2015年1月の月例セキュリティ情報

2015年2月3日初版公開

2015年1月に公開された危険度の高い脆弱性情報
CVSSによる深刻度とは
脆弱性を悪用した攻撃に犯されてしまうと・・

1.2015年1月に公開された危険度の高い脆弱性情報

掲載範囲：CVSS により深刻度が危険と指定され、一般的に影響が大きいとされるものを抜粋

(1)Cisco 2900 Integrated Services Router デバイス上で稼働する Cisco IOS の Network-Based Application Recognition プロトコルの実装におけるサービス運用妨害 (DoS) の脆弱性(CVE-2015-0586)

ベンダ情報	Cisco Security Notice : Cisco 2900 Series Integrated Services Router Network-Based Application Recognition Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2015-0586 Vulnerability Alert : 37171 http://tools.cisco.com/security/center/viewAlert.x?alertId=37171
CVSS による深刻度	7.8 (危険) [ NVD値 ]
概要	Cisco 2900 Integrated Services Router (別名 Cisco Internet Router) デバイス上で稼働する Cisco IOS の Network-Based Application Recognition (NBAR) プロトコルの実装には、サービス運用妨害 (NBAR プロセスハング) 状態にされる脆弱性が存在します。ベンダは、本脆弱性を Bug ID CSCuo73682 として公開しています。補足情報 : CWE による脆弱性タイプは、CWE-19: Data Handling (データ処理) と識別されています。 http://cwe.mitre.org/data/definitions/19.html
影響を受ける製品	シスコシステムズ Cisco 2900 Series Integrated Services Router HASH(0x99d7128) Cisco IOS 15.3(100)M およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Cisco 2900 Integrated Services Router デバイス上で稼働する Cisco IOS の Network-Based Application Recognition プロトコルの実装におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2015-001265) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001265.html Vulnerability Summary for CVE-2015-0586 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0586

(2)Cisco Prime Service Catalog の XML パーサにおける任意のファイルを読まれる脆弱性(CVE-2015-0581)

ベンダ情報	Cisco Security Advisory : cisco-sa-20150128-psc-xmlee http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150128-psc-xmlee IPS Signatures : 4971/0 http://tools.cisco.com/security/center/viewIpsSignature.x?signatureId=4971&signatureSubId=0&softwareVersion=6.0&releaseVersion=S847 IPS Signatures : 4971/1 http://tools.cisco.com/security/center/viewIpsSignature.x?signatureId=4971&signatureSubId=1&softwareVersion=6.0&releaseVersion=S847 Vulnerability Alert : 37136 http://tools.cisco.com/security/center/viewAlert.x?alertId=37136
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Cisco Prime Service Catalog の XML パーサには、任意のファイルを読まれる、またはサービス運用妨害 (CPU およびメモリ消費) 状態にされる脆弱性が存在します。本件は、XML 外部エンティティ (XXE) の問題に関する脆弱性です。ベンダは、本脆弱性を Bug ID CSCup92880 として公開しています。補足情報 : CWE による脆弱性タイプは、CWE-611: Improper Restriction of XML External Entity Reference ('XXE') (XML 外部エンティティ参照の不適切な制限) と識別されています。 http://cwe.mitre.org/data/definitions/611.html
影響を受ける製品	シスコシステムズ Cisco Prime Service Catalog 10.1 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Cisco Prime Service Catalog の XML パーサにおける任意のファイルを読まれる脆弱性(JVNDB-2015-001264) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001264.html Vulnerability Summary for CVE-2015-0581 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0581

(3)Adobe Flash Player における任意のコードを実行される脆弱性(CVE-2015-0311)

ベンダ情報	Adobe Security Bulletin : APSB15-03 http://helpx.adobe.com/security/products/flash-player/apsb15-03.html Adobe Security Bulletin : APSA15-01 http://helpx.adobe.com/security/products/flash-player/apsa15-01.html Adobe セキュリティ情報 : APSB15-03 http://helpx.adobe.com/jp/security/products/flash-player/apsb15-03.html Adobe セキュリティ情報 : APSA15-01 http://helpx.adobe.com/jp/security/products/flash-player/apsa15-01.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update_26.html Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer (2755801) https://technet.microsoft.com/en-us/library/security/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2755801) https://technet.microsoft.com/ja-jp/library/security/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20150126f.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Flash Player には、任意のコードを実行される脆弱性が存在します。本脆弱性への攻撃が 2015 年 1 月に観測されています。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Windows 8/Windows Server 2012/Windows RT) Microsoft Internet Explorer 11 (Windows 8.1/Windows Server 2012 R2/Windows RT 8.1) アドビシステムズ Adobe Flash Player 11.2.202.440 未満 (Linux) Adobe Flash Player 16.0.0.296 未満 (Internet Explorer 10/11) Adobe Flash Player 16.0.0.296 未満 (Windows/Machintosh/Linux 版の Chrome) Adobe Flash Player デスクトップランタイム 16.0.0.296 未満 (Windows/Macintosh) Adobe Flash Player 継続サポートリリース 13.0.0.264 未満 (Windows/Macintosh) Google Google Chrome 40.0.2214.93 未満 (Windows/Machintosh/Linux)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player における任意のコードを実行される脆弱性(JVNDB-2015-001221) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001221.html Vulnerability Summary for CVE-2015-0311 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0311

(4)Adobe Flash Player におけるメモリ二重解放の脆弱性(CVE-2015-0312)

ベンダ情報	Adobe Security Bulletin : APSB15-03 http://helpx.adobe.com/security/products/flash-player/apsb15-03.html Adobe セキュリティ情報 : APSB15-03 http://helpx.adobe.com/jp/security/products/flash-player/apsb15-03.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update_26.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer (2755801) https://technet.microsoft.com/en-us/library/security/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2755801) https://technet.microsoft.com/ja-jp/library/security/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20150129f.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Flash Player には、メモリを二重に解放する不備があるため、任意のコードを実行される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-415: Double Free (二重解放) と識別されています。 http://cwe.mitre.org/data/definitions/415.html
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Windows 8/Windows Server 2012/Windows RT) Microsoft Internet Explorer 11 (Windows 8.1/Windows Server 2012 R2/Windows RT 8.1) アドビシステムズ Adobe Flash Player 11.2.202.440 未満 (Linux) Adobe Flash Player 16.0.0.296 未満 (Internet Explorer 10/11) Adobe Flash Player 16.0.0.296 未満 (Windows/Machintosh/Linux 版の Chrome) Adobe Flash Player デスクトップランタイム 16.0.0.296 未満 (Windows/Macintosh) Adobe Flash Player 継続サポートリリース 13.0.0.264 未満 (Windows/Macintosh) Google Google Chrome 40.0.2214.93 未満 (Windows/Machintosh/Linux)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player におけるメモリ二重解放の脆弱性(JVNDB-2015-001263) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001263.html Vulnerability Summary for CVE-2015-0312 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0312

(5)サイボウズリモートサービスマネージャーにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2014-7266)

ベンダ情報	サイボウズ : 【サイボウズリモートサービス】脆弱性対応について https://cs.cybozu.co.jp/2015/001245.html
CVSS による深刻度	7.1 (危険) [ NVD値 ]
概要	リモートサービスマネージャーには、サービス運用妨害 (DoS) の脆弱性が存在します。サイボウズ株式会社が提供するリモートサービスマネージャーは、「サイボウズリモートサービス」を利用して社内のサイボウズ製品などにアクセスするためのソフトウェアです。リモートサービスマネージャーには、サービス運用妨害 (DoS) の脆弱性が存在します。本脆弱性は、JVN#10319260 への対応が不十分であったため、あらためて修正されたものです。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
影響を受ける製品	サイボウズリモートサービスマネージャー 2.3.0 およびそれ以前リモートサービスマネージャー 3.1.2 およびそれ以前
対策	リモートサービスマネージャー 3.1.2 をお使いの場合： [設定変更を行なう] 開発者が案内する手順 (リモートサービスのHashDos対策の設定手順について) に従い設定ファイル (server.xml) を変更してください。リモートサービスマネージャー 3.1.1 およびそれ以前をお使いの場合： [最新版にアップデートし、設定変更を行なう] リモートサービスマネージャー 3.1.1 以降にアップデートした上で、開発者が案内する手順 (リモートサービスのHashDos対策の設定手順について) に従い設定ファイル (server.xml) を変更してください。
参考情報	サイボウズリモートサービスマネージャーにおけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2015-000001) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000001.html Vulnerability Summary for CVE-2014-7266 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7266

