【1】複数の Microsoft 製品に脆弱性
【概要】
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する恐れがあります。【対象】
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office
- Microsoft Office Services および Web Apps
- Visual Studio for Mac
- .NET Framework
- Silverlightこの問題は、Microsoft Update 等を用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2017 年 4 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/42b8fa28-9d09-e711-80d9-000d3a32fc99Japan Vulnerability Notes JVNVU#98665451
Microsoft OLE URL Moniker における遠隔の HTA データに対する不適切な処理
https://jvn.jp/vu/JVNVU98665451/JPCERT/CC Alert 2017-04-12
2017年 4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170015.html【2】ISC BIND 9 に複数の脆弱性
【概要】
ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う恐れがあります。【対象】
- BIND 9.8.0 から 9.8.8-P1 まで
- BIND 9.9.0 から 9.9.9-P7 まで
- BIND 9.9.10b1 から 9.9.10rc2 まで
- BIND 9.10.0 から 9.10.4-P7 まで
- BIND 9.10.5b1 から 9.10.5rc2 まで
- BIND 9.11.0 から 9.11.0-P4 まで
- BIND 9.11.1b1 から 9.11.1rc2 まで
- BIND 9.9.3-S1 から 9.9.9-S9 までこの問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新することで解決します。詳細は、ISC が提供する情報を参照してください。
関連文書 (日本語)
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-dns64.html株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-control-channel.html一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
BIND 9における複数の脆弱性について(2017年4月)
https://www.nic.ad.jp/ja/topics/2017/20170413-01.htmlJapan Vulnerability Notes JVNVU#97322649
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU97322649/JPCERT/CC Alert 2017-04-13
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170016.html関連文書 (英語)
ISC Knowledge Base
CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"
https://kb.isc.org/article/AA-01465ISC Knowledge Base
CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
https://kb.isc.org/article/AA-01466ISC Knowledge Base
CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel
https://kb.isc.org/article/AA-01471【3】複数の Adobe 製品に脆弱性
【概要】
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの恐れがあります。【対象】
- Adobe Campaign v6.11 ビルド 8770 およびそれ以前 (Windows 版、Linux 版)
- Adobe Flash Player デスクトップランタイム 25.0.0.127 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
- Acrobat DC 連続トラック 15.023.20070 およびそれ以前 (Windows 版、Macintosh 版)
- Acrobat Reader DC 連続トラック 15.023.20070 およびそれ以前 (Windows 版、Macintosh 版)
- Acrobat DC クラシック 15.006.30280 およびそれ以前 (Windows 版、Macintosh 版)
- Acrobat Reader DC クラシック 15.006.30280 およびそれ以前 (Windows 版、Macintosh 版)
- Acrobat XI デスクトップ 11.0.19 およびそれ以前 (Windows 版、Macintosh 版)
- Reader XI デスクトップ 11.0.19 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Photoshop CC 2017 18.0.1 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Photoshop CC 2015.5 17.0.1 (2015.5.1)およびそれ以前 (Windows 版、Macintosh 版)
- Creative Cloud デスクトップアプリケーション Creative Cloud 3.9.5.353 およびそれ以前 (Windows 版)この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe セキュリティ情報
Adobe Campaign に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/campaign/apsb17-09.htmlAdobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-10.htmlAdobe セキュリティ情報
Adobe Acrobat および Reader に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/acrobat/apsb17-11.htmlAdobe セキュリティ情報
Adobe Photoshop CC に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/photoshop/apsb17-12.htmlAdobe セキュリティ情報
Creative Cloud デスクトップアプリケーション用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb17-13.htmlJPCERT/CC Alert 2017-04-12
Adobe Flash Player の脆弱性 (APSB17-10) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170013.htmlJPCERT/CC Alert 2017-04-12
Adobe Reader および Acrobat の脆弱性 (APSB17-11) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170014.html【4】VMware vCenter Server に任意のコードが実行可能な脆弱性
【概要】
VMware vCenter Server には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する恐れがあります。【対象】
- VMware vCenter Server 6.5c より前のバージョン
- VMware vCenter Server 6.0U3b より前のバージョンこの問題は、VMware vCenter Server を VMware が提供する修正済みのバージョンに更新することで解決します。詳細は、VMware が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97538972
Java で実装された複数の Action Message Format (AMF3) ライブラリに脆弱性
https://jvn.jp/vu/JVNVU97538972/関連文書 (英語)
VMware Security Advisories
VMSA-2017-0007
https://www.vmware.com/security/advisories/VMSA-2017-0007.html【5】Apache Tomcat に複数の脆弱性
【概要】
Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、情報を取得したりする恐れがあります。【対象】
