2016年1月の月例セキュリティ情報

2016年2月10日初版公開

2016年1月に公開された危険度の高い脆弱性情報
CVSSによる深刻度とは
脆弱性を悪用した攻撃に犯されてしまうと・・

1.2016年1月に公開された危険度の高い脆弱性情報

掲載範囲：CVSS により深刻度が危険と指定され、一般的に影響が大きいとされるものを抜粋

(1)Oracle MySQL の MySQL Server における Client に関する脆弱性(CVE-2016-0546)

ベンダ情報 MariaDB : MariaDB 10.0.23 Release Notes
https://mariadb.com/kb/en/mariadb/mariadb-10023-release-notes/
MariaDB : MariaDB 10.1.10 Release Notes
https://mariadb.com/kb/en/mariadb/mariadb-10110-release-notes/
MariaDB : MariaDB 5.5.47 Release Notes
https://mariadb.com/kb/en/mariadb/mariadb-5547-release-notes/
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.2 (危険) [ NVD値 ]

概要 Oracle MySQL の MySQL Server には、Client に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。

影響を受ける製品 MySQL AB
MySQL 5.5.9 およびそれ以前
オラクル
MySQL 5.5.46 およびそれ以前
MySQL 5.6.27 およびそれ以前
MySQL 5.7.9

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle MySQL の MySQL Server における Client に関する脆弱性(JVNDB-2016-001080)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001080.html
Vulnerability Summary for CVE-2016-0546 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0546

(2)Debian の fuse パッケージの不特定の udev ルールにおける権限を取得される脆弱性(CVE-2016-1233)

ベンダ情報 Debian Security Advisory : DSA-3451
https://www.debian.org/security/2016/dsa-3451

CVSS による深刻度 7.2 (危険) [ NVD値 ]

概要 Debian jessie、stretch、および sid の fuse パッケージの不特定の udev ルールは、/dev/cuse キャラクタデバイスに誰でも書き込み可能な (world-writable) パーミッションを設定するため、権限を取得される脆弱性が存在します。

影響を受ける製品 Debian
fuse 2.9.3-15+deb8u2 未満 (jessie)
fuse 2.9.5-1 未満 (sid)
fuse 2.9.5-1 未満 (stretch)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Debian の fuse パッケージの不特定の udev ルールにおける権限を取得される脆弱性(JVNDB-2016-001342)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001342.html
Vulnerability Summary for CVE-2016-1233 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1233

(3)Lexmark プリンタのファームウェアの初期化プロセスにおける認証を回避される脆弱性(CVE-2016-1896)

ベンダ情報 Lexmark Security Advisory : TE745
http://support.lexmark.com/index?page=content&id=TE745

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Lexmark プリンタのファームウェアの初期化プロセスには、競合状態により、認証を回避される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-254: Security Features (セキュリティ機能) と識別されています。 http://cwe.mitre.org/data/definitions/254.html

影響を受ける製品 Lexmark
C4150 HASH(0xa225820)
C6160 HASH(0xa2a6b80)
CS720de HASH(0xa2d9948)
CS720dte HASH(0xa2d9788)
CS725de HASH(0xa2e7828)
CS725dte HASH(0xa221820)
CS820de HASH(0xa2cf658)
CS820dte HASH(0xa223a08)
CS820dtfe HASH(0x9ecb1e8)
CX725de HASH(0xa296fe8)
CX725dhe HASH(0xa2972c8)
CX725dthe HASH(0xa2a6060)
CX820de HASH(0xa2a6280)
CX820dtfe HASH(0xa2a6c30)
CX825de HASH(0xa2a9170)
CX825dte HASH(0xa1221b0)
CX825dtfe HASH(0xa2e2ab8)
CX860de HASH(0xa228d28)
CX860dte HASH(0xa2e7218)
CX860dtfe HASH(0xa2e2628)
Lexmark プリンタファームウェア ATL.02.049 未満の ATL
Lexmark プリンタファームウェア CB.02.049 未満の CB
Lexmark プリンタファームウェア PP.02.049 未満の PP
Lexmark プリンタファームウェア YK.02.049 未満の YK
XC4150 HASH(0xa2d93d8)
XC6152de HASH(0xa2d93a8)
XC6152dtfe HASH(0xa2d93f8)
XC8155de HASH(0xa2d8f48)
XC8155dte HASH(0xa262128)
XC8160de HASH(0xa2d4c70)
XC8160dte HASH(0xa2698a0)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Lexmark プリンタのファームウェアの初期化プロセスにおける認証を回避される脆弱性(JVNDB-2016-001341)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001341.html
Vulnerability Summary for CVE-2016-1896 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1896