(6)glibc ライブラリにバッファオーバーフローの脆弱性(CVE-2015-0235)

ベンダ情報	Debian Security Advisory : DSA-3142 https://www.debian.org/security/2015/dsa-3142 Red Hat Security Advisory : RHSA-2015:0092 https://rhn.redhat.com/errata/RHSA-2015-0092.html Sourceware Bugzilla : Bug 15014 https://sourceware.org/bugzilla/show_bug.cgi?id=15014 Ubuntu Security Notice : USN-2485-1 http://www.ubuntu.com/usn/usn-2485-1/
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	glibc ライブラリにはバッファオーバーフローの脆弱性があります。 glibc ライブラリにはバッファオーバーフローの脆弱性 (CWE-788) があります。細工したホスト名を gethostbyname などの関数の引数に渡すことにより、バッファオーバーフローが発生します。 CWE-788: Access of Memory Location After End of Buffer http://cwe.mitre.org/data/definitions/788.html なお、National Vulnerability Database (NVD) では、CWE-119 として公開されています。 CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer http://cwe.mitre.org/data/definitions/119.html
影響を受ける製品	GNU Project GNU C Library (glibc) 2.2 から 2.17 まで
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 glibc の開発元では、バージョン 2.18 で修正されています。また、Linux ディストリビューションによっては、影響を受けるバージョンの glibc に対して対策を行ったパッケージを提供している場合があります。詳細は、各ディストリビューションが提供する情報を参照してください。
参考情報	glibc ライブラリにバッファオーバーフローの脆弱性(JVNDB-2015-001251) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001251.html Vulnerability Summary for CVE-2015-0235 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0235

(7)Free Reprintables ArticleFR の system/profile.functions.php の getProfile 関数における SQL インジェクションの脆弱性(CVE-2015-1364)

ベンダ情報	Free Reprintables : Top Page http://freereprintables.com GitHub : Free article directory system in php https://github.com/articlefr/articleFR
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Free Reprintables ArticleFR の system/profile.functions.php の getProfile 関数には、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Free Reprintables ArticleFR 3.0.5
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Free Reprintables ArticleFR の system/profile.functions.php の getProfile 関数における SQL インジェクションの脆弱性(JVNDB-2015-001262) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001262.html Vulnerability Summary for CVE-2015-1364 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1364

(8)WordPress 用 Pixabay Images プラグインの pixabay-images.php における任意のファイルに書き込まれる脆弱性(CVE-2015-1375)

ベンダ情報	Pixabay : Pixabay plugin for WordPres http://pixabay.com/blog/posts/p-36/ WordPress Plugin Changeset : Changes in pixabay-images/trunk/pixabay-images.php [926633:1067992] https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=1067992%40pixabay-images%2Ftrunk%2Fpixabay-images.php&old=926633%40pixabay-images%2Ftrunk%2Fpixabay-images.php WordPress Plugin Directory : Pixabay Images https://wordpress.org/plugins/pixabay-images/changelog/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	WordPress 用 Pixabay Images プラグインの pixabay-images.php は、アップロード機能へのアクセスを適切に制限しないため、任意のファイルに書き込まれる脆弱性が存在します。
影響を受ける製品	Pixabay Pixabay Images 2.4 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	WordPress 用 Pixabay Images プラグインの pixabay-images.php における任意のファイルに書き込まれる脆弱性(JVNDB-2015-001259) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001259.html Vulnerability Summary for CVE-2015-1375 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1375

(9)Two Pilots Exif Pilot の Customize 35mm タブにおけるバッファオーバーフローの脆弱性(CVE-2015-1362)

ベンダ情報	Two Pilots : Editing, Creating, and Viewing EXIF, IPTC, and XMP Data with Free Exif Pilot Editor http://www.colorpilot.com/exif.html
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Two Pilots Exif Pilot の Customize 35mm タブには、バッファオーバーフローの脆弱性が存在します。
影響を受ける製品	Two Pilots Exif Pilot 4.7.2
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Two Pilots Exif Pilot の Customize 35mm タブにおけるバッファオーバーフローの脆弱性(JVNDB-2015-001257) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001257.html Vulnerability Summary for CVE-2015-1362 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1362

(10)Node.js 用 Sequelize における SQL インジェクションの脆弱性(CVE-2015-1369)

ベンダ情報	GitHub : Add order keywords whitelist #2919 https://github.com/sequelize/sequelize/pull/2919
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Node.js 用 Sequelize には、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	sequelize project sequelize 2.0.0-rc7 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Node.js 用 Sequelize における SQL インジェクションの脆弱性(JVNDB-2015-001255) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001255.html Vulnerability Summary for CVE-2015-1369 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1369

(11)PHP の ext/standard/var_unserializer.re の process_nested_data 関数における任意のコードを実行される脆弱性(CVE-2015-0231)

ベンダ情報	GitHub : Fix for bug #68710 (Use After Free Vulnerability in PHP's unserialize()) https://github.com/php/php-src/commit/b585a3aed7880a5fa5c18e2b838fc96f40e075bd PHP Bugs : Sec Bug #68710 https://bugs.php.net/bug.php?id=68710 PHP Group : PHP 5 ChangeLog http://php.net/ChangeLog-5.php Red Hat Bugzilla : Bug 1185397 https://bugzilla.redhat.com/show_bug.cgi?id=1185397
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	PHP の ext/standard/var_unserializer.re の process_nested_data 関数には、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。本脆弱性は、CVE-2014-8142 に対する修正が不十分だったことによる脆弱性です。補足情報 : CWE による脆弱性タイプは、CWE-416: Use-after-free (解放済みメモリの使用) と識別されています。 http://cwe.mitre.org/data/definitions/416.html
影響を受ける製品	The PHP Group PHP 5.4.37 未満 PHP 5.5.21 未満の 5.5.x PHP 5.6.5 未満の 5.6.x
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	PHP の ext/standard/var_unserializer.re の process_nested_data 関数における任意のコードを実行される脆弱性(JVNDB-2015-001252) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001252.html Vulnerability Summary for CVE-2015-0231 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0231

(12)PolarSSL の library/asn1parse.c の asn1_get_sequence_of 関数におけるサービス運用妨害 (DoS) の脆弱性(CVE-2015-1182)

ベンダ情報	PolarSSL : PolarSSL Security Advisory 2014-04 https://polarssl.org/tech-updates/security-advisories/polarssl-security-advisory-2014-04
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	PolarSSL の library/asn1parse.c の asn1_get_sequence_of 関数は、asn1_sequence にリンクしたリストのポインタを適切に初期化しないため、サービス運用妨害 (クラッシュ) 状態にされる、または任意のコードを実行される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-824: Access of Uninitialized Pointer (初期化されていないポインタのアクセス) と識別されています。 http://cwe.mitre.org/data/definitions/824.html
影響を受ける製品	Offspark PolarSSL 1.0 から 1.2.12 PolarSSL 1.3.9 までの 1.3.x
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	PolarSSL の library/asn1parse.c の asn1_get_sequence_of 関数におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2015-001250) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001250.html Vulnerability Summary for CVE-2015-1182 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1182

(13)ferretCMS における SQL インジェクションの脆弱性(CVE-2015-1372)

ベンダ情報	GitHub : Multiple stored/reflecting XSS- and SQL Injection-vulnerabilities, unrestricted file-upload in ferretCMS v. 1.0.4-alpha #63 https://github.com/JRogaishio/ferretCMS/issues/63
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	ferretCMS には、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	ferretCMS project ferretCMS 1.0.4-alpha
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	ferretCMS における SQL インジェクションの脆弱性(JVNDB-2015-001247) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001247.html Vulnerability Summary for CVE-2015-1372 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1372

(14)ferretCMS における任意のコードを実行される脆弱性(CVE-2015-1371)