- Apache Tomcat 9.0.0.M1 から 9.0.0.M18 まで
- Apache Tomcat 8.5.0 から 8.5.12 まで
- Apache Tomcat 8.0.0.RC1 から 8.0.42 まで
- Apache Tomcat 7.0.0 から 7.0.76 まで
- Apache Tomcat 6.0.0 から 6.0.52 までこの問題は、Apache Tomcat を Apache Tomcat が提供する修正済みのバージョンに更新することで解決します。詳細は、Apache Tomcat が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90211511
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90211511/関連文書 (英語)
Apache Tomcat
Fixed in Apache Tomcat 9.0.0.M19
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M19Apache Tomcat
Fixed in Apache Tomcat 8.5.13
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.13Apache Tomcat
Fixed in Apache Tomcat 8.0.43
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.43Apache Tomcat
Fixed in Apache Tomcat 7.0.77
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.77Apache Tomcat
Fixed in Apache Tomcat 6.0.53
https://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.53【6】サイボウズ Office に複数の脆弱性
【概要】
サイボウズ Office には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの恐れがあります。【対象】
- サイボウズ Office 10.0.0 から 10.5.0 まで
この問題は、サイボウズ Office をサイボウズ株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を参照してください。
関連文書 (日本語)
サイボウズ株式会社
サイボウズ Office 10 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2017/006386.html【7】ASSETBASE にクロスサイトスクリプティングの脆弱性
【概要】
ASSETBASE には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、当該製品に管理者としてログインしているユーザのブラウザ上で任意のスクリプトを実行する恐れがあります。【対象】
- ASSETBASE Ver.8.0 およびそれ以前
この問題は、ASSETBASE を株式会社内田洋行が提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社内田洋行が提供する情報を参照してください。
関連文書 (日本語)
株式会社内田洋行
ASSETBASE システムのクロスサイトスクリプティング脆弱性のご報告とセキュリティ強化プログラムのリリースについて
http://www.asset-base.jp/pdf/20170410_ASSETBASE_SecurityInfo.pdf【8】CS-Cart日本語版にアクセス制限不備の脆弱性
【概要】
CS-Cart日本語版には、アクセス制限不備の脆弱性があります。結果として、遠隔の第三者が、ユーザの注文した商品に対して返品申請を行う恐れがあります。【対象】
- CS-Cart日本語版スタンダード版 v4.3.10-jp-1 およびそれ以前
- CS-Cart日本語版マーケットプレイス版 v4.3.10-jp-1 およびそれ以前この問題は、CS-Cart日本語版を有限会社フロッグマンオフィスが提供する修正済みのバージョンに更新することで解決します。詳細は、有限会社フロッグマンオフィスが提供する情報を参照してください。
関連文書 (日本語)
有限会社フロッグマンオフィス
【JVN#25598952】 権限確認不備により他のユーザーの注文の返品申請を実施できる脆弱性について
https://tips.cs-cart.jp/fix-jvn-25598952.html【9】WordPress 用プラグイン WP Statistics にクロスサイトスクリプティングの脆弱性
【概要】
WordPress 用プラグイン WP Statistics には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する恐れがあります。【対象】
- WP Statistics 12.0.4 およびそれ以前
この問題は、WP Statistics を WP Statistics が提供する修正済みのバージョンに更新することで解決します。詳細は、WP Statistics が提供する情報を参照してください。
関連文書 (英語)
WP Statistics
WP Statistics V12.0.2/3 Released!
https://wp-statistics.com/wp-statistics-v12-0-23-released/【10】東芝製メモリカード関連ソフトウェアの複数のインストーラに任意の DLL 読み込みに関する脆弱性
【概要】
東芝製メモリカード関連ソフトウェアの複数のインストーラには、任意の DLL読み込みに関する脆弱性があります。結果として、第三者が任意のコードを実行する恐れがあります。【対象】
- NFC搭載SDHC/SDXCメモリカードソフトウェア更新ツール V1.00.03 およびそれ以前
- 無線LAN搭載SDHCメモリカード FlashAir(TM) 設定ソフトウエア V3.0.2 およびそれ以前
- 無線LAN搭載SDHCメモリカード FlashAir(TM) ソフトウェア更新ツール(SD-WEシリーズ<W-03>) V3.00.01
- 無線LAN搭載SDHCメモリカード FlashAir(TM) ソフトウェア更新ツール(SD-WD/WCシリーズ<W-02>) V2.00.03 およびそれ以前
- 無線LAN搭載SDHCメモリカード FlashAir(TM) ソフトウェア更新ツール(SD-WB / WLシリーズ) V1.00.04 およびそれ以前
- TransferJet(TM) (近接無線通信)搭載SDHCメモリカード設定ソフトウェア V1.02 およびそれ以前
- TransferJet(TM) (近接無線通信)搭載SDHCメモリカードファームウェア更新ツール V1.00.06 およびそれ以前この問題は、株式会社東芝が提供する最新のインストーラを使用することで解決します。なお、すでに該当する製品をインストールしている場合には、この問題の影響はありません。詳細は、株式会社東芝が提供する情報を参照してください。
関連文書 (日本語)
株式会社東芝
NFC搭載SDメモリカード、FlashAir(TM)、TransferJet(TM)搭載SDメモリカードのWindows(R)用ソフトウェアのインストーラにおけるDLL 読み込みに関する脆弱性について
http://www.toshiba-personalstorage.net/news/20170414.htm【11】WN-G300R3 に複数の脆弱性
【概要】
WN-G300R3 には、複数の脆弱性があります。結果として、当該製品にアクセス可能な第三者が任意の OS コマンドを実行する恐れがあります。【対象】
- WN-G300R3 ファームウェア Ver.1.03 およびそれ以前
この問題は、WN-G300R3 のファームウェアを株式会社アイ・オー・データ機器が提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社アイ・オー・データ機器が提供する情報を参照してください。
関連文書 (日本語)
株式会社アイ・オー・データ機器
無線ルーター「WN-G300R3」 セキュリティの脆弱性について
http://www.iodata.jp/support/information/2017/wn-g300r3/【12】WN-AC1167GR にクロスサイトスクリプティングの脆弱性
【概要】
WN-AC1167GR には、クロスサイトスクリプティングの脆弱性があります。結果として、当該製品にログイン可能なユーザが、他のユーザのブラウザ上で任意のスクリプトを実行する恐れがあります。【対象】
- WN-AC1167GR ファームウェア バージョン 1.04 およびそれ以前
この問題は、WN-AC1167GR のファームウェアを株式会社アイ・オー・データ機器が提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社アイ・オー・データ機器が提供する情報を参照してください。
関連文書 (日本語)
株式会社アイ・オー・データ機器
無線ルーター「WN-AC1167GR」セキュリティの脆弱性について
http://www.iodata.jp/support/information/2017/wn-ac1167gr/
PARTNER
