脆弱性情報 まとめ

【1】2017年4月 Oracle Critical Patch Update について

【概要】
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)
Oracle
Oracle Critical Patch Update Advisory - April 2017
http://www.oracle.com/technetwork/jp/topics/ojkbcpuapr2017-3684180-ja.html

JPCERT/CC Alert 2017-04-19
2017年 4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170017.html

【2】Mozilla Firefox に複数の脆弱性

【概要】
Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする恐れがあります。

【対象】
- Mozilla Firefox 53 より前のバージョン
- Mozilla Firefox ESR 52.1 より前のバージョン
- Mozilla Firefox ESR 45.9 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2017 年 4 月 19 日)
http://www.mozilla-japan.org/security/announce/

【3】複数のジャストシステム製品に任意の DLL 読み込みに関する脆弱性

【概要】
花子を含む複数のジャストシステム製品には、任意の DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコードを実行する恐れがあります。

【対象】
- 花子2017
- 花子2016
- 花子2015
- 花子Pro 3
- JUST Office 3 [Standard]- JUST Office 3 [エコ印刷パック]- JUST Office 3 & Tri-De DataProtect パック
- JUST Government 3
- ジャストジャンプ クラス2
- ジャストフロンティア3
- ジャストスクール6 Premium
- 花子Police 5
- JUST Police 3
- 花子2017 体験版

この問題は、該当する製品を株式会社ジャストシステムが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社ジャストシステムが提供する情報を参照してください。

関連文書 (日本語)
株式会社ジャストシステム
花子の脆弱性を悪用した不正なプログラムの実行危険性について
https://www.justsystems.com/jp/info/js17002.html

【4】複数の VMware 製品に脆弱性

【概要】
複数の VMware 製品には、脆弱性があります。結果として、悪意ある攻撃者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

【対象】
- VMware Unified Access Gateway 2.8.1 より前のバージョン
- VMware Horizon View 7.1.0 より前のバージョン
- VMware Horizon View 6.2.4 より前のバージョン
- VMware Horizon View Client for Windows 4.4.0 より前のバージョン
- VMware Workstation 12.5.3 より前のバージョン

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2017-0008.2
https://www.vmware.com/security/advisories/VMSA-2017-0008.html

【5】複数の Cisco 製品にサービス運用妨害 (DoS) の脆弱性

【概要】
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う恐れがあります。

【対象】
- Cisco ASA 1000V Cloud Firewall
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco ASA 5500-X Series with FirePOWER Services
- Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches
- Cisco ASA Services Module for Cisco 7600 Series Routers
- Cisco ASA for Firepower 9300 Series
- Cisco Adaptive Security Virtual Appliance (ASAv)
- Cisco Firepower 9300 ASA Security Module
- Cisco ISA 3000 Industrial Security Appliance
- Cisco Advanced Malware Protection (AMP) for Networks, 7000 Series Appliances
- Cisco Advanced Malware Protection (AMP) for Networks, 8000 Series Appliances
- Cisco Firepower 4100 Series Security Appliances
- Cisco FirePOWER 7000 Series Appliances
- Cisco FirePOWER 8000 Series Appliances
- Cisco Firepower 9300 Series Security Appliances
- Cisco FirePOWER Threat Defense for Integrated Services Routers (ISRs)
- Cisco Industrial Security Appliance 3000
- Cisco Sourcefire 3D System Appliances
- Cisco Virtual Next-Generation Intrusion Prevention System (NGIPSv) for VMware
- Cisco Unified Communications Manager (CallManager)
- Cisco IOS
- Cisco IOS XE

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

【6】IBM Lotus Domino サーバにバッファオーバーフローの脆弱性

【概要】
IBM Lotus Domino サーバには、バッファオーバーフローの脆弱性があります。結果として、ユーザが Domino IMAP サーバの権限で任意のコードを実行する恐れがあります。

【対象】
- IBM Domino 9.0.1 から 9.0.1 Feature Pack 8 Interim Fix 1 まで
- IBM Domino 9.0 から 9.0 Interim Fix 7 まで
- IBM Domino 8.5.3 から 8.5.3 Fix Pack 6 Interim Fix 16 まで
- IBM Domino 8.5.2 から 8.5.2 Fix Pack 4 まで
- IBM Domino 8.5.1 から 8.5.1 Fix Pack 5 まで

