脆弱性情報 まとめ

【1】複数の Microsoft 製品に脆弱性

【概要】
      複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する恐れがあります。

【対象】

      - Internet Explorer
      - Microsoft Edge
      - Microsoft Windows
      - Microsoft Office
      - Microsoft Office Services および Web Apps
      - Visual Studio for Mac
      - .NET Framework
      - Silverlight

      この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで解決します。詳細は、Microsoft が提供する情報を参照してください。

    関連文書 (日本語)
      マイクロソフト株式会社
      2017 年 4 月のセキュリティ更新プログラム
      https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/42b8fa28-9d09-e711-80d9-000d3a32fc99

      Japan Vulnerability Notes JVNVU#98665451
      Microsoft OLE URL Moniker における遠隔の HTA データに対する不適切な処理
      https://jvn.jp/vu/JVNVU98665451/

      JPCERT/CC Alert 2017-04-12
      2017年 4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
      https://www.jpcert.or.jp/at/2017/at170015.html

【2】ISC BIND 9 に複数の脆弱性

【概要】
      ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う恐れがあります。

【対象】

      - BIND 9.8.0 から 9.8.8-P1 まで
      - BIND 9.9.0 から 9.9.9-P7 まで
      - BIND 9.9.10b1 から 9.9.10rc2 まで
      - BIND 9.10.0 から 9.10.4-P7 まで
      - BIND 9.10.5b1 から 9.10.5rc2 まで
      - BIND 9.11.0 から 9.11.0-P4 まで
      - BIND 9.11.1b1 から 9.11.1rc2 まで
      - BIND 9.9.3-S1 から 9.9.9-S9 まで

      この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新することで解決します。詳細は、ISC が提供する情報を参照してください。

    関連文書 (日本語)
      株式会社日本レジストリサービス (JPRS)
      (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)
      https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html

      株式会社日本レジストリサービス (JPRS)
      BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136)
      https://jprs.jp/tech/security/2017-04-13-bind9-vuln-dns64.html

      株式会社日本レジストリサービス (JPRS)
      BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138)
      https://jprs.jp/tech/security/2017-04-13-bind9-vuln-control-channel.html

      一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
      BIND 9における複数の脆弱性について(2017年4月)
      https://www.nic.ad.jp/ja/topics/2017/20170413-01.html

      Japan Vulnerability Notes JVNVU#97322649
      ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/vu/JVNVU97322649/

      JPCERT/CC Alert 2017-04-13
      ISC BIND 9 に対する複数の脆弱性に関する注意喚起
      https://www.jpcert.or.jp/at/2017/at170016.html

    関連文書 (英語)
      ISC Knowledge Base
      CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"
      https://kb.isc.org/article/AA-01465

      ISC Knowledge Base
      CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
      https://kb.isc.org/article/AA-01466

      ISC Knowledge Base
      CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel
      https://kb.isc.org/article/AA-01471

【3】複数の Adobe 製品に脆弱性

【概要】
      複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの恐れがあります。

【対象】

      - Adobe Campaign v6.11 ビルド 8770 およびそれ以前 (Windows 版、Linux 版)
      - Adobe Flash Player デスクトップランタイム 25.0.0.127 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
      - Acrobat DC 連続トラック 15.023.20070 およびそれ以前 (Windows 版、Macintosh 版)
      - Acrobat Reader DC 連続トラック 15.023.20070 およびそれ以前 (Windows 版、Macintosh 版)
      - Acrobat DC クラシック 15.006.30280 およびそれ以前 (Windows 版、Macintosh 版)
      - Acrobat Reader DC クラシック 15.006.30280 およびそれ以前 (Windows 版、Macintosh 版)
      - Acrobat XI デスクトップ 11.0.19 およびそれ以前 (Windows 版、Macintosh 版)
      - Reader XI デスクトップ 11.0.19 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Photoshop CC 2017 18.0.1 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Photoshop CC 2015.5 17.0.1 (2015.5.1)およびそれ以前 (Windows 版、Macintosh 版)
      - Creative Cloud デスクトップアプリケーション Creative Cloud 3.9.5.353 およびそれ以前 (Windows 版)

      この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新することで解決します。詳細は、Adobe が提供する情報を参照してください。

    関連文書 (日本語)
      Adobe セキュリティ情報
      Adobe Campaign に関するセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/campaign/apsb17-09.html

      Adobe セキュリティ情報
      Adobe Flash Player に関するセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/flash-player/apsb17-10.html