ベンダ情報	GitHub : Multiple stored/reflecting XSS- and SQL Injection-vulnerabilities, unrestricted file-upload in ferretCMS v. 1.0.4-alpha #63 https://github.com/JRogaishio/ferretCMS/issues/63
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	ferretCMS には、ファイルをアップロードされることにより、任意のコードを実行される脆弱性が存在します。
影響を受ける製品	ferretCMS project ferretCMS 1.0.4-alpha
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	ferretCMS における任意のコードを実行される脆弱性(JVNDB-2015-001246) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001246.html Vulnerability Summary for CVE-2015-1371 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1371

(15)CatBot の index.php における SQL インジェクションの脆弱性(CVE-2015-1367)

ベンダ情報	SourceForge : CatBot -- A PHP-based chatterbot http://sourceforge.net/projects/catbot/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	CatBot の index.php には、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	CatBot project CatBot 0.4.2
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	CatBot の index.php における SQL インジェクションの脆弱性(JVNDB-2015-001244) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001244.html Vulnerability Summary for CVE-2015-1367 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1367

(16)Google Chrome で使用される Skia におけるサービス運用妨害 (DoS) の脆弱性(CVE-2015-1360)

ベンダ情報	Chromium Code Reviews : Issue 636233008 https://codereview.chromium.org/636233008 Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-update.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Google Code : Issue 416289 https://code.google.com/p/chromium/issues/detail?id=416289 Google Code : Issue 449894 https://code.google.com/p/chromium/issues/detail?id=449894
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Google Chrome で使用される Skia には、gpu/GrBitmapTextContext.cpp および gpu/GrDistanceFieldTextContext.cpp に関する処理に不備があるため、サービス運用妨害 (バッファオーバーリード) 状態にされるなど、不特定の影響を受ける可能性があります。本脆弱性は、CVE-2015-1205 とは異なる脆弱性です。
影響を受ける製品	Google Google Chrome 40.0.2214.91 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Google Chrome で使用される Skia におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2015-001240) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001240.html Vulnerability Summary for CVE-2015-1360 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1360

(17)SAP ERP の Dealer Portal における重要な情報を取得される脆弱性(CVE-2015-1312)

ベンダ情報	Acknowledgments to Security Researchers : SAP Security Note 2000401 http://scn.sap.com/docs/DOC-55451 SAP : エンタープライズリソースプランニング（ERP） http://www.sap.com/japan/pc/bp/erp.html
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	SAP ERP の Dealer Portal は、アクセスを適切に制限しないため、重要な情報を取得される、権限を取得されるなど、不特定の影響を受ける脆弱性が存在します。ベンダは、本脆弱性を SAP Note 2000401 として公開しています。
影響を受ける製品	SAP SAP ERP HASH(0x99d9630)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	SAP ERP の Dealer Portal における重要な情報を取得される脆弱性(JVNDB-2015-001230) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001230.html Vulnerability Summary for CVE-2015-1312 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1312

(18)SAP HANA Extended Application Services における任意の ABAP コードを挿入される脆弱性(CVE-2015-1311)

ベンダ情報	Acknowledgments to Security Researchers : SAP Security Note 2098906 http://scn.sap.com/docs/DOC-55451 SAP : Introducing...SAP HANA Extended Application Services (XS) http://scn.sap.com/docs/DOC-60322
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	SAP HANA Extended Application Services (XS) には、任意の ABAP コードを挿入される脆弱性が存在します。ベンダは、本脆弱性を SAP Note 2098906 として公開しています。
影響を受ける製品	SAP SAP HANA Extended Application Services HASH(0x9a83218)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	SAP HANA Extended Application Services における任意の ABAP コードを挿入される脆弱性(JVNDB-2015-001229) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001229.html Vulnerability Summary for CVE-2015-1311 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1311

(19)SAP Adaptive Server Enterprise における SQL インジェクションの脆弱性(CVE-2015-1310)

ベンダ情報	Acknowledgments to Security Researchers : SAP Security Note 2113333 http://scn.sap.com/docs/DOC-55451 SAP : SAP Sybase Adaptive Server Enterprise http://www.sap.com/japan/pc/tech/database/software/adaptive-server-enterprise/index.html
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	SAP Adaptive Server Enterprise (Sybase ASE) には、SQL インジェクションの脆弱性が存在します。ベンダは、本脆弱性を SAP Note 2113333 として公開しています。
影響を受ける製品	サイベース SAP Sybase Adaptive Server Enterprise HASH(0x99d6d68)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	SAP Adaptive Server Enterprise における SQL インジェクションの脆弱性(JVNDB-2015-001228) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001228.html Vulnerability Summary for CVE-2015-1310 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1310

(20)Adobe Flash Player における ASLR 保護メカニズムを回避される脆弱性(CVE-2015-0310)

ベンダ情報	Adobe Security Bulletin : APSB15-02 http://helpx.adobe.com/security/products/flash-player/apsb15-02.html Adobe セキュリティ情報 : APSB15-02 http://helpx.adobe.com/jp/security/products/flash-player/apsb15-02.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Google : Chrome Releases http://googlechromereleases.blogspot.jp/ Google : Google Chrome を更新する https://support.google.com/chrome/answer/95414?hl=ja Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer (2755801) https://technet.microsoft.com/en-us/library/security/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2755801) https://technet.microsoft.com/ja-jp/library/security/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20150126f.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Flash Player は、メモリアドレスの検出を適切に制限しないため、Windows 上で ASLR 保護メカニズムを回避される、およびその他のプラットフォーム上で不特定の影響を受ける脆弱性が存在します。本脆弱性への攻撃が 2015 年 1 月に観測されています。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Windows 8/Windows Server 2012/Windows RT) Microsoft Internet Explorer 11 (Windows 8.1/Windows Server 2012 R2/Windows RT 8.1) アドビシステムズ Adobe Flash Player 11.2.202.438 未満 (Linux) Adobe Flash Player 16.0.0.287 未満 (Internet Explorer 10/11) Adobe Flash Player 16.0.0.287 未満 (Windows/Machintosh 版の ChromeOS) Adobe Flash Player 16.0.0.291 未満 (Linux 版の ChromeOS) Adobe Flash Player デスクトップランタイム 16.0.0.287 未満 (Windows/Macintosh) Adobe Flash Player 継続サポートリリース 13.0.0.262 未満 (Windows/Macintosh) Google Google Chrome HASH(0x9a19b80)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player における ASLR 保護メカニズムを回避される脆弱性(JVNDB-2015-001220) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001220.html Vulnerability Summary for CVE-2015-0310 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0310

(21)Google Chrome で使用される Google V8 におけるサービス運用妨害 (DoS) の脆弱性(CVE-2015-1346)

ベンダ情報	Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-update.html
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Google Chrome で使用される Google V8 には、サービス運用妨害 (DoS) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。
影響を受ける製品	Google Google Chrome 40.0.2214.91 未満 V8 JavaScript Engine 3.30.33.15 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Google Chrome で使用される Google V8 におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2015-001215) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001215.html Vulnerability Summary for CVE-2015-1346 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1346

(22)Google Chrome におけるサービス運用妨害 (DoS) の脆弱性(CVE-2015-1205)

ベンダ情報	Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-update.html Google Code : Issue 449894 https://code.google.com/p/chromium/issues/detail?id=449894
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Google Chrome には、サービス運用妨害 (DoS) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。
影響を受ける製品	Google Google Chrome 40.0.2214.91 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Google Chrome におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2015-001214) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001214.html Vulnerability Summary for CVE-2015-1205 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1205

(23)ADB P.DGA4001N ルータのファームウェアにおける重要な情報を取得される脆弱性(CVE-2015-0554)

ベンダ情報	ADB SA : Top Page http://broadband.adbglobal.com/
CVSS による深刻度	9.4 (危険) [ NVD値 ]
概要	ADB (旧 Pirelli Broadband Solutions) P.DGA4001N ルータのファームウェアは、Web インターフェースへのアクセスを適切に制限しないため、重要な情報を取得される、またはサービス運用妨害 (デバイスの再起動) 状態にされる脆弱性が存在します。
影響を受ける製品	ADB SA P.DGA4001N HASH(0x9a74248) P.DGA4001N ファームウェア PDG_TEF_SP_4.06L.6
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	ADB P.DGA4001N ルータのファームウェアにおける重要な情報を取得される脆弱性(JVNDB-2015-001212) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001212.html Vulnerability Summary for CVE-2015-0554 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0554