(4)CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性(CVE-2016-1145)

ベンダ情報 NEC : 日本電気株式会社の告知ページ
http://jpn.nec.com/security-info/secinfo/nv16-001.html

CVSS による深刻度 7.8 (危険) [ NVD値 ]

概要日本電気株式会社が提供する CLUSTERPRO X は、システムの高可用性 (HA) クラスタリングを実現するためのソフトウェアです。CLUSTERPRO X には、WebManager 機能に起因するディレクトリトラバーサルの脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社サイバーディフェンス研究所坂井　祐介氏

影響を受ける製品日本電気
CLUSTERPRO X 3.3 for Linux (内部Ver. 3.3.1-1) およびそれ以前
CLUSTERPRO X 3.3 for Solaris (内部Ver. 3.3.1-1) およびそれ以前
CLUSTERPRO X 3.3 for Windows (内部Ver. 11.31) およびそれ以前

対策 [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 [ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 * IP アドレスによるアクセス制限を有効にする * パスワードによるアクセス制限を有効にする

参考情報 CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性(JVNDB-2016-000015)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-000015.html
Vulnerability Summary for CVE-2016-1145 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1145

(5)MICROSYS PROMOTIC におけるヒープベースのバッファオーバーフローの脆弱性(CVE-2016-0869)

ベンダ情報 PROMOTIC : Version 8.3.11 (from 19.1.2016) - stable version
http://www.promotic.eu/en/pmdoc/NewsPm803.htm#ver80311

CVSS による深刻度 7.1 (危険) [ NVD値 ]

概要 MICROSYS PROMOTIC には、ヒープベースのバッファオーバーフローの脆弱性が存在します。

影響を受ける製品 MICROSYS
PROMOTIC 8.3.11 未満

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 MICROSYS PROMOTIC におけるヒープベースのバッファオーバーフローの脆弱性(JVNDB-2016-001332)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001332.html
Vulnerability Summary for CVE-2016-0869 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0869

(6)Google Chrome で使用される HarfBuzz におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-2052)

ベンダ情報 Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google : Stable Channel Update
http://googlechromereleases.blogspot.com/2016/01/stable-channel-update_20.html
Google Code : Issue 544270
https://code.google.com/p/chromium/issues/detail?id=544270
Google Code : Issue 579625
https://code.google.com/p/chromium/issues/detail?id=579625
HarfBuzz : Top Page
http://freedesktop.org/wiki/Software/HarfBuzz/

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 Google Chrome で使用される HarfBuzz には、サービス運用妨害 (DoS) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。

影響を受ける製品 HarfBuzz project
HarfBuzz 1.0.6 未満
Google
Google Chrome 48.0.2564.82 未満

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Google Chrome で使用される HarfBuzz におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-001329)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001329.html
Vulnerability Summary for CVE-2016-2052 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2052

(7)Google Chrome におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-1620)

ベンダ情報 Google : Stable Channel Update
http://googlechromereleases.blogspot.com/2016/01/stable-channel-update_20.html
Google : Google Chrome
https://www.google.com/intl/ja/chrome/browser/features.html
Google Code : Issue 579625
https://code.google.com/p/chromium/issues/detail?id=579625

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要 Google Chrome には、サービス運用妨害 (DoS) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。

影響を受ける製品 Google
Google Chrome 48.0.2564.82 未満

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Google Chrome におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-001327)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001327.html
Vulnerability Summary for CVE-2016-1620 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1620

(8)Harman AMX デバイスの /bin/bw の setUpSubtleUserAccount 関数におけるアクセス権を取得される脆弱性(CVE-2016-1984)

ベンダ情報 Harman : Firmware Files - Hot Fix Files
http://www.amx.com/techcenter/firmware.asp?Category=Hot%20Fix%20Files
Harman : NetLinx Controller Security Brief
http://www.amx.com/techcenter/NXSecurityBrief/

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Harman AMX デバイスの /bin/bw の setUpSubtleUserAccount 関数には、1MB@tMaN アカウントに対してハードコードされたパスワードを使用するため、アクセス権を取得される脆弱性が存在します。本脆弱性は、CVE-2015-8362 とは異なる脆弱性です。