      Adobe セキュリティ情報
      Adobe Acrobat および Reader に関するセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/acrobat/apsb17-11.html

      Adobe セキュリティ情報
      Adobe Photoshop CC に関するセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/photoshop/apsb17-12.html

      Adobe セキュリティ情報
      Creative Cloud デスクトップアプリケーション用のセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/creative-cloud/apsb17-13.html

      JPCERT/CC Alert 2017-04-12
      Adobe Flash Player の脆弱性 (APSB17-10) に関する注意喚起
      https://www.jpcert.or.jp/at/2017/at170013.html

      JPCERT/CC Alert 2017-04-12
      Adobe Reader および Acrobat の脆弱性 (APSB17-11) に関する注意喚起
      https://www.jpcert.or.jp/at/2017/at170014.html

【4】VMware vCenter Server に任意のコードが実行可能な脆弱性

【概要】
      VMware vCenter Server には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する恐れがあります。

【対象】

      - VMware vCenter Server 6.5c より前のバージョン
      - VMware vCenter Server 6.0U3b より前のバージョン

      この問題は、VMware vCenter Server を VMware が提供する修正済みのバージョンに更新することで解決します。詳細は、VMware が提供する情報を参照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#97538972
      Java で実装された複数の Action Message Format (AMF3) ライブラリに脆弱性
      https://jvn.jp/vu/JVNVU97538972/

    関連文書 (英語)
      VMware Security Advisories
      VMSA-2017-0007
      https://www.vmware.com/security/advisories/VMSA-2017-0007.html

【5】Apache Tomcat に複数の脆弱性

【概要】
      Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、情報を取得したりする恐れがあります。

【対象】

      - Apache Tomcat 9.0.0.M1 から 9.0.0.M18 まで
      - Apache Tomcat 8.5.0 から 8.5.12 まで
      - Apache Tomcat 8.0.0.RC1 から 8.0.42 まで
      - Apache Tomcat 7.0.0 から 7.0.76 まで
      - Apache Tomcat 6.0.0 から 6.0.52 まで

      この問題は、Apache Tomcat を Apache Tomcat が提供する修正済みのバージョンに更新することで解決します。詳細は、Apache Tomcat が提供する情報を参照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#90211511
      Apache Tomcat の複数の脆弱性に対するアップデート
      https://jvn.jp/vu/JVNVU90211511/

    関連文書 (英語)
      Apache Tomcat
      Fixed in Apache Tomcat 9.0.0.M19
      https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M19

      Apache Tomcat
      Fixed in Apache Tomcat 8.5.13
      https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.13

      Apache Tomcat
      Fixed in Apache Tomcat 8.0.43
      https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.43

      Apache Tomcat
      Fixed in Apache Tomcat 7.0.77
      https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.77

      Apache Tomcat
      Fixed in Apache Tomcat 6.0.53
      https://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.53

【6】サイボウズ Office に複数の脆弱性

【概要】
      サイボウズ Office には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの恐れがあります。

【対象】

      - サイボウズ Office 10.0.0 から 10.5.0 まで

      この問題は、サイボウズ Office をサイボウズ株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提供する情報を参照してください。

    関連文書 (日本語)
      サイボウズ株式会社
      サイボウズ Office 10 脆弱性に関するお知らせ
      https://cs.cybozu.co.jp/2017/006386.html

【7】ASSETBASE にクロスサイトスクリプティングの脆弱性

   【概要】
      ASSETBASE には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、当該製品に管理者としてログインしているユーザのブラウザ上で任意のスクリプトを実行する恐れがあります。

【対象】

      - ASSETBASE Ver.8.0 およびそれ以前

      この問題は、ASSETBASE を株式会社内田洋行が提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社内田洋行が提供する情報を参照してください。

    関連文書 (日本語)
      株式会社内田洋行
      ASSETBASE システムのクロスサイトスクリプティング脆弱性のご報告とセキュリティ強化プログラムのリリースについて
      http://www.asset-base.jp/pdf/20170410_ASSETBASE_SecurityInfo.pdf

【8】CS-Cart日本語版にアクセス制限不備の脆弱性

 【概要】
      CS-Cart日本語版には、アクセス制限不備の脆弱性があります。結果として、遠隔の第三者が、ユーザの注文した商品に対して返品申請を行う恐れがあります。

【対象】

      - CS-Cart日本語版スタンダード版 v4.3.10-jp-1 およびそれ以前
      - CS-Cart日本語版マーケットプレイス版 v4.3.10-jp-1 およびそれ以前