(24)Windows 向け iPass Open Mobile クライアントに任意のコード実行の脆弱性(CVE-2015-0925)

ベンダ情報	iPass Inc. : iPass Open Mobile http://www.ipass.com/enterprise-mobility/
CVSS による深刻度	8.5 (危険) [ NVD値 ]
概要	Windows 向け iPass Open Mobile クライアントには、任意のコードが実行可能な脆弱性が存在します。コードインジェクション (CWE-94) Windows 向け iPass Open Mobile クライアント (バージョン2.4.4 およびそれ以前) は、名前付きパイプを使ってプロセス間通信を行っています。また、クライアントが作成するサブプロセスの1つは SYSTEM 権限で動作します。認証されたユーザは、細工された Unicode 文字列を送ることで、任意の DLL ファイル (UNC パス上のものを含む) を登録することが可能です。その場合、指定された DLL ファイル中の　DllMain　関数が SYSTEM 権限で実行されます。 CWE-94: Improper Control of Generation of Code ('Code Injection') http://cwe.mitre.org/data/definitions/94.html
影響を受ける製品	iPass Inc. iPass Open Mobile Windows Client version 2.4.4 およびそれ以前
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。本脆弱性は version 2.4.5 で修正されています。
参考情報	Windows 向け iPass Open Mobile クライアントに任意のコード実行の脆弱性(JVNDB-2015-001195) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001195.html Vulnerability Summary for CVE-2015-0925 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0925

(25)Oracle Sun Systems Products Suite の Integrated Lights Out Manager (ILOM) における IPMI に関する脆弱性(CVE-2015-0424)

ベンダ情報	Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Oracle Sun Systems Products Suite の Integrated Lights Out Manager (ILOM) には、IPMI に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	オラクル Integrated Lights Out Manager ファームウェア 3.2.4 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Sun Systems Products Suite の Integrated Lights Out Manager (ILOM) における IPMI に関する脆弱性(JVNDB-2015-001202) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001202.html Vulnerability Summary for CVE-2015-0424 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0424

(26)Oracle Java SE における Hotspot に関する脆弱性(CVE-2015-0437)

ベンダ情報	Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update 富士通セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ http://www.fmworld.net/biz/common/oracle/20150122.html
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Oracle Java SE には、Hotspot に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	オラクル JDK 8 Update 25 およびそれ以前 JRE 8 Update 25 およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Java SE における Hotspot に関する脆弱性(JVNDB-2015-001097) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001097.html Vulnerability Summary for CVE-2015-0437 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0437

(27)Oracle Java SE における JAX-WS に関する脆弱性(CVE-2015-0412)

ベンダ情報	Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update 富士通セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ http://www.fmworld.net/biz/common/oracle/20150122.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Oracle Java SE には、JAX-WS に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	サン・マイクロシステムズ JDK 6 Update 21 およびそれ以前 JRE 6 Update 21 およびそれ以前オラクル JDK 6 Update 85 およびそれ以前 JDK 7 Update 72 およびそれ以前 JDK 8 Update 25 およびそれ以前 JRE 6 Update 85 およびそれ以前 JRE 7 Update 72 およびそれ以前 JRE 8 Update 25 およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Java SE における JAX-WS に関する脆弱性(JVNDB-2015-001094) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001094.html Vulnerability Summary for CVE-2015-0412 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0412

(28)Oracle Java SE における RMI に関する脆弱性(CVE-2015-0408)

ベンダ情報	Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update 富士通セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ http://www.fmworld.net/biz/common/oracle/20150122.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Oracle Java SE には、RMI に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	サン・マイクロシステムズ JDK 5.0 Update 33 およびそれ以前 JDK 6 Update 21 およびそれ以前 JRE 5.0 Update 33 およびそれ以前 JRE 6 Update 21 およびそれ以前オラクル JDK 5.0 Update 75 およびそれ以前 JDK 6 Update 85 およびそれ以前 JDK 7 Update 72 およびそれ以前 JDK 8 Update 25 およびそれ以前 JRE 5.0 Update 75 およびそれ以前 JRE 6 Update 85 およびそれ以前 JRE 7 Update 72 およびそれ以前 JRE 8 Update 25 およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Java SE における RMI に関する脆弱性(JVNDB-2015-001092) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001092.html Vulnerability Summary for CVE-2015-0408 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0408

(29)Oracle Java SE における Hotspot に関する脆弱性(CVE-2015-0395)

ベンダ情報	Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update 富士通セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ http://www.fmworld.net/biz/common/oracle/20150122.html
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Oracle Java SE には、Hotspot に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	サン・マイクロシステムズ JDK 5.0 Update 33 およびそれ以前 JDK 6 Update 21 およびそれ以前 JRE 5.0 Update 33 およびそれ以前 JRE 6 Update 21 およびそれ以前オラクル JDK 5.0 Update 75 およびそれ以前 JDK 6 Update 85 およびそれ以前 JDK 7 Update 72 およびそれ以前 JDK 8 Update 25 およびそれ以前 JRE 5.0 Update 75 およびそれ以前 JRE 6 Update 85 およびそれ以前 JRE 7 Update 72 およびそれ以前 JRE 8 Update 25 およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Java SE における Hotspot に関する脆弱性(JVNDB-2015-001087) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001087.html Vulnerability Summary for CVE-2015-0395 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0395

(30)Oracle Java SE における Hotspot に関する脆弱性(CVE-2014-6601)

ベンダ情報	Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update 富士通セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ http://www.fmworld.net/biz/common/oracle/20150122.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Oracle Java SE には、Hotspot に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	サン・マイクロシステムズ JDK 6 Update 21 およびそれ以前 JRE 6 Update 21 およびそれ以前オラクル JDK 6 Update 85 およびそれ以前 JDK 7 Update 72 およびそれ以前 JDK 8 Update 25 およびそれ以前 JRE 6 Update 85 およびそれ以前 JRE 7 Update 72 およびそれ以前 JRE 8 Update 25 およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Java SE における Hotspot に関する脆弱性(JVNDB-2015-001085) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001085.html Vulnerability Summary for CVE-2014-6601 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6601

(31)Oracle Java SE における Libraries に関する脆弱性(CVE-2014-6549)

ベンダ情報	Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update 富士通セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ http://www.fmworld.net/biz/common/oracle/20150122.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Oracle Java SE には、Libraries に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	オラクル JDK 8 Update 25 およびそれ以前 JRE 8 Update 25 およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Java SE における Libraries に関する脆弱性(JVNDB-2015-001080) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001080.html Vulnerability Summary for CVE-2014-6549 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6549

(32)libpng の pngrutil.c 内の png_read_IDAT_data 関数におけるバッファオーバーフローの脆弱性(CVE-2015-0973)

ベンダ情報	libpng : Top Page http://www.libpng.org/pub/png/libpng.html SourceForge : [png-mng-announce] libpng-1.5.21 and 1.6.16 are available http://sourceforge.net/p/png-mng/mailman/message/33173461/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	libpng の pngrutil.c 内の png_read_IDAT_data 関数には、バッファオーバーフローの脆弱性が存在します。本脆弱性は、CVE-2014-9495 とは異なる脆弱性です。
影響を受ける製品	PNG Development Group libpng 1.5.21 未満 libpng 1.6.16 未満の 1.6.x
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	libpng の pngrutil.c 内の png_read_IDAT_data 関数におけるバッファオーバーフローの脆弱性(JVNDB-2015-001198) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001198.html Vulnerability Summary for CVE-2015-0973 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0973

(33)shiromuku(bu2)BBS における任意のファイルを作成される脆弱性(CVE-2015-0868)