この問題は、IBM Lotus Domino サーバを IBM が提供する修正済みのバージョンに更新することで解決します。詳細は、IBM が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91685026
IBM Lotus Domino の IMAP サーバにスタックベースのバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU91685026/

関連文書 (英語)
IBM
Security Bulletin: IBM Domino server IMAP EXAMINE command stack buffer overflow (CVE-2017-1274)
      https://www-01.ibm.com/support/docview.wss?uid=swg22002280

【7】Drupal にアクセス制限不備の脆弱性

【概要】
Drupal には、アクセス制限不備の脆弱性があります。結果として、悪意ある攻撃者が、セキュリティ制限を回避して情報を取得する可能性があります。

【対象】
- Drupal 8.2.8 より前のバージョン
- Drupal 8.3.1 より前のバージョン

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新することで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal Core - Critical - Access Bypass - SA-CORE-2017-002
https://www.drupal.org/SA-CORE-2017-002

【8】SEIL シリーズルータにサービス運用妨害 (DoS) の脆弱性

【概要】
SEIL シリーズルータには、サービス運用妨害 (DoS) の脆弱性があります。結果として、遠隔の第三者が、細工したパケットを送信することで、サービス運用妨害 (DoS) 攻撃を行う恐れがあります。

【対象】
- SEIL/x86 Fuji 1.70 から 5.62 まで
- SEIL/BPV4 5.00 から 5.62 まで
- SEIL/X1 1.30 から 5.62 まで
- SEIL/X2 1.30 から 5.62 まで
- SEIL/B1 1.00 から 5.62 まで

この問題は、該当する製品のファームウェアを株式会社インターネットイニシアティブが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社インターネットイニシアティブが提供する情報を参照してください。

関連文書 (日本語)
SEIL
細工されたIPv4 UDPパケットの受信により一部機能が停止する脆弱性
https://www.seil.jp/support/security/a01783.html

【9】WNC01WH に OS コマンドインジェクションの脆弱性

【概要】
WNC01WH には、OS コマンドインジェクションの脆弱性があります。結果として、管理画面にアクセス可能な第三者が任意のコードを実行する恐れがあります。

【対象】
- WNC01WH ファームウェア Ver.1.0.0.9 およびそれ以前

この問題は、WNC01WH のファームウェアを株式会社バッファローが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社バッファローが提供する情報を参照してください。

関連文書 (日本語)
株式会社バッファロー
ネットワークカメラ WNC01WH に関する複数の脆弱性
http://buffalo.jp/support_s/s20161201.html

【10】NETGEAR ProSAFE Plus Configuration Utility にアクセス制限不備の脆弱性

【概要】
NETGEAR ProSAFE Plus Configuration Utility には、アクセス制限不備の脆弱性があります。結果として、当該製品にアクセス可能な第三者がスイッチの設定を変更する恐れがあります。

【対象】
- ProSAFE Plus Configuration Utility バージョン 2.3.29 より前のバージョン

この問題は、ProSAFE Plus Configuration Utility を NETGEAR が提供する修正済みのバージョンに更新することで解決します。詳細は、NETGEAR が提供する情報を参照してください。

関連文書 (日本語)
ネットギアジャパン合同会社
【重要】 NETGEAR ProSAFE Plus Configuration Utility におけるアクセス制限不備の脆弱性
https://www.netgear.jp/supportInfo/NewSupportList/183.html

【11】WordPress 用プラグイン Booking Calendar に複数の脆弱性

【概要】
WordPress 用プラグイン Booking Calendar には、複数の脆弱性があります。結果として、悪意ある攻撃者が、ユーザのブラウザ上で任意のスクリプトを実行したり、サーバ上のファイルを取得したりする恐れがあります。

【対象】
- Booking Calendar 7.1 およびそれ以前

この問題は、Booking Calendar を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
WP Booking Calendar
Changelog
http://wpbookingcalendar.com/changelog/

<