脆弱性情報　まとめ

今週の脆弱性情報まとめです。

【1】NTP.org の ntpd に複数の脆弱性

【概要】
Network Time Protocol Project (NTP.org) の ntpd には、複数の脆弱性があります。結果として、悪意ある攻撃者がサービス運用妨害 (DoS) 攻撃を行う恐れがあります。

【対象】
- ntp-4.2.8p10 より前のバージョン

【対策】
この問題は、ntpd を NTP.org が提供する修正済みのバージョンに更新することで解決します。詳細は、NTP.org が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95549222
NTP.org の ntpd に複数の脆弱性
https://jvn.jp/vu/JVNVU95549222/

関連文書 (英語)
Network Time Protocol Project
March 2017 ntp-4.2.8p10 NTP Security Vulnerability Announcement
http://support.ntp.org/bin/view/Main/SecurityNotice#Recent_Vulnerabilities

【2】複数の Cisco 製品に脆弱性

 【概要】
複数の Cisco 製品には、脆弱性があります。結果として、悪意ある攻撃者が、root 権限で任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの恐れがあります。

【対象】
- Cisco IOS
- Cisco IOS XE
- Cisco ASR 920 Series
- Cisco IOx 1.0.0.0 から 1.1.0.0 までが稼働している Cisco 800 Series
- Cisco IOx 1.0.0.0 から 1.1.0.0 までが稼働している Cisco 4000 Series
- Cisco IOx 1.0.0.0 から 1.1.0.0 までが稼働している Cisco ASR 1000 Series

【対策】
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

 関連文書 (英語)
Cisco Security Advisory
Cisco IOS and IOS XE Software IPv6 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170320-aniipv6

Cisco Security Advisory
Cisco IOS and IOS XE Software Autonomic Networking Infrastructure Registrar Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170320-ani

Cisco Security Advisory
Cisco IOx Data in Motion Stack Overflow Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170322-iox

Cisco Security Advisory
Cisco IOS XE Software for Cisco ASR 920 Series Routers Zero Touch Provisioning Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170322-ztp

Cisco Security Advisory
Cisco IOS XE Software HTTP Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170322-xeci

Cisco Security Advisory
Cisco IOS XE Software Web User Interface Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170322-webui

Cisco Security Advisory
Cisco IOS and IOS XE Software Layer 2 Tunneling Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170322-l2tp

Cisco Security Advisory
Cisco IOS and IOS XE Software DHCP Client Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170322-dhcpc

Cisco Security Advisory
Cisco Application-Hosting Framework Arbitrary File Creation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170322-caf2

Cisco Security Advisory
Cisco Application-Hosting Framework Directory Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170322-caf1

【3】PCAUSA Rawether for Windows に任意のコードが実行可能な脆弱性

 【概要】
PCAUSA Rawether for Windows には、権限昇格の脆弱性があります。結果として、悪意ある攻撃者が任意のコードを実行する恐れがあります。

【対象】
- PcaSp60.sys を使用しているソフトウェア
- PcaSp50.sys を使用しているソフトウェア
- PcaMp60.sys を使用しているソフトウェア
- PcaMp50.sys を使用しているソフトウェア

【対策】
この問題は、該当するソフトウェアを、開発者が提供する修正済みのバージョンに更新するか、該当するソフトウェアをアンインストールすることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98590454
PCAUSA Rawether for Windows に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU98590454/

【4】iTunes に複数の脆弱性

【概要】
iTunes には、複数の脆弱性があります。結果として、悪意ある攻撃者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの恐れがあります。

【対象】
- iTunes 12.6 より前のバージョン
- iTunes 12.6 for Windows より前のバージョン

この問題は、iTunes を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (英語)
Apple
About the security content of iTunes 12.6
https://support.apple.com/en-us/HT207598

Apple
About the security content of iTunes 12.6 for Windows
https://support.apple.com/en-us/HT207599

【5】PhishWall クライアント Internet Explorer版のインストーラに任意の DLL 読み込みに関する脆弱性

【概要】
PhishWall クライアント Internet Explorer版のインストーラには、任意のDLL 読み込みに関する脆弱性があります。結果として、悪意ある攻撃者が任意のコードを実行する恐れがあります。

【対象】
- PhishWall クライアント Internet Explorer版 Ver. 3.7.13 およびそれ以前のインストーラ

【対策】
この問題は、株式会社セキュアブレインが提供する最新のインストーラを使用することで解決します。なお、すでに PhishWall クライアント InternetExplorer版をインストールしている場合には、この問題の影響はありません。詳細は、株式会社セキュアブレインが提供する情報を参照してください。

関連文書 (日本語)
株式会社セキュアブレイン
PhishWallクライアントInternet Explorer版のインストーラにおけるDLL読み込みに関する脆弱性と修正完了に関するお知らせ
http://www.securebrain.co.jp/about/news/2017/03/170316.html