ベンダ情報	Perl CGI's By Mrs.Shiromuku : shiromuku(bu2)BBSをご利用の方へバージョンアップのお願い http://www.t-okada.com/cgi-bin/sb2_data/sb2_data_news.cgi?action=data_list&cat=16#495
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Perl CGI's By Mrs.Shiromuku が提供する shiromuku(bu2)BBS は、掲示板ソフトウェアです。shiromuku(bu2)BBS には、任意のファイルを作成される脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 馬場将次氏
影響を受ける製品	Perl CGI's By Mrs.Shiromuku shiromuku(bu2)BBS version2.90 およびそれ以前
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
参考情報	shiromuku(bu2)BBS における任意のファイルを作成される脆弱性(JVNDB-2015-000008) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000008.html Vulnerability Summary for CVE-2015-0868 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0868

(34)Oracle Communications Applications の Oracle Communications Diameter Signaling Router における Signaling - DPI に関する脆弱性(CVE-2014-6598)

ベンダ情報	Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update
CVSS による深刻度	7.6 (危険) [ NVD値 ]
概要	Oracle Communications Applications の Oracle Communications Diameter Signaling Router には、Signaling - DPI に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	オラクル Oracle Communications Applications の Oracle Communications Diameter Signaling Router 3.x Oracle Communications Applications の Oracle Communications Diameter Signaling Router 4.x Oracle Communications Applications の Oracle Communications Diameter Signaling Router 5.0
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Communications Applications の Oracle Communications Diameter Signaling Router における Signaling - DPI に関する脆弱性(JVNDB-2015-001179) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001179.html Vulnerability Summary for CVE-2014-6598 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6598

(35)Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Portal SEC に関する脆弱性(CVE-2014-6565)

ベンダ情報	Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools には、Portal SEC に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	オラクル JD Edwards EnterpriseOne Tools 9.1.5
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Portal SEC に関する脆弱性(JVNDB-2015-001170) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001170.html Vulnerability Summary for CVE-2014-6565 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6565

(36)Oracle Fusion Middleware の Oracle GlassFish Server における Admin Console に関する脆弱性(CVE-2015-0396)

ベンダ情報	Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Oracle Fusion Middleware の Oracle GlassFish Server には、Admin Console に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	オラクル Oracle GlassFish Server 3.0.1 Oracle GlassFish Server 3.1.2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Fusion Middleware の Oracle GlassFish Server における Admin Console に関する脆弱性(JVNDB-2015-001155) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001155.html Vulnerability Summary for CVE-2015-0396 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0396

(37)Oracle Sun Solaris Cluster における System management に関する脆弱性(CVE-2014-4259)

ベンダ情報	Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update
CVSS による深刻度	9 (危険) [ NVD値 ]
概要	Oracle Sun Solaris Cluster には、System management に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	オラクル Oracle Solaris Cluster 3.3 Oracle Solaris Cluster 4.1
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Sun Solaris Cluster における System management に関する脆弱性(JVNDB-2015-001133) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001133.html Vulnerability Summary for CVE-2014-4259 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4259

(38)Oracle Sun Solaris における Power Management Utility に関する脆弱性(CVE-2014-6510)

ベンダ情報	Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	Oracle Sun Solaris には、Power Management Utility に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	オラクル Oracle Solaris 11
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Sun Solaris における Power Management Utility に関する脆弱性(JVNDB-2015-001129) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001129.html Vulnerability Summary for CVE-2014-6510 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6510

(39)Oracle Sun Solaris における CDE - Power Management Utility に関する脆弱性(CVE-2014-6521)

ベンダ情報	Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	Oracle Sun Solaris には、CDE - Power Management Utility に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	オラクル Oracle Solaris 10
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Sun Solaris における CDE - Power Management Utility に関する脆弱性(JVNDB-2015-001127) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001127.html Vulnerability Summary for CVE-2014-6521 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6521

(40)Oracle Sun Solaris における Kernel に関する脆弱性(CVE-2014-6524)

ベンダ情報	Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	Oracle Sun Solaris には、Kernel に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	オラクル Oracle Solaris 10
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Sun Solaris における Kernel に関する脆弱性(JVNDB-2015-001126) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001126.html Vulnerability Summary for CVE-2014-6524 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6524

(41)Oracle Database Server の Core RDBMS における脆弱性(CVE-2014-6567)

ベンダ情報	Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update
CVSS による深刻度	9 (危険) [ NVD値 ]
概要	Oracle Database Server の Core RDBMS には、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	オラクル Oracle Database 11.1.0.7 Oracle Database 11.2.0.3 Oracle Database 11.2.0.4 Oracle Database 12.1.0.1 Oracle Database 12.1.0.2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Database Server の Core RDBMS における脆弱性(JVNDB-2015-001074) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001074.html Vulnerability Summary for CVE-2014-6567 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6567

(42)Oracle MySQL の MySQL Server における Server : Security : Encryption に関する脆弱性(CVE-2015-0411)

ベンダ情報	Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html SECURITY BLOG : January 2015 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2015_critical_patch_update
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Oracle MySQL の MySQL Server には、Server : Security : Encryption に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	MySQL AB MySQL 5.5.9 およびそれ以前オラクル MySQL 5.5.40 およびそれ以前 MySQL 5.6.21 およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle MySQL の MySQL Server における Server : Security : Encryption に関する脆弱性(JVNDB-2015-001064) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001064.html Vulnerability Summary for CVE-2015-0411 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0411

(43)Ceragon FibeAir IP-10 に root パスワードがハードコードされている問題(CVE-2015-0924)

ベンダ情報	Ceragon Ltd. : FibeAirR IP-10C http://www.ceragon.com/products-ceragon/packet-hybrid-microwave/fibeair-ip-10c
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Ceragon が提供する FibeAir IP-10 には、マニュアルに記載されていない root アカウントのパスワードがハードコードされている問題 (CWE-259) が存在するため、ssh、telnet、コマンドラインインターフェイスまたは HTTP 経由でアクセスされる可能性があります。 CWE-259: Use of Hard-coded Password http://cwe.mitre.org/data/definitions/259.html
影響を受ける製品	Ceragon Ltd. FibeAir IP-10 HASH(0x99d6c08)
対策	2015年1月19日現在、対策方法は不明です。当該製品のユーザは、Ceragon に連絡し、修正を依頼してください。VU#936356 の公表までに、CERT/CC は Ceragon とコンタクトできていません。
参考情報	Ceragon FibeAir IP-10 に root パスワードがハードコードされている問題(JVNDB-2015-001054) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001054.html Vulnerability Summary for CVE-2015-0924 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0924

(44)WordPress 用 Photo Gallery プラグインにおける SQL インジェクションの脆弱性(CVE-2015-1055)

ベンダ情報	Web Dorado : WordPress Photo Gallery Plugin http://web-dorado.com/products/wordpress-photo-gallery-plugin.html WordPress Plugin Directory : Photo Gallery https://wordpress.org/plugins/photo-gallery/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	WordPress 用 Photo Gallery プラグインには、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Web Dorado Photo Gallery 1.2.7
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	WordPress 用 Photo Gallery プラグインにおける SQL インジェクションの脆弱性(JVNDB-2015-001055) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001055.html Vulnerability Summary for CVE-2015-1055 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1055

(45)Adobe Flash Player および Adobe AIR におけるヒープベースのバッファオーバーフローの脆弱性(CVE-2015-0309)

ベンダ情報	Adobe Security Bulletin : APSB15-01 http://helpx.adobe.com/security/products/flash-player/apsb15-01.html Adobe セキュリティ情報 : APSB15-01 http://helpx.adobe.com/jp/security/products/flash-player/apsb15-01.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer (2755801) https://technet.microsoft.com/en-us/library/security/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2755801) https://technet.microsoft.com/ja-jp/library/security/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20150115f.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Flash Player および Adobe AIR には、ヒープベースのバッファオーバーフローの脆弱性が存在します。本脆弱性は、CVE-2015-0304 とは異なる脆弱性です。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Windows 8/Windows Server 2012/Windows RT) Microsoft Internet Explorer 11 (Windows 8.1/Windows Server 2012 R2/Windows RT 8.1) アドビシステムズ Adobe AIR 16.0.0.272 未満 (Android) Adobe AIR デスクトップランタイム 16.0.0.245 未満 (Windows/Macintosh) Adobe AIR SDK & Compiler 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe AIR SDK 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe Flash Player 11.2.202.429 未満 (Linux) Adobe Flash Player 16.0.0.257 未満 (Internet Explorer 10/11) Adobe Flash Player 16.0.0.257 未満 (Windows/Machintosh/Linux 版の Chrome) Adobe Flash Player デスクトップランタイム 16.0.0.257 未満 (Windows/Macintosh) Adobe Flash Player 継続サポートリリース 13.0.0.260 未満 (Windows/Macintosh) Google Google Chrome 39.0.2171.99 未満 (Windows/Machintosh/Linux)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player および Adobe AIR におけるヒープベースのバッファオーバーフローの脆弱性(JVNDB-2015-001029) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001029.html Vulnerability Summary for CVE-2015-0309 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0309