      この問題は、CS-Cart日本語版を有限会社フロッグマンオフィスが提供する修正済みのバージョンに更新することで解決します。詳細は、有限会社フロッグマンオフィスが提供する情報を参照してください。

    関連文書 (日本語)
      有限会社フロッグマンオフィス
      【JVN#25598952】 権限確認不備により他のユーザーの注文の返品申請を実施できる脆弱性について
      https://tips.cs-cart.jp/fix-jvn-25598952.html

【9】WordPress 用プラグイン WP Statistics にクロスサイトスクリプティングの脆弱性

【概要】
      WordPress 用プラグイン WP Statistics には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する恐れがあります。

【対象】

      - WP Statistics 12.0.4 およびそれ以前

      この問題は、WP Statistics を WP Statistics が提供する修正済みのバージョンに更新することで解決します。詳細は、WP Statistics が提供する情報を参照してください。

    関連文書 (英語)
      WP Statistics
      WP Statistics V12.0.2/3 Released!
      https://wp-statistics.com/wp-statistics-v12-0-23-released/

【10】東芝製メモリカード関連ソフトウェアの複数のインストーラに任意の DLL 読み込みに関する脆弱性

【概要】
      東芝製メモリカード関連ソフトウェアの複数のインストーラには、任意の DLL読み込みに関する脆弱性があります。結果として、第三者が任意のコードを実行する恐れがあります。

【対象】

      - NFC搭載SDHC/SDXCメモリカードソフトウェア更新ツール V1.00.03 およびそれ以前
      - 無線LAN搭載SDHCメモリカード FlashAir(TM) 設定ソフトウエア V3.0.2 およびそれ以前
      - 無線LAN搭載SDHCメモリカード FlashAir(TM) ソフトウェア更新ツール(SD-WEシリーズ<W-03>) V3.00.01
      - 無線LAN搭載SDHCメモリカード FlashAir(TM) ソフトウェア更新ツール(SD-WD/WCシリーズ<W-02>) V2.00.03 およびそれ以前
      - 無線LAN搭載SDHCメモリカード FlashAir(TM) ソフトウェア更新ツール(SD-WB / WLシリーズ) V1.00.04 およびそれ以前
      - TransferJet(TM) (近接無線通信)搭載SDHCメモリカード設定ソフトウェア V1.02 およびそれ以前
      - TransferJet(TM) (近接無線通信)搭載SDHCメモリカードファームウェア更新ツール V1.00.06 およびそれ以前

      この問題は、株式会社東芝が提供する最新のインストーラを使用することで解決します。なお、すでに該当する製品をインストールしている場合には、この問題の影響はありません。詳細は、株式会社東芝が提供する情報を参照してください。

    関連文書 (日本語)
      株式会社東芝
      NFC搭載SDメモリカード、FlashAir(TM)、TransferJet(TM)搭載SDメモリカードのWindows(R)用ソフトウェアのインストーラにおけるDLL 読み込みに関する脆弱性について
      http://www.toshiba-personalstorage.net/news/20170414.htm

【11】WN-G300R3 に複数の脆弱性

  【概要】
      WN-G300R3 には、複数の脆弱性があります。結果として、当該製品にアクセス可能な第三者が任意の OS コマンドを実行する恐れがあります。

【対象】

      - WN-G300R3 ファームウェア Ver.1.03 およびそれ以前

      この問題は、WN-G300R3 のファームウェアを株式会社アイ・オー・データ機器が提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社アイ・オー・データ機器が提供する情報を参照してください。

    関連文書 (日本語)
      株式会社アイ・オー・データ機器
      無線ルーター「WN-G300R3」 セキュリティの脆弱性について
      http://www.iodata.jp/support/information/2017/wn-g300r3/

【12】WN-AC1167GR にクロスサイトスクリプティングの脆弱性

【概要】
      WN-AC1167GR には、クロスサイトスクリプティングの脆弱性があります。結果として、当該製品にログイン可能なユーザが、他のユーザのブラウザ上で任意のスクリプトを実行する恐れがあります。

【対象】

      - WN-AC1167GR ファームウェア バージョン 1.04 およびそれ以前

      この問題は、WN-AC1167GR のファームウェアを株式会社アイ・オー・データ機器が提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社アイ・オー・データ機器が提供する情報を参照してください。

    関連文書 (日本語)
      株式会社アイ・オー・データ機器
      無線ルーター「WN-AC1167GR」セキュリティの脆弱性について
      http://www.iodata.jp/support/information/2017/wn-ac1167gr/

<