影響を受ける製品 Harman
AMX 2016-01-20 より前のファームウェア

対策ベンダ情報および参考情報を参照して適切な対策を実施してください。

参考情報 Harman AMX デバイスの /bin/bw の setUpSubtleUserAccount 関数におけるアクセス権を取得される脆弱性(JVNDB-2016-001313)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001313.html
Vulnerability Summary for CVE-2016-1984 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1984

(9)Harman AMX 製品がハードコードされたパスワードを使用する問題(CVE-2015-8362)

ベンダ情報 Harman : NetLinx Controller Security Brief
http://www.amx.com/techcenter/NXSecurityBrief/
Harman : Firmware Files - Hot Fix Files
http://www.amx.com/techcenter/firmware.asp?Category=Hot%20Fix%20Files

CVSS による深刻度 10 (危険) [ NVD値 ]

概要複数の Harman AMX 製品には、デバッグ用のアカウントがハードコードされている問題が存在します。認証情報がハードコードされている問題 (CWE-798) - CVE-2015-8362 発見者のブログ投稿によると、AMX シリーズの複数のモデルには、ハードコードされた管理権限アカウント ("バックドア") が存在します。さらに詳しい情報は、発見者の脆弱性アドバイザリをご確認ください。AMX のリリースノートには、これはデバッグ用アカウントであったと記載されています。 CWE-798: Use of Hard-coded Credentials http://cwe.mitre.org/data/definitions/798.html ブログ投稿 http://blog.sec-consult.com/2016/01/deliberately-hidden-backdoor-account-in.html 脆弱性アドバイザリ https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20160121-0_AMX_Deliberately_hidden_backdoor_account_v10.txt AMX のリリースノート http://www.amx.com/techcenter/firmware.asp?Category=Hot%20Fix%20Files

影響を受ける製品 Harman
AMX NX-1200 ファームウェア v1.2.322
AMX NX-1200 ファームウェア v1.3.100

対策 [アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。開発者はいくつかの製品に対してアップデートをリリースしています。アップデートの入手に関するさらに詳しい情報は、開発者へお問い合わせください。アップデート http://www.amx.com/techcenter/NXSecurityBrief/

参考情報 Harman AMX 製品がハードコードされたパスワードを使用する問題(JVNDB-2016-001312)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001312.html
Vulnerability Summary for CVE-2015-8362 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8362

(10)PHP の ext/standard/exec.c における整数オーバーフローの脆弱性(CVE-2016-1904)

ベンダ情報 GitHub : Patch for Heap Buffer Overflow in EscapeShell
https://github.com/php/php-src/commit/2871c70efaaaa0f102557a17c727fd4d5204dd4b
PHP Bugs : Sec Bug #71270
https://bugs.php.net/bug.php?id=71270
The PHP Group : PHP 7 ChangeLog
http://www.php.net/ChangeLog-7.php

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 PHP の ext/standard/exec.c には、整数オーバーフローの脆弱性が存在します。

影響を受ける製品 The PHP Group
PHP 7.0.2 未満の 7.x

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 PHP の ext/standard/exec.c における整数オーバーフローの脆弱性(JVNDB-2016-001310)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001310.html
Vulnerability Summary for CVE-2016-1904 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1904

(11)cgit の authenticate_post 関数における整数オーバーフローの脆弱性(CVE-2016-1901)

ベンダ情報 cgit : filter: avoid integer overflow in authenticate_post
http://git.zx2c4.com/cgit/commit/?id=4458abf64172a62b92810c2293450106e6dfc763
cgit : [ANNOUNCE] CGIT v0.12 Released
http://lists.zx2c4.com/pipermail/cgit/2016-January/002817.html

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 cgit の authenticate_post 関数には、整数オーバーフローの脆弱性が存在します。

影響を受ける製品 Jason A. Donenfeld
cgit 0.12 未満

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 cgit の authenticate_post 関数における整数オーバーフローの脆弱性(JVNDB-2016-001308)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001308.html
Vulnerability Summary for CVE-2016-1901 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1901

(12)SAP HANA の XS エンジンにおけるトレースファイルのログエントリを偽装される脆弱性(CVE-2016-1929)

ベンダ情報 SAP : SAP Security Notes January 2016 - Review (2241978)
http://scn.sap.com/community/security/blog/2016/01/12/sap-security-notes-january-2016-review

