脆弱性情報 まとめ

【1】複数の Microsoft 製品に脆弱性

【概要】
複数の Microsoft 製品には脆弱性があります。結果として、悪意ある攻撃者により任意のコードを実行するなどの恐れがあります。

【対策】

- Microsoft Windows
- Microsoft Internet Explorer
- Microsoft Edge
- Microsoft Office
- Microsoft Office Services および Web Apps
- Microsoft Exchange
- Skype for Business
- Microsoft Lync
- Microsoft Silverlight
- Microsoft サーバー ソフトウェア
- Microsoft コミュニケーション プラットフォームおよびソフトウェア

この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2017 年 3 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms17-Mar

Japan Vulnerability Notes JVNVU#95841181
Microsoft Windows の SMB Tree Connect Response パケットの処理にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU95841181/

JPCERT/CC Alert 2017-03-15
2017年 3月 Microsoft セキュリティ情報 (緊急 9件含) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170011.html

関連文書 (英語)
US-CERT Current Activity
Microsoft SMBv1 Vulnerability
https://www.us-cert.gov/ncas/current-activity/2017/03/16/Microsoft-SMBv1-Vulnerability

【2】複数の Adobe 製品に脆弱性

【概要】
複数の Adobe 製品には、脆弱性があります。結果として、悪意ある攻撃者により任意のコードを実行するなどの恐れがあります。

【対策】

- Adobe Flash Player デスクトップランタイム 24.0.0.221 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
- Adobe Shockwave Player 12.2.7.197 およびそれ以前 (Windows 版)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-07.html

Adobe セキュリティ情報
Adobe Shockwave Player用セキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/shockwave/apsb17-08.html

JPCERT/CC Alert 2017-03-15
Adobe Flash Player の脆弱性 (APSB17-07) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170010.html

【3】複数の Cisco 製品に脆弱性

【概要】
複数の Cisco 製品には、脆弱性があります。結果として、悪意ある攻撃者により、任意のコードを実行したり、情報を取得したりするなどの恐れがあります。

【対策】

- Cisco Mobility Express 1800 Series Access Points 8.2.110.0 より前のバージョン
- StarOS 17.7.0 より後のバージョンの 17 系が稼働している Cisco ASR 5000/5500/5700 Series
- StarOS 18.7.4 より前のバージョンの 18 系が稼働している Cisco ASR 5000/5500/5700 Series
- StarOS 19.5 より前のバージョンの 19 系が稼働している Cisco ASR 5000/5500/5700 Series
- StarOS 20.2.3 より前のバージョンの 20 系が稼働している Cisco ASR 5000/5500/5700 Series
- StarOS N4.2.7 (19.3.v7) より前のバージョンが稼働している Cisco Virtualized Packet Core
- StarOS N4.7 (20.2.v0) より前のバージョンが稼働している Cisco Virtualized Packet Core
- Cisco Tidal Enterprise Scheduler Client Manager Server 6.2.1.435 およびそれ以降
- Cisco Workload Automation Client Manager Server 6.3.0.116 およびそれ以降
- Cisco 8500/5500/2500 Series Wireless Controller 8.0.140.0 より前のバージョン
- Cisco 8500/5500/2500 Series Wireless Controller 8.2 より前のバージョン
- Cisco Flex 7500 Series Wireless Controller 8.0.140.0 より前のバージョン
- Cisco Flex 7500 Series Wireless Controller 8.2 より前のバージョン
- Cisco Virtual Wireless Controller 8.0.140.0 より前のバージョン
- Cisco Virtual Wireless Controller 8.2 より前のバージョン
- Wireless Services Module 2 (WiSM2) 8.0.140.0 より前のバージョン
- Wireless Services Module 2 (WiSM2) 8.2 より前のバージョン

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新するか、該当する製品に hotfix を適用することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Mobility Express 1800 Access Point Series Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-ap1800

Cisco Security Advisory
Cisco StarOS SSH Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-asr

Cisco Security Advisory
Cisco Workload Automation and Tidal Enterprise Scheduler Client Manager Server Arbitrary File Read Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-tes

