<<< JPCERT/CC WEEKLY REPORT 2016-12-28 >>>
■12/18(日)〜12/24(土) のセキュリティ関連情報
目 次
【1】SKYSEA Client View に任意のコードが実行可能な脆弱性
【2】サイボウズ ガルーンに複数の脆弱性
【3】Apache HTTP Web Server 2.4 に複数の脆弱性
【4】BlueZ 付属のユーティリティにバッファオーバーフローの脆弱性
【5】VMware ESXi にクロスサイトスクリプティングの脆弱性
【6】Cisco CloudCenter Orchestrator に脆弱性
【7】H2O に解放済みメモリ使用の脆弱性
【今週のひとくちメモ】長期休暇に備えて 2016/12
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr165101.txt
https://www.jpcert.or.jp/wr/2016/wr165101.xml
【1】SKYSEA Client View に任意のコードが実行可能な脆弱性
情報源
Japan Vulnerability Notes JVN#84995847
SKYSEA Client View において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN84995847/
概要
SKYSEA Client View には、管理機プログラムとの TCP 通信における認証処理 に起因する任意のコードが実行可能な脆弱性が存在します。結果として、遠隔 の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - SKYSEA Client View Ver.11.221.03 およびそれ以前 この問題は、SKYSEA Client View をSky株式会社が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Sky株式会社が提供する情報 を参照してください。
関連文書 (日本語)
SKYSEA Client View
【重要】グローバルIPアドレス環境で運用されている場合の注意喚起(CVE-2016-7836)
http://www.skyseaclientview.net/news/161221/警察庁 @police
ソフトウェアのぜい弱性に関する注意喚起について (PDF)
https://www.npa.go.jp/cyberpolice/detect/pdf/20161222.pdfJPCERT/CC Alert 2016-12-22
SKYSEA Client View の脆弱性 (CVE-2016-7836) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160051.html情報処理推進機構 (IPA)
「SKYSEA Client View」において任意のコードが実行可能な脆弱性について(JVN#84995847)
https://www.ipa.go.jp/security/ciadr/vul/20161222-jvn.html
【2】サイボウズ ガルーンに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#12281353
サイボウズ ガルーンにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN12281353/Japan Vulnerability Notes JVN#13218253
サイボウズ ガルーンにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN13218253/Japan Vulnerability Notes JVN#14631222
サイボウズ ガルーンにおける複数のアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN14631222/Japan Vulnerability Notes JVN#15222211
サイボウズ ガルーンにおけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN15222211/Japan Vulnerability Notes JVN#16200242
サイボウズ ガルーンにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN16200242/Japan Vulnerability Notes JVN#17980240
サイボウズ ガルーンにおける SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN17980240/
概要
サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第 三者が、任意の SQL 文を実行したり、ユーザのブラウザ上で任意のスクリプ トを実行したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - サイボウズ ガルーン 3.0.0 から 4.2.2 まで この問題は、サイボウズ ガルーンをサイボウズ株式会社が提供する修正済み のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提 供する情報を参照してください。
関連文書 (日本語)
サイボウズ株式会社
サイボウズ ガルーン 4 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2016/006220.html
【3】Apache HTTP Web Server 2.4 に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99304449
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99304449/
概要
Apache HTTP Web Server には、複数の脆弱性があります。結果として、遠隔 の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、リクエスト分割攻撃 を行ったりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - Apache HTTP Web Server 2.4.25 より前のバージョン この問題は、Apache HTTP Web Server を The Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。
関連文書 (英語)
The Apache Software Foundation
Fixed in Apache httpd 2.4.25
https://httpd.apache.org/security/vulnerabilities_24.html
【4】BlueZ 付属のユーティリティにバッファオーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVN#38755305
BlueZ 付属のユーティリティにおけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN38755305/
概要
BlueZ 付属のユーティリティには、バッファオーバーフローの脆弱性がありま す。結果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - BlueZ 5.41 およびそれ以前 この問題は、BlueZ を BlueZ Project が提供する修正済みのバージョンに更 新することで解決します。詳細は、BlueZ Project が提供する情報を参照して ください。
関連文書 (英語)
BlueZ
tools/csr: Fix possible buffer overflow
https://git.kernel.org/cgit/bluetooth/bluez.git/commit/?id=8514068150759c1d6a46d4605d2351babfde1601
【5】VMware ESXi にクロスサイトスクリプティングの脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/12/20/VMware-Releases-Security-Update
概要
VMware ESXi には、クロスサイトスクリプティングの脆弱性があります。結果 として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する 可能性があります。 対象となるバージョンは以下の通りです。 - VMware ESXi ESXi600-201611102-SG より前のバージョン - VMware ESXi ESXi550-201612102-SG より前のバージョン この問題は、VMware ESXi を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2016-0023
https://www.vmware.com/security/advisories/VMSA-2016-0023.html
【6】Cisco CloudCenter Orchestrator に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/12/22/Cisco-Releases-Security-Updates
概要
Cisco CloudCenter Orchestrator には、Docker Engine の設定に脆弱性があ ります。結果として、遠隔の第三者が Docker Engine の管理ポートにアクセ スし、任意の Docker container をロードする可能性があります。 対象となる製品は以下の通りです。 - Cisco CloudCenter Orchestrator 4.6.2 より前のバージョン この問題は、Cisco CloudCenter Orchestrator を Cisco が提供する修正済み のバージョンに更新することで解決します。詳細は、Cisco が提供する情報を 参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco CloudCenter Orchestrator Docker Engine Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161221-cco
【7】H2O に解放済みメモリ使用の脆弱性
情報源
Japan Vulnerability Notes JVN#44566208
H2O における解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/jp/JVN44566208/
概要
H2O には、解放済みメモリ使用の脆弱性があります。結果として、遠隔の第三 者が、サービス運用妨害 (DoS) 攻撃を行ったり、情報を取得したりする可能 性があります。 対象となるバージョンは以下の通りです。 - H2O バージョン 2.0.4 およびそれ以前 この問題は、H2O を開発者が提供する修正済みのバージョンに更新することで 解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (英語)
H2O
Use-after-free vulnerability (CVE-2016-7835) #1144
https://github.com/h2o/h2o/issues/1144
■今週のひとくちメモ
○長期休暇に備えて 2016/12
2016年12月15日、JPCERT/CC は「長期休暇に備えて 2016/12」を公開しました。 この呼びかけでは、今年 JPCERT/CC が報告を受けたインシデントを例に挙げ、 インシデント発生の予防および緊急時の対応に関して、対策などの要点をまと めて記載しています。休暇期間中のインシデント発生に備え、自組織のセキュ リティ対策を今一度ご確認ください。
参考文献 (日本語)
JPCERT/CC
長期休暇に備えて 2016/12
https://www.jpcert.or.jp/pr/2016/pr160005.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/