脆弱性情報 まとめ

今週の脆弱性情報まとめになります。

【1】複数の Mozilla 製品に脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/01/24/Mozilla-Releases-Security-Updates

US-CERT Current Activity
Mozilla Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/01/26/Mozilla-Releases-Security-Update

概要

いくつかのMozilla 製品に脆弱性が発見されています。それにより遠隔の第三者が、悪意あるコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

【対象となる製品およびバージョン】
- Firefox 51 より前のバージョン
- Firefox ESR 45.7 より前のバージョン
- Thunderbird 45.7 より前のバージョン

【対策】 該当する製品を修正済みのバージョンに更新。
詳細は、Mozilla が提供する情報を参照してください。

関連文書 (英語)

Mozilla
Mozilla Foundation Security Advisories (January 24, 2017 および January 26, 2017)
https://www.mozilla.org/en-US/security/advisories/

【2】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/01/24/Cisco-Releases-Security-Updates

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/01/25/Cisco-Releases-Security-Updates

概要

いくつかのCisco 製品のには、脆弱性があります。それにより遠隔の第三者が、悪意あるコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

【対象となる製品およびバージョン】
- Chrome 向け Cisco WebEx Extension 1.0.7 より前のバージョン - Internet Explorer 向け GpcContainer Class ActiveX コントロール 10031.6.2017.0127 より前のバージョン - Firefox 向け ActiveTouch General Plugin Container 106 より前のバージョン - Cisco TelePresence MCU 5300 Series - Cisco TelePresence MCU MSE 8510 - Cisco TelePresence MCU 4500 - Cisco Expressway Series Software X8.8.2 より前のバージョン - Cisco TelePresence VCS Software X8.8.2 より前のバージョン - Cisco Adaptive Security Appliance (ASA) CX Context-Aware Security module
【対策】 該当する製品を修正済みのバージョンに更新。 詳細は、Cisco が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90868591
ウェブブラウザ向け Cisco WebEx 拡張機能に任意のコマンドが実行可能な脆弱性
https://jvn.jp/vu/JVNVU90868591/

関連文書 (英語)

Cisco Security Advisory
Cisco WebEx Browser Extension Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170124-webex

Cisco Security Advisory
Cisco TelePresence Multipoint Control Unit Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170125-telepresence

Cisco Security Advisory
Cisco Expressway Series and TelePresence VCS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170125-expressway

Cisco Security Advisory
Cisco Adaptive Security Appliance CX Context-Aware Security Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170125-cas

CERT/CC Vulnerability Note VU#909240
Cisco WebEx web browser extension allows arbitrary code execution
https://www.kb.cert.org/vuls/id/909240

【3】OpenSSL に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#92830136
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU92830136/

概要

OpenSSL には、複数の脆弱性があります。それにより遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

【対象となるバージョン】
- OpenSSL 1.1.0d より前のバージョン
- OpenSSL 1.0.2k より前のバージョン

【対策】
修正済みのバージョンに更新。
詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

OpenSSL Project
OpenSSL Security Advisory [26 Jan 2017]https://www.openssl.org/news/secadv/20170126.txt

【4】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/01/23/Apple-Releases-Security-Updates

概要

いくつかのApple 製品には、脆弱性があります。それにより遠隔の第三者が、悪意あるコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

【対象となるバージョン】
- watchOS 3.1.3 より前のバージョン
- tvOS 10.1.1 より前のバージョン
- iOS 10.2.1 より前のバージョン
- macOS Sierra 10.12.3 より前のバージョン
- iCloud for Windows 6.1.1 より前のバージョン
- Safari 10.0.3 より前のバージョン
- iTunes 12.5.5 for Windows より前のバージョン

【対策】 修正済みのバージョンに更新。 詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#97915630
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU97915630/

関連文書 (英語)

Apple
About the security content of watchOS 3.1.3
https://support.apple.com/en-us/HT207487

Apple
About the security content of tvOS 10.1.1
https://support.apple.com/en-us/HT207485

Apple
About the security content of iOS 10.2.1
https://support.apple.com/en-us/HT207482

Apple
About the security content of macOS Sierra 10.12.3
https://support.apple.com/en-us/HT207483

Apple
About the security content of iCloud for Windows 6.1.1
https://support.apple.com/en-us/HT207481

Apple
About the security content of Safari 10.0.3
https://support.apple.com/en-us/HT207484

Apple
About the security content of iTunes 12.5.5 for Windows
https://support.apple.com/en-us/HT207486

【5】WordPress に複数の脆弱性

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/01/26/WordPress-Releases-Security-Update

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で悪意あるスクリプトを実行するなどの可能性があります。

【対象となるバージョン】
- WordPress 4.7.2 より前のバージョン

【対策】 修正済みのバージョンに更新。
詳細は、WordPress が提供する情報を参照してください。

関連文書 (日本語)

WordPress
WordPress 4.7.2 セキュリティリリース
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

【6】Nessus にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#12796388
Nessus におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN12796388/

概要

Nessus には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で悪意あるスクリプトを実行する可能性があります。

【対象となるバージョン】 - Nessus 6.9 より前のバージョン
【対策】 修正済みのバージョンに更新。
詳細は、Tenable NetworkSecurity,Inc. が提供する情報を参照してください。

関連文書 (英語)

Tenable Network Security, Inc.
Nessus 6.9 Fixes Multiple Vulnerabilities
https://www.tenable.com/security/tns-2016-16

【7】CubeCart にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#81618356
CubeCart におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN81618356/

概要

CubeCart には、ディレクトリトラバーサルの脆弱性があります。結果として、遠隔の第三者が任意のファイルにアクセスする可能性があります。

【対象となるバージョン】
- CubeCart 6.1.4 より前のバージョン

【対策】 修正済みのバージョンに更新。
詳細は、CubeCart Limited が提供する情報を参照してください。

関連文書 (英語)

CubeCart
CubeCart 6.1.4 Released
https://forums.cubecart.com/topic/52088-cubecart-614-released/

【8】Knowledge にクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#09460804
Knowledge におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN09460804/

概要

Knowledge には、クロスサイトリクエストフォージェリの脆弱性があります。
結果として、遠隔の第三者が、ユーザの意図しない操作を行う可能性があります。

【対象となるバージョン】
- Knowledge v1.7.0 より前のバージョン

【対策】 修正済みのバージョンに更新。
詳細は、support-project.org が提供する情報を参照してください。

関連文書 (日本語)

support-project.org
Release v1.7.0
https://github.com/support-project/knowledge/releases

【9】smalruby-editor に OS コマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#50197114
smalruby-editor における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN50197114/

概要

smalruby-editor には、OS コマンドインジェクションの脆弱性があります。
結果として、遠隔の第三者が任意の OS コマンドを実行する可能性があります。

【対象となるバージョン】
- smalruby-editor v0.4.0 およびそれ以前

【対策】 修正済みのバージョンに更新。
詳細は、NPO法人Rubyプログラミング少年団が提供する情報を参照してください。

関連文書 (日本語)

NPO法人Rubyプログラミング少年団
新しいスモウルビー(smalruby-editor 0.4.1、smalruby 0.1.11)を公開しました!
http://smalruby.jp/blog/2017/01/14/smalruby-editor-0-4-1-has-been-released.html

<