(46)Adobe Flash Player および Adobe AIR における任意のコードを実行される脆弱性(CVE-2015-0308)

ベンダ情報	Adobe Security Bulletin : APSB15-01 http://helpx.adobe.com/security/products/flash-player/apsb15-01.html Adobe セキュリティ情報 : APSB15-01 http://helpx.adobe.com/jp/security/products/flash-player/apsb15-01.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update.html Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer (2755801) https://technet.microsoft.com/en-us/library/security/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2755801) https://technet.microsoft.com/ja-jp/library/security/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20150115f.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Flash Player および Adobe AIR には、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-416: Use-after-free (解放済みメモリの使用) と識別されています。 http://cwe.mitre.org/data/definitions/416.html
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Windows 8/Windows Server 2012/Windows RT) Microsoft Internet Explorer 11 (Windows 8.1/Windows Server 2012 R2/Windows RT 8.1) アドビシステムズ Adobe AIR 16.0.0.272 未満 (Android) Adobe AIR デスクトップランタイム 16.0.0.245 未満 (Windows/Macintosh) Adobe AIR SDK & Compiler 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe AIR SDK 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe Flash Player 11.2.202.429 未満 (Linux) Adobe Flash Player 16.0.0.257 未満 (Internet Explorer 10/11) Adobe Flash Player 16.0.0.257 未満 (Windows/Machintosh/Linux 版の Chrome) Adobe Flash Player デスクトップランタイム 16.0.0.257 未満 (Windows/Macintosh) Adobe Flash Player 継続サポートリリース 13.0.0.260 未満 (Windows/Macintosh) Google Google Chrome 39.0.2171.99 未満 (Windows/Machintosh/Linux)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player および Adobe AIR における任意のコードを実行される脆弱性(JVNDB-2015-001028) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001028.html Vulnerability Summary for CVE-2015-0308 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0308

(47)Adobe Flash Player および Adobe AIR におけるプロセスメモリから重要な情報を取得される脆弱性(CVE-2015-0307)

ベンダ情報	Adobe Security Bulletin : APSB15-01 http://helpx.adobe.com/security/products/flash-player/apsb15-01.html Adobe セキュリティ情報 : APSB15-01 http://helpx.adobe.com/jp/security/products/flash-player/apsb15-01.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer (2755801) https://technet.microsoft.com/en-us/library/security/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2755801) https://technet.microsoft.com/ja-jp/library/security/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20150115f.html
CVSS による深刻度	8.5 (危険) [ NVD値 ]
概要	Adobe Flash Player および Adobe AIR には、プロセスメモリから重要な情報を取得される、またはサービス運用妨害 (out-of-bounds read) 状態にされる脆弱性が存在します。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Windows 8/Windows Server 2012/Windows RT) Microsoft Internet Explorer 11 (Windows 8.1/Windows Server 2012 R2/Windows RT 8.1) アドビシステムズ Adobe AIR 16.0.0.272 未満 (Android) Adobe AIR デスクトップランタイム 16.0.0.245 未満 (Windows/Macintosh) Adobe AIR SDK & Compiler 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe AIR SDK 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe Flash Player 11.2.202.429 未満 (Linux) Adobe Flash Player 16.0.0.257 未満 (Internet Explorer 10/11) Adobe Flash Player 16.0.0.257 未満 (Windows/Machintosh/Linux 版の Chrome) Adobe Flash Player デスクトップランタイム 16.0.0.257 未満 (Windows/Macintosh) Adobe Flash Player 継続サポートリリース 13.0.0.260 未満 (Windows/Macintosh) Google Google Chrome 39.0.2171.99 未満 (Windows/Machintosh/Linux)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player および Adobe AIR におけるプロセスメモリから重要な情報を取得される脆弱性(JVNDB-2015-001027) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001027.html Vulnerability Summary for CVE-2015-0307 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0307

(48)Adobe Flash Player および Adobe AIR における任意のコードを実行される脆弱性(CVE-2015-0306)

ベンダ情報	Adobe Security Bulletin : APSB15-01 http://helpx.adobe.com/security/products/flash-player/apsb15-01.html Adobe セキュリティ情報 : APSB15-01 http://helpx.adobe.com/jp/security/products/flash-player/apsb15-01.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer (2755801) https://technet.microsoft.com/en-us/library/security/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2755801) https://technet.microsoft.com/ja-jp/library/security/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20150115f.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Flash Player および Adobe AIR には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。本脆弱性は、CVE-2015-0303 とは異なる脆弱性です。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Windows 8/Windows Server 2012/Windows RT) Microsoft Internet Explorer 11 (Windows 8.1/Windows Server 2012 R2/Windows RT 8.1) アドビシステムズ Adobe AIR 16.0.0.272 未満 (Android) Adobe AIR デスクトップランタイム 16.0.0.245 未満 (Windows/Macintosh) Adobe AIR SDK & Compiler 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe AIR SDK 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe Flash Player 11.2.202.429 未満 (Linux) Adobe Flash Player 16.0.0.257 未満 (Internet Explorer 10/11) Adobe Flash Player 16.0.0.257 未満 (Windows/Machintosh/Linux 版の Chrome) Adobe Flash Player デスクトップランタイム 16.0.0.257 未満 (Windows/Macintosh) Adobe Flash Player 継続サポートリリース 13.0.0.260 未満 (Windows/Macintosh) Google Google Chrome 39.0.2171.99 未満 (Windows/Machintosh/Linux)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player および Adobe AIR における任意のコードを実行される脆弱性(JVNDB-2015-001026) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001026.html Vulnerability Summary for CVE-2015-0306 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0306

(49)Adobe Flash Player および Adobe AIR における任意のコードを実行される脆弱性(CVE-2015-0305)

ベンダ情報	Adobe Security Bulletin : APSB15-01 http://helpx.adobe.com/security/products/flash-player/apsb15-01.html Adobe セキュリティ情報 : APSB15-01 http://helpx.adobe.com/jp/security/products/flash-player/apsb15-01.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer (2755801) https://technet.microsoft.com/en-us/library/security/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2755801) https://technet.microsoft.com/ja-jp/library/security/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20150115f.html
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Adobe Flash Player および Adobe AIR には、任意のコードを実行される脆弱性が存在します。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Windows 8/Windows Server 2012/Windows RT) Microsoft Internet Explorer 11 (Windows 8.1/Windows Server 2012 R2/Windows RT 8.1) アドビシステムズ Adobe AIR 16.0.0.272 未満 (Android) Adobe AIR デスクトップランタイム 16.0.0.245 未満 (Windows/Macintosh) Adobe AIR SDK & Compiler 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe AIR SDK 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe Flash Player 11.2.202.429 未満 (Linux) Adobe Flash Player 16.0.0.257 未満 (Internet Explorer 10/11) Adobe Flash Player 16.0.0.257 未満 (Windows/Machintosh/Linux 版の Chrome) Adobe Flash Player デスクトップランタイム 16.0.0.257 未満 (Windows/Macintosh) Adobe Flash Player 継続サポートリリース 13.0.0.260 未満 (Windows/Macintosh) Google Google Chrome 39.0.2171.99 未満 (Windows/Machintosh/Linux)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player および Adobe AIR における任意のコードを実行される脆弱性(JVNDB-2015-001025) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001025.html Vulnerability Summary for CVE-2015-0305 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0305

(50)Adobe Flash Player および Adobe AIR におけるヒープベースのバッファオーバーフローの脆弱性(CVE-2015-0304)