CVSS による深刻度 8.5 (危険) [ NVD値 ]

概要 SAP HANA の XS エンジン (hdbxsengine) には、不特定の debug 関数に関する処理に不備があるため、トレースファイルのログエントリを偽装され、その結果、サービス運用妨害 (ディスクの消費およびプロセスクラッシュ) 状態にされる脆弱性が存在します。ベンダは、本脆弱性を SAP Security Note 2241978 として公開しています。

影響を受ける製品 SAP
SAP HANA HASH(0xa2ebf88)

対策ベンダ情報および参考情報を参照して適切な対策を実施してください。

参考情報 SAP HANA の XS エンジンにおけるトレースファイルのログエントリを偽装される脆弱性(JVNDB-2016-001305)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001305.html
Vulnerability Summary for CVE-2016-1929 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1929

(13)SAP HANA の XS エンジンにおけるバッファオーバーフローの脆弱性(CVE-2016-1928)

ベンダ情報 SAP : SAP Security Notes January 2016 - Review (2241978)
http://scn.sap.com/community/security/blog/2016/01/12/sap-security-notes-january-2016-review

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 SAP HANA の XS エンジン (hdbxsengine) には、JSON に関する処理に不備があるため、バッファオーバーフローの脆弱性が存在します。ベンダは、本脆弱性を SAP Security Note 2241978 として公開しています。

影響を受ける製品 SAP
SAP HANA HASH(0xa2cac30)

対策ベンダ情報および参考情報を参照して適切な対策を実施してください。

参考情報 SAP HANA の XS エンジンにおけるバッファオーバーフローの脆弱性(JVNDB-2016-001304)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001304.html
Vulnerability Summary for CVE-2016-1928 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1928

(14)FortiOS における管理アクセス権を取得される脆弱性(CVE-2016-1909)

ベンダ情報 FortiGuard Security Advisories : FortiOS SSH Undocumented Interactive Login Vulnerability
http://www.fortiguard.com/advisory/fortios-ssh-undocumented-interactive-login-vulnerability
Fortinet : Brief Statement Regarding Issues Found with FortiOS
http://blog.fortinet.com/post/brief-statement-regarding-issues-found-with-fortios

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 FortiOS は、Fortimanager_Access アカウントに対してハードコードされたパスフレーズを使用するため、管理アクセス権を取得される脆弱性が存在します。

影響を受ける製品フォーティネット
FortiOS 4.3.17 未満の 4.x
FortiOS 5.0.8 未満の 5.0.x

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 FortiOS における管理アクセス権を取得される脆弱性(JVNDB-2016-001296)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001296.html
Vulnerability Summary for CVE-2016-1909 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1909

(15)Advantech WebAccess の BwpAlarm サブシステムにおけるバッファオーバーフローの脆弱性(CVE-2016-0860)

ベンダ情報 Advantech : Advantech WebAccess
http://www.advantech.com/industrial-automation/webaccess

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Advantech WebAccess の BwpAlarm サブシステムには、バッファオーバーフローの脆弱性が存在します。

影響を受ける製品アドバンテック株式会社
Advantech WebAccess 8.1 未満

対策ベンダ情報および参考情報を参照して適切な対策を実施してください。

参考情報 Advantech WebAccess の BwpAlarm サブシステムにおけるバッファオーバーフローの脆弱性(JVNDB-2016-001290)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001290.html
Vulnerability Summary for CVE-2016-0860 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0860

(16)Advantech WebAccess のカーネルサービスにおける整数オーバーフローの脆弱性(CVE-2016-0859)

ベンダ情報 Advantech : Advantech WebAccess
http://www.advantech.com/industrial-automation/webaccess

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Advantech WebAccess のカーネルサービスには、整数オーバーフローの脆弱性が存在します。

影響を受ける製品アドバンテック株式会社
Advantech WebAccess 8.1 未満

対策ベンダ情報および参考情報を参照して適切な対策を実施してください。

参考情報 Advantech WebAccess のカーネルサービスにおける整数オーバーフローの脆弱性(JVNDB-2016-001289)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001289.html
Vulnerability Summary for CVE-2016-0859 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0859

(17)Advantech WebAccess における任意のコードを実行される脆弱性(CVE-2016-0858)

ベンダ情報 Advantech : Advantech WebAccess
http://www.advantech.com/industrial-automation/webaccess

