<<< JPCERT/CC WEEKLY REPORT 2017-03-15 >>>
■03/05(日)〜03/11(土) のセキュリティ関連情報
目 次
【1】Apache Struts2 に任意のコードが実行可能な脆弱性
【2】複数の Mozilla 製品に脆弱性
【3】WordPress に複数の脆弱性
【4】PHP FormMail Generator で作成した PHP コードに複数の脆弱性
【5】OneThird CMS にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】JIPDEC が中小企業の改正個人情報保護法への対応状況についてのアンケート結果を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr171001.txt
https://www.jpcert.or.jp/wr/2017/wr171001.xml
【1】Apache Struts2 に任意のコードが実行可能な脆弱性
情報源
US-CERT Current Activity
Apache Software Foundation Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/03/08/Apache-Software-Foundation-Releases-Security-Updates
概要
Apache Struts2 には、脆弱性があります。結果として、遠隔の第三者が、細 工したリクエストを送信することで、任意のコードを実行する可能性がありま す。 対象となるバージョンは以下の通りです。 - Apache Struts 2.3.5 から 2.3.31 まで - Apache Struts 2.5 から 2.5.10 まで この問題は、Apache Struts を Apache Software Foundation が提供する修正 済みのバージョンに更新することで解決します。詳細は、Apache Software Foundation が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93610402
Apache Struts2 に任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU93610402/JPCERT/CC Alert 2017-03-09
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170009.html
関連文書 (英語)
Apache Struts 2 Documentation
S2-045
https://cwiki.apache.org/confluence/display/WW/S2-045
【2】複数の Mozilla 製品に脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/03/07/Mozilla-Releases-Security-Update
概要
複数の Mozilla 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 52 より前のバージョン - Firefox ESR 45.8 より前のバージョン - Thunderbird 45.8 より前のバージョン この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更 新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ い。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2017 年 3 月 7 日)
http://www.mozilla-japan.org/security/announce/
【3】WordPress に複数の脆弱性
情報源
US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/03/06/WordPress-Releases-Security-Update
概要
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.7.3 より前のバージョン この問題は、WordPress を WordPress が提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。
関連文書 (日本語)
WordPress
WordPress 4.7.3 セキュリティ・メンテナンスリリース
https://ja.wordpress.org/2017/03/07/wordpress-4-7-3-security-and-maintenance-release/
【4】PHP FormMail Generator で作成した PHP コードに複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#608591
PHP FormMail Generator generates code vulnerable to multiple issues
https://www.kb.cert.org/vuls/id/608591
概要
PHP FormMail Generator で作成した PHP コードには、複数の脆弱性がありま す。結果として、遠隔の第三者が、任意の PHP コードを実行したり、ユーザ のブラウザ上で任意のスクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - 2016年12月17日より前に PHP FormMail Generator で生成した PHP コード この問題は、PHP コードを 2016年12月17日以降の PHP FormMail Generator で再生成することで解決します。ただし、2017年3月14日現在、問題の一部は 修正されているか不明です。以下の回避策を適用することで、修正されていな い問題の影響を軽減することが可能です。 - 問題となるフィールドの処理において PHP htmlentities() を適用する形に変更する 詳細は、PHP Form Mail Maker が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96141589
PHP FormMail Generator で作成した PHP コードに複数の脆弱性
https://jvn.jp/vu/JVNVU96141589/
【5】OneThird CMS にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#49408248
OneThird CMS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN49408248/Japan Vulnerability Notes JVN#13003724
OneThird CMS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN13003724/
概要
OneThird CMS には、クロスサイトスクリプティングの脆弱性があります。結 果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - OneThird CMS v1.73 Heaven's Door およびそれ以前 この問題は、OneThird CMS を SpiQeソフトウェアが提供する修正済みのバー ジョンに更新することで解決します。詳細は、SpiQeソフトウェアが提供する 情報を参照してください。
関連文書 (日本語)
SpiQeソフトウェア
v1.7x Heaven's Door 脆弱性に関するお知らせ
https://onethird.net/p1277.html
■今週のひとくちメモ
○JIPDEC が中小企業の改正個人情報保護法への対応状況についてのアンケート結果を公開
2017年3月6日、日本情報経済社会推進協会 (JIPDEC) は、中小企業の改正個人 情報保護法への対応状況についてのアンケート結果に関するニュースリリース を公開しました。このニュースリリースは、2016年および 2017年に開催され た「中小企業向け改正個人情報保護法実務対応セミナー」の参加者に対して行っ たアンケート結果をまとめたものです。今年の 5月30日に全面施行となる改正 個人情報保護法への対応状況や、情報管理実施上の問題点などについて、中小 企業の回答がまとめられています。
参考文献 (日本語)
日本情報経済社会推進協会 (JIPDEC)
改正個人情報保護法対応 春頃までに体制構築対応を予定している企業は6割、対応済は1割に満たず
https://www.jipdec.or.jp/topics/news/20170310.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/