ベンダ情報	Adobe Security Bulletin : APSB15-01 http://helpx.adobe.com/security/products/flash-player/apsb15-01.html Adobe セキュリティ情報 : APSB15-01 http://helpx.adobe.com/jp/security/products/flash-player/apsb15-01.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update.html Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer (2755801) https://technet.microsoft.com/en-us/library/security/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2755801) https://technet.microsoft.com/ja-jp/library/security/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20150115f.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Flash Player および Adobe AIR には、ヒープベースのバッファオーバーフローの脆弱性が存在します。本脆弱性は、CVE-2015-0309 とは異なる脆弱性です。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Windows 8/Windows Server 2012/Windows RT) Microsoft Internet Explorer 11 (Windows 8.1/Windows Server 2012 R2/Windows RT 8.1) アドビシステムズ Adobe AIR 16.0.0.272 未満 (Android) Adobe AIR デスクトップランタイム 16.0.0.245 未満 (Windows/Macintosh) Adobe AIR SDK & Compiler 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe AIR SDK 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe Flash Player 11.2.202.429 未満 (Linux) Adobe Flash Player 16.0.0.257 未満 (Internet Explorer 10/11) Adobe Flash Player 16.0.0.257 未満 (Windows/Machintosh/Linux 版の Chrome) Adobe Flash Player デスクトップランタイム 16.0.0.257 未満 (Windows/Macintosh) Adobe Flash Player 継続サポートリリース 13.0.0.260 未満 (Windows/Macintosh) Google Google Chrome 39.0.2171.99 未満 (Windows/Machintosh/Linux)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player および Adobe AIR におけるヒープベースのバッファオーバーフローの脆弱性(JVNDB-2015-001024) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001024.html Vulnerability Summary for CVE-2015-0304 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0304

(51)Adobe Flash Player および Adobe AIR における任意のコードを実行される脆弱性(CVE-2015-0303)

ベンダ情報	Adobe Security Bulletin : APSB15-01 http://helpx.adobe.com/security/products/flash-player/apsb15-01.html Adobe セキュリティ情報 : APSB15-01 http://helpx.adobe.com/jp/security/products/flash-player/apsb15-01.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update.html Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer (2755801) https://technet.microsoft.com/en-us/library/security/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2755801) https://technet.microsoft.com/ja-jp/library/security/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20150115f.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Flash Player および Adobe AIR には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。本脆弱性は、CVE-2015-0306 は異なる脆弱性です。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Windows 8/Windows Server 2012/Windows RT) Microsoft Internet Explorer 11 (Windows 8.1/Windows Server 2012 R2/Windows RT 8.1) アドビシステムズ Adobe AIR 16.0.0.272 未満 (Android) Adobe AIR デスクトップランタイム 16.0.0.245 未満 (Windows/Macintosh) Adobe AIR SDK & Compiler 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe AIR SDK 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe Flash Player 11.2.202.429 未満 (Linux) Adobe Flash Player 16.0.0.257 未満 (Internet Explorer 10/11) Adobe Flash Player 16.0.0.257 未満 (Windows/Machintosh/Linux 版の Chrome) Adobe Flash Player デスクトップランタイム 16.0.0.257 未満 (Windows/Macintosh) Adobe Flash Player 継続サポートリリース 13.0.0.260 未満 (Windows/Macintosh) Google Google Chrome 39.0.2171.99 未満 (Windows/Machintosh/Linux)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player および Adobe AIR における任意のコードを実行される脆弱性(JVNDB-2015-001023) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001023.html Vulnerability Summary for CVE-2015-0303 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0303

(52)Adobe Flash Player および Adobe AIR における脆弱性(CVE-2015-0301)

ベンダ情報	Adobe Security Bulletin : APSB15-01 http://helpx.adobe.com/security/products/flash-player/apsb15-01.html Adobe セキュリティ情報 : APSB15-01 http://helpx.adobe.com/jp/security/products/flash-player/apsb15-01.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer (2755801) https://technet.microsoft.com/en-us/library/security/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2755801) https://technet.microsoft.com/ja-jp/library/security/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20150115f.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Flash Player および Adobe AIR は、ファイルを正しく検証しないため、不特定の影響および攻撃を受ける脆弱性が存在します。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Windows 8/Windows Server 2012/Windows RT) Microsoft Internet Explorer 11 (Windows 8.1/Windows Server 2012 R2/Windows RT 8.1) アドビシステムズ Adobe AIR 16.0.0.272 未満 (Android) Adobe AIR デスクトップランタイム 16.0.0.245 未満 (Windows/Macintosh) Adobe AIR SDK & Compiler 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe AIR SDK 16.0.0.272 未満 (Windows/Macintosh/Android/iOS) Adobe Flash Player 11.2.202.429 未満 (Linux) Adobe Flash Player 16.0.0.257 未満 (Internet Explorer 10/11) Adobe Flash Player 16.0.0.257 未満 (Windows/Machintosh/Linux 版の Chrome) Adobe Flash Player デスクトップランタイム 16.0.0.257 未満 (Windows/Macintosh) Adobe Flash Player 継続サポートリリース 13.0.0.260 未満 (Windows/Macintosh) Google Google Chrome 39.0.2171.99 未満 (Windows/Machintosh/Linux)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player および Adobe AIR における脆弱性(JVNDB-2015-001021) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001021.html Vulnerability Summary for CVE-2015-0301 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0301

(53)SoftBB の redir_last_post_list.php における SQL インジェクションの脆弱性(CVE-2014-9560)

ベンダ情報	Softbb.net : Top Page http://www.softbb.net/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	SoftBB の redir_last_post_list.php には、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Softbb.net SoftBB 0.1.3
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	SoftBB の redir_last_post_list.php における SQL インジェクションの脆弱性(JVNDB-2015-001048) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001048.html Vulnerability Summary for CVE-2014-9560 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9560

(54)複数の Microsoft Windows 製品の TS WebProxy コンポーネントにおけるディレクトリトラバーサルの脆弱性(CVE-2015-0016)

ベンダ情報	Microsoft Security Bulletin : MS15-004 https://technet.microsoft.com/en-us/library/security/ms15-004 マイクロソフトセキュリティ情報 : MS15-004 https://technet.microsoft.com/ja-jp/library/security/ms15-004
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	複数の Microsoft Windows 製品の TS WebProxy (別名 TSWbPrxy) コンポーネントには、ディレクトリトラバーサルの脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「ディレクトリトラバーサルの特権の昇格の脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows 7 SP1 (32 ビットシステム) (Remote Desktop Client 8.0 インストール済み) Microsoft Windows 7 SP1 (32 ビットシステム) (Remote Desktop Client 8.1 インストール済み) Microsoft Windows 7 SP1 (x64 ベースシステム) (Remote Desktop Client 8.0 インストール済み) Microsoft Windows 7 SP1 (x64 ベースシステム) (Remote Desktop Client 8.1 インストール済み) Microsoft Windows 8 for 32-bit Systems Microsoft Windows 8 for x64-based Systems Microsoft Windows 8.1 for 32-bit Systems Microsoft Windows 8.1 for x64-based Systems Microsoft Windows RT HASH(0x9a73f58) Microsoft Windows RT 8.1 HASH(0x99d3920) Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール) Microsoft Windows Server 2008 R2 SP1 (x64 ベースシステム) (Remote Desktop Client 8.0 インストール済み) Microsoft Windows Server 2008 R2 SP1 (x64 ベースシステム) (Remote Desktop Client 8.1 インストール済み) Microsoft Windows Server 2012 (Server Core インストール) Microsoft Windows Server 2012 R2 (Server Core インストール) Microsoft Windows Vista SP2 (Remote Desktop Client 7.0 インストール済み) Microsoft Windows Vista x64 Edition SP2 (Remote Desktop Client 7.0 インストール済み)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	複数の Microsoft Windows 製品の TS WebProxy コンポーネントにおけるディレクトリトラバーサルの脆弱性(JVNDB-2015-001037) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001037.html Vulnerability Summary for CVE-2015-0016 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0016

(55)複数の Microsoft Windows 製品におけるサービス運用妨害 (DoS) の脆弱性(CVE-2015-0015)

