wireless-N Access Point - PoE - Cisco RV120W Wireless-N VPN Firewall - Cisco RV180 VPN Router - Cisco RV180W Wireless-N Multifunction VPN Router - Cisco RV315W Wireless-N VPN Router - Cisco Small Business SRP520 Models - Cisco Small Business SRP520-U Models - Cisco WRP500 Wireless-AC Broadband Router with 2 Phone Ports - Cisco SPA400 Internet Telephony Gateway with 4 FXO Ports - Cisco RTP300 Broadband Router - Cisco RV220W Wireless Network Security Firewall この問題は、該当する製品を、Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Cloud Services Platform 2100 Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-csp2100-1Cisco Security Advisory
Cisco Cloud Services Platform 2100 Remote Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-csp2100-2Cisco Security Advisory
Cisco IOS and IOS XE iox Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-ioxCisco Security Advisory
Cisco Firepower Management Center and FireSIGHT System Software SSLIinspection Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-fmcCisco Security Advisory
Cisco IOS and IOS XE Software Data in Motion Component Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-dmoCisco Security Advisory
Cisco Prime Home Web-Based User Interface XML External Entity Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-cphCisco Security Advisory
Cisco Application-Hosting Framework HTTP Header Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-caf1Cisco Security Advisory
Cisco Application Policy Infrastructure Controller Binary Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160921-apicCisco Security Advisory
Multiple Cisco Products Confidential Information Decryption Man-in-the-Middle Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151125-ci
【4】Drupal に複数の脆弱性
情報源
US-CERT Current Activity
Drupal Releases Security Advisory
https://www.us-cert.gov/ncas/current-activity/2016/09/21/Drupal-Releases-Security-Advisory
概要
Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Drupal 8.1.10 より前のバージョン この問題は、Drupal を、開発者が提供する修正済みのバージョンに更新する ことで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Drupal
Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-004
https://www.drupal.org/SA-CORE-2016-004
【5】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/09/20/Apple-Releases-Security-Updates
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、情報 を取得したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - macOS Sierra 10.12 より前のバージョン - Safari 10 より前のバージョン - macOS Server 5.2 より前のバージョン - iCloud for Windows 6.0 より前のバージョン - iOS 10.0.2 より前のバージョン この問題は、該当する製品を、Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90950877
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90950877/
関連文書 (英語)
Apple
About the security content of macOS Sierra 10.12
https://support.apple.com/en-us/HT207170Apple
About the security content of Safari 10
https://support.apple.com/en-us/HT207157Apple
About the security content of macOS Server 5.2
https://support.apple.com/en-us/HT207171Apple
About the security content of iCloud for Windows 6.0
https://support.apple.com/en-us/HT207147Apple
About the security content of iOS 10.0.2
https://support.apple.com/en-us/HT207199
【6】Android アプリ「マネーフォワード」に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#49343562
Android アプリ「マネーフォワード」における任意の操作が実行可能な脆弱性
https://jvn.jp/jp/JVN49343562/Japan Vulnerability Notes JVN#61297210
Android アプリ「マネーフォワード」における WebView クラスに関する脆弱性
https://jvn.jp/jp/JVN61297210/
概要
Android アプリ「マネーフォワード」には、複数の脆弱性があります。結果と して、第三者が、他の不正なアプリケーションを使用させることで、任意の操 作を行ったり、情報を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - 「マネーフォワード」 Android 版 7.18.0 より前のバージョン - 「マネーフォワード for YMFG」 Android 版 1.5.0 より前のバージョン - 「マネーフォワード for 群馬銀行」 Android 版 1.2.0 より前のバージョン - 「マネーフォワード for 滋賀銀行」 Android 版 1.2.0 より前のバージョン - 「マネーフォワード for 住信SBIネット銀行」 Android 版 1.6.0 より前のバージョン - 「マネーフォワード for 静岡銀行」 Android 版 1.4.0 より前のバージョン - 「マネーフォワード for 東海東京証券」 Android 版 1.4.0 より前のバージョン - 「マネーフォワード for 東邦銀行」 Android 版 1.3.0 より前のバージョン - 「マネーフォワード for AppPass」 7.18.3 より前のバージョン - 「マネーフォワード for auスマートパス」 7.18.0 より前のバージョン - 「マネーフォワード for 超ホーダイ」 7.18.3 より前のバージョン この問題は、マネーフォワードを、開発者や配布元が提供する修正済みのバー ジョンに更新することで解決します。詳細は、開発者や配布元が提供する情報 を参照してください。
関連文書 (日本語)
株式会社マネーフォワード
Android版「マネーフォワード」及び金融機関向け「マネーフォワード」の脆弱性と修正完了に関するお知らせ
http://corp.moneyforward.com/info/20160920-mf-android/ソースネクスト総合サポート
マネーフォワード(Android)の脆弱性と修正完了に関するお知らせ
https://www.sourcenext.com/support/i/160725_1
【7】Geeklog IVYWE版の複数のプラグインにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#46087986
Geeklog IVYWE版の複数のプラグインにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN46087986/
概要
Geeklog IVYWE版の複数のプラグインには、クロスサイトスクリプティングの 脆弱性があります。結果として、遠隔の第三者が、管理者としてログインして いるユーザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Assist プラグインバージョン 1.1.2.test20160906 より前のバージョン - dataBox プラグインバージョン 0.0.0.20160906 より前のバージョン - userBox プラグインバージョン 0.0.0.20160906 より前のバージョン この問題は、該当するプラグインを、株式会社アイビー・ウィーが提供する修 正済みのバージョンに更新することで解決します。また、以下の回避策を適用 することで、本脆弱性の影響を軽減することが可能です。 - Assist、dataBox および userBox プラグインを無効にする 詳細は、株式会社アイビー・ウィーが提供する情報を参照してください。
関連文書 (日本語)
株式会社アイビー・ウィー
Geeklog IVYWE版 Assist dataBox, userBoxにクロスサイトスクリプティング(XSS)の脆弱性
http://www.ivywe.co.jp/article.php/xss-ivywe-distribution2
■今週のひとくちメモ
○CEATEC JAPAN 2016 開催
2016年10月4日 (火) から 2016年10月7日 (金) まで、幕張メッセにて CEATEC JAPAN 2016 が開催されます。本イベントは、技術および情報交流、社会的課 題の解決策の提案を行い、IT 技術の発展と生活の向上および社会貢献を目指 しています。 JPCERT/CC は、独立行政法人情報処理推進機構 (IPA) のブースにてプレゼン テーションを行います。本イベントは、全来場者登録入場制で、Web 事前登録 をした場合は、本イベントへの参加は無料です。 開催日時: 2016年10月4日 (火) - 2016年10月7日 (金) 10:00 - 17:00 会場: 幕張メッセ 千葉市美浜区中瀬 2-1 当日登録:入場料 一般 1,000円・学生 500円 (学生 20名以上の団体および小学生以下は入場無料) Web 事前登録・招待券当日登録:入場無料
参考文献 (日本語)
CEATEC JAPAN 実施協議会
CEATEC JAPAN 2016
http://www.ceatec.com/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/