<<< JPCERT/CC WEEKLY REPORT 2016-11-02 >>>
■10/23(日)〜10/29(土) のセキュリティ関連情報
目 次
【1】Adobe Flash Player に脆弱性
【2】複数の Apple 製品に脆弱性
【3】複数の Cisco 製品に脆弱性
【4】Apache Tomcat に複数の脆弱性
【5】Joomla! に複数の脆弱性
【6】7-Zip for Windows のインストーラに脆弱性
【今週のひとくちメモ】IPA が「情報セキュリティ対策ベンチマーク バージョン4.5」と「診断の基礎データの統計情報」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr164301.txt
https://www.jpcert.or.jp/wr/2016/wr164301.xml
【1】Adobe Flash Player に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/10/26/Adobe-Releases-Security-Update
概要
Adobe Flash Player には、解放済みメモリ使用 (use-after-free) の脆弱性 があります。結果として、遠隔の第三者が、細工したコンテンツを開かせるこ とで、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 23.0.0.185 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.637 およびそれ以前 (Linux 版) この問題は、Adobe Flash Player を Adobe が提供する修正済みのバージョン に更新することで解決します。詳細は、Adobe が提供する情報を参照してくだ さい。
関連文書 (日本語)
Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-36.htmlJPCERT/CC Alert 2016-10-27
Adobe Flash Player の脆弱性 (APSB16-36) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160043.html
【2】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/10/24/Apple-Releases-Security-Updates
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 10.1 より前のバージョン - macOS Sierra 10.12.1 より前のバージョン - Safari 10.0.1 より前のバージョン - tvOS 10.0.1 より前のバージョン - watchOS 3.1 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Apple
iOS 10.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT207271Apple
macOS Sierra 10.12.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT207275Apple
Safari 10.0.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT207272Apple
tvOS 10.0.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT207270Apple
watchOS 3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT207269Japan Vulnerability Notes JVNVU#90743185
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90743185/
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2016/10/26/Cisco-Releases-Security-Updates-Multiple-ProductsUS-CERT Current Activity
Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/10/24/Cisco-Releases-Security-Update
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユー ザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となる製品は以下の通りです。 - Cisco WebEx Meetings Player - Cisco Identity Services Engine (ISE) - Cisco AsyncOS Software for Cisco Email Security Appliances (ESA) - Cisco AsyncOS Software for Cisco Web Security Appliances (WSA) - Cisco Hosted Collaboration Mediation Fulfillment - Cisco IP Interoperability and Collaboration System (IPICS) - Cisco Prime Collaboration Provisioning この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco
Cisco Security Advisories and Alerts
https://tools.cisco.com/security/center/publicationListing.x
【4】Apache Tomcat に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#95366887
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95366887/
概要
Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が 情報を取得するなどの可能性があります。 対象となるバージョンは以下の通りです。なお、サポート対象外の旧バージョン もこの問題の影響を受ける可能性があります。 - Apache Tomcat 9.0.0.M1 から 9.0.0.M9 まで - Apache Tomcat 8.5.0 から 8.5.4 まで - Apache Tomcat 8.0.0.RC1 から 8.0.36 まで - Apache Tomcat 7.0.0 から 7.0.70 まで - Apache Tomcat 6.0.0 から 6.0.45 まで この問題は、Apache Tomcat を The Apache Software Foundation が提供する 修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。
関連文書 (英語)
Apache Tomcat
Fixed in Apache Tomcat 9.0.0.M10
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M10Apache Tomcat
Fixed in Apache Tomcat 8.5.5 and 8.0.37
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.5_and_8.0.37Apache Tomcat
Fixed in Apache Tomcat 7.0.72
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.72Apache Tomcat
Fixed in Apache Tomcat 6.0.47
https://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.47
【5】Joomla! に複数の脆弱性
情報源
US-CERT Current Activity
Joomla! Releases Security Update for CMS
https://www.us-cert.gov/ncas/current-activity/2016/10/25/Joomla-Releases-Security-Update-CMS
概要
Joomla! には、複数の脆弱性があります。結果として、攻撃者が、アカウント を作成したり、権限昇格を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Joomla! 3.4.4 から 3.6.3 まで この問題は、Joomla! を開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
Joomla! Security Centre
[20161001] - Core - Account Creation
https://developer.joomla.org/security-centre/659-20161001-core-account-creation.htmlJoomla! Security Centre
[20161002] - Core - Elevated Privileges
https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html
【6】7-Zip for Windows のインストーラに脆弱性
情報源
Japan Vulnerability Notes JVN#76780067
7-Zip for Windows のインストーラにおける任意の DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN76780067/
概要
7-Zip for Windows のインストーラには、任意の DLL 読み込みに関する脆弱 性があります。結果として、第三者が、任意のコードを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - 7-Zip for Windows 16.02 およびそれ以前 この問題は、開発者が提供する修正済みのインストーラを使用することで解決 します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
HISTORY of the 7-Zip
16.03 2016-09-28
http://www.7-zip.org/history.txt
■今週のひとくちメモ
○IPA が「情報セキュリティ対策ベンチマーク バージョン4.5」と「診断の基礎データの統計情報」を公開
2016年10月27日、情報処理推進機構 (IPA) は、「情報セキュリティ対策ベン チマーク バージョン4.5」と「診断の基礎データの統計情報」を公開しました。 「情報セキュリティ対策ベンチマーク バージョン4.5」は、ISMS 認証基準を ベースにした質問に回答することにより、セキュリティ対策の取組状況がどの レベルに位置しているかを確認できる自己診断システムです。「診断の基礎デー タの統計情報」は、実際に診断を行った 4,724件の企業の診断データをまとめ たものです。
参考文献 (日本語)
情報処理推進機構 (IPA)
「情報セキュリティ対策ベンチマーク バージョン4.5」と「診断の基礎データの統計情報」を公開
https://www.ipa.go.jp/security/benchmark/benchmark_20161027.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/