ベンダ情報	Microsoft Security Bulletin : MS15-007 https://technet.microsoft.com/en-us/library/security/ms15-007 マイクロソフトセキュリティ情報 : MS15-007 https://technet.microsoft.com/ja-jp/library/security/ms15-007
CVSS による深刻度	7.8 (危険) [ NVD値 ]
概要	複数の Microsoft Windows 製品には、サービス運用妨害 (システムハングおよび RADIUS の停止) 状態にされる脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「ネットワークポリシーサーバーの RADIUS 実装でのサービス拒否の脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Windows Server 2003 for Itanium-based Systems SP2 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 x64 Edition SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2012 HASH(0x9a7d488) Microsoft Windows Server 2012 R2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	複数の Microsoft Windows 製品におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2015-001036) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001036.html Vulnerability Summary for CVE-2015-0015 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0015

(56)複数の Microsoft Windows 製品の Telnet サービスにおけるバッファオーバーフローの脆弱性(CVE-2015-0014)

ベンダ情報	Microsoft Security Bulletin : MS15-002 https://technet.microsoft.com/en-us/library/security/ms15-002 マイクロソフトセキュリティ情報 : MS15-002 https://technet.microsoft.com/ja-jp/library/security/ms15-002
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	複数の Microsoft Windows 製品の Telnet サービスには、バッファオーバーフローの脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Windows Telnet サービスのバッファーオーバーフローの脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows 8 for 32-bit Systems Microsoft Windows 8 for x64-based Systems Microsoft Windows 8.1 for 32-bit Systems Microsoft Windows 8.1 for x64-based Systems Microsoft Windows Server 2003 for Itanium-based Systems SP2 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 x64 Edition SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール) Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール) Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール) Microsoft Windows Server 2012 HASH(0x9a82e18) Microsoft Windows Server 2012 (Server Core インストール) Microsoft Windows Server 2012 R2 Microsoft Windows Server 2012 R2 (Server Core インストール) Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	複数の Microsoft Windows 製品の Telnet サービスにおけるバッファオーバーフローの脆弱性(JVNDB-2015-001035) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001035.html Vulnerability Summary for CVE-2015-0014 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0014

(57)複数の Microsoft Windows 製品の User Profile Service における権限昇格の脆弱性(CVE-2015-0004)

ベンダ情報	Google Code : Issue 123: Windows Elevation of Privilege in User Profile Service (MSRC ID 20674) https://code.google.com/p/google-security-research/issues/detail?id=123 Microsoft Security Bulletin : MS15-003 https://technet.microsoft.com/en-us/library/security/ms15-003 マイクロソフトセキュリティ情報 : MS15-003 https://technet.microsoft.com/ja-jp/library/security/ms15-003
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	複数の Microsoft Windows 製品の User Profile Service (別名 ProfSvc) には、権限を取得される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft User Profile Service の特権の昇格の脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows 8 for 32-bit Systems Microsoft Windows 8 for x64-based Systems Microsoft Windows 8.1 for 32-bit Systems Microsoft Windows 8.1 for x64-based Systems Microsoft Windows RT HASH(0x99d3c70) Microsoft Windows RT 8.1 HASH(0x9a7daf8) Microsoft Windows Server 2003 for Itanium-based Systems SP2 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 x64 Edition SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール) Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール) Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール) Microsoft Windows Server 2012 HASH(0x9a4dcb0) Microsoft Windows Server 2012 (Server Core インストール) Microsoft Windows Server 2012 R2 Microsoft Windows Server 2012 R2 (Server Core インストール) Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	複数の Microsoft Windows 製品の User Profile Service における権限昇格の脆弱性(JVNDB-2015-001032) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001032.html Vulnerability Summary for CVE-2015-0004 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0004

(58)複数の Microsoft Windows 製品の Application Compatibility コンポーネントにおける権限昇格の脆弱性(CVE-2015-0002)

ベンダ情報	Google Code : Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl (MSRC ID 20544) https://code.google.com/p/google-security-research/issues/detail?id=118 Microsoft Security Bulletin : MS15-001 https://technet.microsoft.com/en-us/library/security/ms15-001 マイクロソフトセキュリティ情報 : MS15-001 https://technet.microsoft.com/ja-jp/library/security/ms15-001
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	複数の Microsoft Windows 製品の Application Compatibility コンポーネントの ahcache.sys の AhcVerifyAdminContext 関数は、偽装トークンが管理者アカウントに関連付けられていることを検証しないため、権限を取得される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Application Compatibility Infrastructure の特権の昇格の脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows 8 for 32-bit Systems Microsoft Windows 8 for x64-based Systems Microsoft Windows 8.1 for 32-bit Systems Microsoft Windows 8.1 for x64-based Systems Microsoft Windows RT HASH(0x99d6a48) Microsoft Windows RT 8.1 HASH(0x9a4e020) Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール) Microsoft Windows Server 2012 HASH(0x9a7d648) Microsoft Windows Server 2012 (Server Core インストール) Microsoft Windows Server 2012 R2 Microsoft Windows Server 2012 R2 (Server Core インストール)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	複数の Microsoft Windows 製品の Application Compatibility コンポーネントにおける権限昇格の脆弱性(JVNDB-2015-001031) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001031.html Vulnerability Summary for CVE-2015-0002 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0002

(59)Xen におけるサービス運用妨害 (DoS) の脆弱性(CVE-2015-0361)

ベンダ情報	Xen Security Advisory : XSA-116 http://xenbits.xen.org/xsa/advisory-116.html
CVSS による深刻度	7.8 (危険) [ NVD値 ]
概要	Xen には、解放済みメモリの使用 (Use-after-free) により、サービス運用妨害 (システムクラッシュ) 状態にされる脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-416: Use After Free (解放済みメモリの使用) と識別されています。 http://cwe.mitre.org/data/definitions/416.html
影響を受ける製品	Xen プロジェクト Xen 4.2.x Xen 4.3.x Xen 4.4.x
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Xen におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2015-001007) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001007.html Vulnerability Summary for CVE-2015-0361 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0361

(60)Sefrengo の管理バックエンドにおける SQL インジェクションの脆弱性(CVE-2015-0919)

ベンダ情報	Design & Daten : Sefrengo v1.6.1 http://forum.sefrengo.org/index.php?showtopic=3360
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Sefrengo の管理バックエンドには、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Design & Daten Sefrengo 1.6.1 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Sefrengo の管理バックエンドにおける SQL インジェクションの脆弱性(JVNDB-2015-001006) http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001006.html Vulnerability Summary for CVE-2015-0919 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0919

2.CVSSによる深刻度とは

本レポートにて設定されている値は、共通脆弱性評価システムである CVSS を用いて評価されております。
CVSS による深刻度（JVN iPedia）
http://jvndb.jvn.jp/nav/jvndbhelp.html#jvndb3

CVSS でぜい弱性を評価してみよう（ITpro）
http://itpro.nikkeibp.co.jp/article/COLUMN/20070808/279327/

National Vulnerability Database（NVD）
http://nvd.nist.gov/home.cfm

上記脆弱性を悪用した攻撃やその他マルウェアに感染してしまうと、お使いの PC を乗っ取られたり金銭を要求する詐欺行為の被害に遭う恐れがあります。また、昨今のサイバー攻撃の被害は企業レベルに及ぶ場合もあり、その被害金額や対処に必要な工数が膨大になったり、訴訟問題になる事例も確認されております。業務やご家庭で PC をご利用されている以上、最低限のレベルでのセキュリティ対策は必須と言っても過言ではありません。まずはご使用の PC のセキュリティ状況をチェックし、各ベンダ提供のセキュリティパッチの適用、ウイルス対策ソフトのインストール等ご対応をお願い致します。
更なるサイバー犯罪の脅威の対策をお望みの方は、弊社がご提供させていただいているセキュリティソリューション「SHIELD」や、弊社も推奨させていただいている、最新ウイルスの駆除に特化した従来のパターンファイルでの駆除に依存しない次世代セキュリティソリューション「yarai」をお勧め致します。
http://www.hitachi-systems.com/solution/t01/shield/
http://www.hitachi-systems.com/solution/s105/yarai/index.html

* ウイルス対策製品は企業ごと多種多様の性能を備えております。詳しくは各ベンダのサイト等をご参照下さい。

* 各会社名、団体名、商品名は各社、各団体の商品名称、または登録商標です。