Cisco Security Advisory
Cisco Meshed Wireless LAN Controller Impersonation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-wlc-mesh

【4】複数の VMware 製品に脆弱性

【概要】
複数の VMware 製品には、脆弱性があります。結果として、ゲスト OS のユーザがホスト OS 上で任意のコードを実行する恐れがあります。

【対策】

- VMware Workstation Pro 12.5.4 より前のバージョン
- VMware Workstation Player 12.5.4 より前のバージョン
- VMware Fusion Pro 8.5.5 より前のバージョン
- VMware Fusion 8.5.5 より前のバージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2017-0005
https://www.vmware.com/security/advisories/VMSA-2017-0005.html

【5】Apache Tomcat に情報漏えいの脆弱性

【概要】
Apache Tomcat には、情報漏えいの脆弱性があります。結果として、悪意ある攻撃者により通信内容を取得する恐れがあります。

【対策】

- Apache Tomcat 9.0.0.M11 から 9.0.0.M15 まで
- Apache Tomcat 8.5.7 から 8.5.9 まで

この問題は、Apache Tomcat を Apache Tomcat が提供する修正済みのバージョンに更新することで解決します。詳細は、Apache Tomcat が提供する情報を参照してください。

関連文書 (英語)
Apache Tomcat
Fixed in Apache Tomcat 9.0.0.M17
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M17

Apache Tomcat
Fixed in Apache Tomcat 8.5.11
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.11

【6】Drupal に複数の脆弱性

【概要】
Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

【対策】

- Drupal 8.2.7 より前のバージョン

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新することで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-001
https://www.drupal.org/SA-2017-001

【7】安全なウェブサイト運営入門に OS コマンドインジェクションの脆弱性

【概要】
安全なウェブサイト運営入門には、OS コマンドインジェクションの脆弱性があります。結果として、悪意ある攻撃者により、細工したセーブデータを読み込ませることで、任意の OS コマンドを実行する恐れがあります。

【対策】

- 安全なウェブサイト運営入門

2017年3月23日現在、安全なウェブサイト運営入門の開発は終了しています。安全なウェブサイト運営入門の使用を停止してください。詳細は、情報処理推進機構 (IPA) が提供する情報を参照してください。

関連文書 (日本語)
情報処理推進機構 (IPA)
「安全なウェブサイト運営入門」におけるOSコマンド・インジェクションの脆弱性
https://www.ipa.go.jp/security/vuln/7incidents/

【8】サイボウズ KUNAI for Android に情報管理不備の脆弱性

【概要】
      サイボウズ KUNAI for Android には、情報管理不備の脆弱性があります。結
      果として、悪意ある攻撃者により、細工したアプリケーションをユーザに実行させることで、
      ログ情報を取得する恐れがあります。

【対策】

      - サイボウズ KUNAI for Android 3.0.4 から 3.0.5.1 まで

      この問題は、サイボウズ KUNAI for Android をサイボウズ株式会社が提供す
      る修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株
      式会社が提供する情報を参照してください。

    関連文書 (日本語)
      サイボウズ株式会社
      [CyVDB-1166]ログの出力設定をオフにしていても、ログが出力される場合がある
      https://support.cybozu.com/ja-jp/article/9836

【9】Commvault Edge にバッファオーバーフローの脆弱性

【概要】
      Commvault Edge には、バッファオーバーフローの脆弱性があります。結果と
      して、悪意ある攻撃者により root または SYSTEM 権限で任意のコードを実行する恐れがあります。

【対策】

      - Commvault Edge version 11 SP6 (11.80.50.0)

      この問題は、Commvault Edge を Commvault が提供する修正済みのバージョン
      に更新することで解決します。詳細は、Commvault が提供する情報を参照して
      ください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#97075940
      Commvault Edge にスタックバッファオーバーフローの脆弱性
      https://jvn.jp/vu/JVNVU97075940/

    関連文書 (英語)
      Commvault
      Stack-based buffer overflow vulnerability
      http://kb.commvault.com/article/SEC0013

<