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要 Advantech WebAccess には、競合状態により、任意のコードを実行される、またはサービス運用妨害 (バッファオーバーフロー) 状態にされる脆弱性が存在します。

影響を受ける製品アドバンテック株式会社
Advantech WebAccess 8.1 未満

対策ベンダ情報および参考情報を参照して適切な対策を実施してください。

参考情報 Advantech WebAccess における任意のコードを実行される脆弱性(JVNDB-2016-001288)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001288.html
Vulnerability Summary for CVE-2016-0858 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0858

(18)Advantech WebAccess におけるヒープベースのバッファオーバーフローの脆弱性(CVE-2016-0857)

ベンダ情報 Advantech : Advantech WebAccess
http://www.advantech.com/industrial-automation/webaccess

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Advantech WebAccess には、ヒープベースのバッファオーバーフローの脆弱性が存在します。

影響を受ける製品アドバンテック株式会社
Advantech WebAccess 8.1 未満

対策ベンダ情報および参考情報を参照して適切な対策を実施してください。

参考情報 Advantech WebAccess におけるヒープベースのバッファオーバーフローの脆弱性(JVNDB-2016-001287)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001287.html
Vulnerability Summary for CVE-2016-0857 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0857

(19)Advantech WebAccess におけるスタックベースのバッファオーバーフローの脆弱性(CVE-2016-0856)

ベンダ情報 Advantech : Advantech WebAccess
http://www.advantech.com/industrial-automation/webaccess

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Advantech WebAccess には、スタックベースのバッファオーバーフローの脆弱性が存在します。

影響を受ける製品アドバンテック株式会社
Advantech WebAccess 8.1 未満

対策ベンダ情報および参考情報を参照して適切な対策を実施してください。

参考情報 Advantech WebAccess におけるスタックベースのバッファオーバーフローの脆弱性(JVNDB-2016-001286)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001286.html
Vulnerability Summary for CVE-2016-0856 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0856

(20)Advantech WebAccess における任意のタイプのファイルに書き込まれる脆弱性(CVE-2016-0854)

ベンダ情報 Advantech : Advantech WebAccess
http://www.advantech.com/industrial-automation/webaccess

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Advantech WebAccess には、ファイルを無制限にアップロードされることにより、任意のタイプのファイルに書き込まれる脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-434: Unrestricted Upload of File with Dangerous Type (危険なタイプのファイルの無制限アップロード) と識別されています。 http://cwe.mitre.org/data/definitions/434.html

影響を受ける製品アドバンテック株式会社
Advantech WebAccess 8.1 未満

対策ベンダ情報および参考情報を参照して適切な対策を実施してください。

参考情報 Advantech WebAccess における任意のタイプのファイルに書き込まれる脆弱性(JVNDB-2016-001284)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001284.html
Vulnerability Summary for CVE-2016-0854 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0854

(21)Oracle GoldenGate の Oracle GoldenGate コンポーネントにおける脆弱性(CVE-2016-0452)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Oracle GoldenGate の Oracle GoldenGate コンポーネントには、機密性、完全性、および可用性に影響のある脆弱性が存在します。本脆弱性は、CVE-2016-0451 とは異なる脆弱性です。

影響を受ける製品オラクル
Oracle GoldenGate 11.2
Oracle GoldenGate 12.1.2

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle GoldenGate の Oracle GoldenGate コンポーネントにおける脆弱性(JVNDB-2016-001278)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001278.html
Vulnerability Summary for CVE-2016-0452 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0452

(22)Oracle GoldenGate の Oracle GoldenGate コンポーネントにおける脆弱性(CVE-2016-0451)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Oracle GoldenGate の Oracle GoldenGate コンポーネントには、機密性、完全性、および可用性に影響のある脆弱性が存在します。本脆弱性は、CVE-2016-0452 とは異なる脆弱性です。

影響を受ける製品オラクル
Oracle GoldenGate 11.2
Oracle GoldenGate 12.1.2

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle GoldenGate の Oracle GoldenGate コンポーネントにおける脆弱性(JVNDB-2016-001277)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001277.html
Vulnerability Summary for CVE-2016-0451 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0451

(23)Oracle Fusion Middleware の Oracle WebLogic Server における WLS Core Components に関する脆弱性(CVE-2016-0577)

ベンダ情報 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 Oracle Fusion Middleware の Oracle WebLogic Server には、WLS Core Components に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。本脆弱性は、CVE-2016-0574 とは異なる脆弱性です。

