脆弱性情報 まとめ

今週の脆弱性情報まとめです。

【1】Apache Struts2 に任意のコードが実行可能な脆弱性

【概要】
Apache Struts2 には、脆弱性があります。結果として、悪意ある攻撃者が、細工したリクエストを送信することで、任意のコードを実行する恐れがあります。

【対象】
 - Apache Struts 2.3.5 から 2.3.31 まで
 - Apache Struts 2.5 から 2.5.10 まで

【対策】    
この問題は、Apache Struts を Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、Apache SoftwareFoundation が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93610402
Apache Struts2 に任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU93610402/

JPCERT/CC Alert 2017-03-09
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170009.html

関連文書 (英語)
Apache Struts 2 Documentation
S2-045
https://cwiki.apache.org/confluence/display/WW/S2-045

【2】複数の Mozilla 製品に脆弱性

【概要】
複数の Mozilla 製品には、脆弱性があります。結果として、悪意ある攻撃者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの恐れがあります。

【対象】
- Firefox 52 より前のバージョン
- Firefox ESR 45.8 より前のバージョン
- Thunderbird 45.8 より前のバージョン

【対策】
この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2017 年 3 月 7 日)
http://www.mozilla-japan.org/security/announce/

【3】WordPress に複数の脆弱性

【概要】
WordPress には、複数の脆弱性があります。結果として、悪意ある攻撃者が、ユーザのブラウザ上で任意のスクリプトを実行するなどの恐れがあります。

【対象】
 - WordPress 4.7.3 より前のバージョン

【対策】
この問題は、WordPress を WordPress が提供する修正済みのバージョンに更新することで解決します。詳細は、WordPress が提供する情報を参照してください。

関連文書 (日本語)
WordPress
WordPress 4.7.3 セキュリティ・メンテナンスリリース
https://ja.wordpress.org/2017/03/07/wordpress-4-7-3-security-and-maintenance-release/

【4】PHP FormMail Generator で作成した PHP コードに複数の脆弱性

【概要】
PHP FormMail Generator で作成した PHP コードには、複数の脆弱性があります。結果として、悪意ある攻撃者が、任意の PHP コードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行したりする恐れがあります。

【対象】
- 2016年12月17日より前に PHP FormMail Generator で生成した PHP コード

【対策】
この問題は、PHP コードを 2016年12月17日以降の PHP FormMail Generatorで再生成することで解決します。ただし、2017年3月14日現在、問題の一部は修正されているか不明です。以下の回避策を適用することで、修正されていない問題の影響を軽減することが可能です。

- 問題となるフィールドの処理において PHP htmlentities() を適用する形に変更する

詳細は、PHP Form Mail Maker が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96141589
PHP FormMail Generator で作成した PHP コードに複数の脆弱性
https://jvn.jp/vu/JVNVU96141589/

【5】OneThird CMS にクロスサイトスクリプティングの脆弱性

【概要】
OneThird CMS には、クロスサイトスクリプティングの脆弱性があります。結果として、悪意ある攻撃者がが、ユーザのブラウザ上で任意のスクリプトを実行する恐れがあります。

【対象】
- OneThird CMS v1.73 Heaven's Door およびそれ以前

【対策】
この問題は、OneThird CMS を SpiQeソフトウェアが提供する修正済みのバージョンに更新することで解決します。詳細は、SpiQeソフトウェアが提供する情報を参照してください。

関連文書 (日本語)
SpiQeソフトウェア
v1.7x Heaven's Door 脆弱性に関するお知らせ
https://onethird.net/p1277.html

<