脆弱性情報 まとめ

今週の脆弱性のまとめです。

【1】複数の Adobe 製品に脆弱性

【概要】
複数の Adobe 製品には脆弱性があります。悪意ある攻撃者により任意のコードを実行するなどの恐れがあります。

【対象】
- Adobe Flash Player デスクトップランタイム 24.0.0.194 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
- Adobe Digital Editions 4.5.3 およびそれ以前 (Windows 版、Macintosh 版、Android 版)
- Adobe Campaign v6.11 16.4 Build 8724 およびそれ以前 (Windows 版、Linux 版)

【対策】
この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-04.html

Adobe セキュリティ情報
Adobe Digital Editions に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb17-05.html

Adobe セキュリティ情報
Adobe Campaign に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/campaign/apsb17-06.html

JPCERT/CC Alert 2017-02-15
Adobe Flash Player の脆弱性 (APSB17-04) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170008.html

【2】OpenSSL にサービス運用妨害 (DoS) の脆弱性

【概要】
OpenSSL には、Encrypt-Then-Mac 拡張の扱いに関する脆弱性があります。悪意ある攻撃者によりサービス運用妨害 (DoS) 攻撃を行う恐れがあります。

【対象】
- OpenSSL 1.1.0e より前のバージョン

Encrypt-Then-Mac 拡張の対応が実装されたのは 1.1.0 以降であり、1.0.2 系
は本脆弱性の影響を受けません。

【対策】
この問題は、OpenSSL を、使用している OS のベンダや配布元が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90017300
OpenSSL にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU90017300/

関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [16 Feb 2017]https://www.openssl.org/news/secadv/20170216.txt

【3】Cisco UCS Director に脆弱性

【概要】
Cisco UCS Director には、脆弱性があります。当該製品のユーザが、仮想マシンに影響を及ぼす操作を含め、ワークフローで実行可能な任意の操作を行う恐れがあります。

【対象】
- Cisco UCS Director 6.0.0.0 および 6.0.0.1

【対策】
この問題は、Cisco UCS Director を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco UCS Director Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-ucs

【4】Apache Brooklyn に複数の脆弱性

【概要】
Apache Brooklyn には、クロスサイトスクリプティングおよびクロスサイトリクエストフォージェリの脆弱性があります。悪意ある攻撃者がユーザのブラウザ上で任意のスクリプトを実行したり、ユーザの意図しない操作を
行ったりする恐れがあります。

【対象】
- Apache Brooklyn 0.9.0 およびそれ以前

【対策】
この問題は、Apache Brooklyn を Apache Brooklyn が提供する修正済みのバージョンに更新することで解決します。詳細は、Apache Brooklyn が提供する情報を参照してください。
関連文書 (英語)
Apache Brooklyn
CVE-2017-3165: Cross-site vulnerabilities in Apache Brooklyn
https://brooklyn.apache.org/community/security/CVE-2017-3165.html

Apache Brooklyn
CVE-2016-8737: Cross-site request forgery vulnerability in Apache Brooklyn
https://brooklyn.apache.org/community/security/CVE-2016-8737.html

【5】Apple GarageBand に任意のコードが実行可能な脆弱性

【概要】
Apple GarageBand には、脆弱性があります。悪意ある攻撃者が細工した GarageBand プロジェクトファイルをユーザに開かせることで、任意のコードを実行する恐れがあります。

【対象】
- GarageBand 10.1.6 より前のバージョン (Macintosh 版)

【対策】
この問題は、GarageBand を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99002156
Apple GarageBand の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99002156/

関連文書 (英語)
Apple
About the security content of GarageBand 10.1.6
https://support.apple.com/en-us/HT207518

【6】7-ZIP32.DLL で作成された自己解凍書庫に任意の DLL 読み込みに関する脆弱性

【概要】
7-ZIP32.DLL で作成された自己解凍書庫には、任意の DLL 読み込みに関する脆弱性があります。悪意あるう攻撃者が任意のコードを実行する恐れがあります。

【対象】
- 7-ZIP32.DLL ver9.22.00.01 およびそれ以前を使用して作成された自己解凍書庫ファイル

【対策】
この問題は、7-ZIP32.DLL を開発者が提供する修正済みのバージョンに更新し、自己解凍書庫ファイルを作成し直すことで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
7-ZIP32.DLL
7-ZIP32.DLL で作成した自己解凍書庫における任意のDLL読み込みの脆弱性
http://akky.xrea.jp/security/7-zip4.txt

【7】複数の Hughes Satellite Modem に脆弱性

【概要】
複数の Hughes Satellite Modem には、脆弱性があります。悪意ある攻撃者が、任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの恐れがあります。

【対象】
- DW7000 ファームウェア バージョン 6.9.0.34 より前のバージョン
- HN7740S ファームウェア バージョン 6.9.0.34 より前のバージョン
- HN7000S/SM ファームウェア バージョン 6.9.0.34 より前のバージョン

【対策】
この問題は、該当する製品のファームウェアを Hughes Network Systems, LLCが提供する修正済みのバージョンに更新することで解決します。詳細は、Hughes Network Systems, LLC が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93522863
複数の Hughes Satellite Modem に複数の脆弱性
https://jvn.jp/vu/JVNVU93522863/

 

<