脆弱性情報まとめ

■Webアプリケーションにおける脆弱性

【1】PHPMailer 「 OS コマンドインジェクション」の脆弱性

概要;PHPMailer に、OS コマンドインジェクションの脆弱性があります。

症状;PHPMailer を使用した Web アプリケーションの実行権限で遠隔の第三者が任意の OS コマンドを実行する可能性があります。

対策;PHPMailer が提供する修正済みのバージョンに更新すること。

詳細;PHPMailer About the CVE 2016 10033 and CVE 2016 10045 vulnerabilities https://github.com/PHPMailer/PHPMailer/wiki/About-the-CVE-2016-10033-and-CVE-2016-10045-vulnerabilities

★OS コマンドインジェクションとは?

閲覧者からのデータの入力や操作を受け付けるようなWEBサイトで、プログラムに不正なに命令文(コマンド)を読み込ませて操作する攻撃。具体的には、メールアドレスや任意のコメントなどをフォームで記入して送信する場合に、フォームに、HTMLタグ、JavaScript、SQL文を書いて送信すると、そのコマンドがそのまま動作してしまうこと。

■サードパーティーアプリケーションにおける脆弱性

【2】 Adobe Flash Player の脆弱性 (APSB17-02) 概要;Adobe Flash Player に脆弱性があります。

症状;攻撃者からのリモート攻撃によって Adobe Flash Player が不正終了したり、任意のコードが実行されたりする恐れがあります。

対象;

- Adobe Flash Player Desktop Runtime (24.0.0.186) およびそれ以前 (Internet Explorer, Mozilla Firefox, Safari など)

- Adobe Flash Player for Google Chrome (24.0.0.186) およびそれ以前

- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (24.0.0.186) およびそれ以前 (Windows 10 および Windows 8.1) 対策;Adobe Flash Player を最新のバージョンに更新すること。

詳細; マイクロソフト セキュリティ情報 MS17-003 - 緊急 Adobe Flash Player のセキュリティ更新プログラム (3214628) https://technet.microsoft.com/library/security/ms17-003

いずれも重要なセキュリティホールとなります。こまめなアップデートをしてセキュリティホールはつぶすようにしましょう。

<