今週の脆弱性情報、まとめです。
【1】複数の Cisco 製品に脆弱性
【概要】
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、任意の操作を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする恐れがあります。【対象】
- Cisco Mobility Express リリース 8.2.111.0 より前の 8.2 系が稼働している Cisco Aironet 1830 シリーズ アクセス ポイント
- Cisco Mobility Express リリース 8.2.111.0 より前の 8.2 系が稼働している Cisco Aironet 1850 シリーズ アクセス ポイント
- Cisco Wireless LAN Controller (WLC) ソフトウェア 8.0.140.0 より前のバージョン
- Cisco Wireless LAN Controller (WLC) ソフトウェア 8.2.130.0 より前のバージョン
- Cisco Wireless LAN Controller (WLC) ソフトウェア 8.3.111.0 より前のバージョン【対策】
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。【2】Trend Micro Control Manager に複数の脆弱性
【概要】
Trend Micro Control Manager には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、任意の SQL 文を実行したりするなどの恐れがあります。【対象】
- Trend Micro Control Manager 6.0 Service Pack 3 Patch 2 およびそれ以前
【対策】
この問題は、Trend Micro Control Manager にトレンドマイクロ株式会社が提供するパッチを適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ : Trend Micro Control Manager に関するZDIから公表されたZDI-17-071(ZDI-CAN-3996)他複数の脆弱性について
https://esupport.trendmicro.com/solution/ja-JP/1116627.aspxトレンドマイクロ株式会社
アラート/アドバイザリ : Trend Micro Control Manager に関するZDIから公表されたZDI-17-180(ZDI-CAN-4112) 他複数の脆弱性について
https://esupport.trendmicro.com/solution/ja-JP/1116900.aspx【3】Apple iOS にバッファオーバーフローの脆弱性
【概要】
Apple iOS には、バッファオーバーフローの脆弱性があります。結果として、無線範囲内にいる第三者が任意のコードを実行する恐れがあります。【対象】
- iOS 10.3.1 より前のバージョン【対策】
この問題は、iOS を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。関連文書 (日本語)
Apple
iOS 10.3.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT207688Japan Vulnerability Notes JVNVU#91033489
Apple iOS におけるバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU91033489/【4】Java で実装された複数の Action Message Format (AMF3) ライブラリに脆弱性
【概要】
Java で実装された複数の Action Message Format (AMF3) ライブラリには、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する恐れがあります。【対象】
- Atlassian JIRA 4.2.4 から 6.3.0 より前のバージョンまで
- Flamingo amf-serializer by Exadel 2.2.0
- GraniteDS 3.1.1.GA
- Pivotal/Spring spring-flex
- WebORB for Java by Midnight Coders 5.1.1.0
- Flex BlazeDS 4.6.0.23207 および 4.7.2これらのライブラリを使用している製品も本脆弱性の影響を受ける恐れがあります。
【対策】
この問題は、該当する製品を製品開発者が提供する修正済みのバージョンに更新することで解決します。また、製品開発者は、最新の Java DevelopmentKit(JDK) を使用して、デシリアライズ処理を適切に実装することで、製品を修正することが可能です。詳細は、Oracle や各製品開発者が提供する情報を参照してください。関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97538972
Java で実装された複数の Action Message Format (AMF3) ライブラリに脆弱性
https://jvn.jp/vu/JVNVU97538972/【5】CS-Cart日本語版に複数の脆弱性
【概要】
CS-Cart日本語版には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザの住所や氏名を含む個人情報を取得したり、ユーザの意図しない製品を購入させたりする恐れがあります。【対象】
- CS-Cart日本語版スタンダード版 v4.3.10 およびそれ以前
- CS-Cart日本語版マーケットプレイス版 v4.3.10 およびそれ以前【対策】
この問題は、CS-Cart日本語版を有限会社フロッグマンオフィスが提供する修正済みのバージョンに更新することで解決します。詳細は、有限会社フロッグマンオフィスが提供する情報を参照してください。関連文書 (日本語)
CS-Cart.jp
【JVN#14396697】 権限確認不備により他のユーザーの注文確認書を閲覧できる脆弱性について
https://tips.cs-cart.jp/fix-jvn-14396697.htmlCS-Cart.jp
【JVN#87770873】 2017年4月6日に公表されたCSRF脆弱性への対応方法
https://tips.cs-cart.jp/fix-csrf-20170406.html【6】Tablacus Explorer にスクリプトインジェクションの脆弱性
【概要】
Tablacus Explorer には、スクリプトインジェクションの脆弱性があります。結果として、遠隔の第三者が、細工したディレクトリをユーザに開かせることで、任意の OS コマンドを実行する可能性があります。【対象】
- Tablacus Explorer 17.3.30 およびそれ以前【対策】
この問題は、Tablacus Explorer を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。関連文書 (日本語)
Tablacus Explorer
重要なお知らせ (2017/4/5)
http://www.eonet.ne.jp/~gakana/tablacus/explorer.html