影響を受ける製品オラクル
Oracle WebLogic Server 10.3.6
Oracle WebLogic Server 12.1.2
Oracle WebLogic Server 12.1.3
Oracle WebLogic Server 12.2.1

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle Fusion Middleware の Oracle WebLogic Server における WLS Core Components に関する脆弱性(JVNDB-2016-001247)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001247.html
Vulnerability Summary for CVE-2016-0577 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0577

(24)Oracle Fusion Middleware の Oracle WebLogic Server における WLS Core Components に関する脆弱性(CVE-2016-0574)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 Oracle Fusion Middleware の Oracle WebLogic Server には、WLS Core Components に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。本脆弱性は、CVE-2016-0577 とは異なる脆弱性です。

影響を受ける製品オラクル
Oracle WebLogic Server 10.3.6
Oracle WebLogic Server 12.1.2
Oracle WebLogic Server 12.1.3
Oracle WebLogic Server 12.2.1

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle Fusion Middleware の Oracle WebLogic Server における WLS Core Components に関する脆弱性(JVNDB-2016-001246)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001246.html
Vulnerability Summary for CVE-2016-0574 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0574

(25)Oracle Fusion Middleware の Oracle WebLogic Server における WLS Java Messaging Service に関する脆弱性(CVE-2016-0573)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 Oracle Fusion Middleware の Oracle WebLogic Server には、WLS Java Messaging Service に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。

影響を受ける製品オラクル
Oracle WebLogic Server 10.3.6
Oracle WebLogic Server 12.1.2
Oracle WebLogic Server 12.1.3
Oracle WebLogic Server 12.2.1

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle Fusion Middleware の Oracle WebLogic Server における WLS Java Messaging Service に関する脆弱性(JVNDB-2016-001245)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001245.html
Vulnerability Summary for CVE-2016-0573 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0573

(26)Oracle Fusion Middleware の Oracle WebLogic Server における Coherence Container に関する脆弱性(CVE-2016-0572)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 Oracle Fusion Middleware の Oracle WebLogic Server には、Coherence Container に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。

影響を受ける製品オラクル
Oracle WebLogic Server 10.3.6
Oracle WebLogic Server 12.1.2
Oracle WebLogic Server 12.1.3
Oracle WebLogic Server 12.2.1

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle Fusion Middleware の Oracle WebLogic Server における Coherence Container に関する脆弱性(JVNDB-2016-001244)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001244.html
Vulnerability Summary for CVE-2016-0572 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0572

(27)Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Enterprise Infrastructure SEC に関する脆弱性(CVE-2016-0424)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.1 (危険) [ NVD値 ]

概要 Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools には、Enterprise Infrastructure SEC に関する処理に不備があるため、可用性に影響のある脆弱性が存在します。本脆弱性は、CVE-2016-0422 とは異なる脆弱性です。

影響を受ける製品オラクル
JD Edwards EnterpriseOne Tools 9.1
JD Edwards EnterpriseOne Tools 9.2

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Enterprise Infrastructure SEC に関する脆弱性(JVNDB-2016-001132)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001132.html
Vulnerability Summary for CVE-2016-0424 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0424

(28)Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Enterprise Infrastructure SEC に関する脆弱性(CVE-2016-0423)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.3 (危険) [ NVD値 ]

概要 Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools には、Enterprise Infrastructure SEC に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。

影響を受ける製品オラクル
JD Edwards EnterpriseOne Tools 9.1
JD Edwards EnterpriseOne Tools 9.2

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Enterprise Infrastructure SEC に関する脆弱性(JVNDB-2016-001131)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001131.html
Vulnerability Summary for CVE-2016-0423 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0423

(29)Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Enterprise Infrastructure SEC に関する脆弱性(CVE-2016-0422)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.1 (危険) [ NVD値 ]

概要 Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools には、Enterprise Infrastructure SEC に関する処理に不備があるため、可用性に影響のある脆弱性が存在します。本脆弱性は、CVE-2016-0424 とは異なる脆弱性です。

影響を受ける製品オラクル
JD Edwards EnterpriseOne Tools 9.1
JD Edwards EnterpriseOne Tools 9.2

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Enterprise Infrastructure SEC に関する脆弱性(JVNDB-2016-001130)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001130.html
Vulnerability Summary for CVE-2016-0422 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0422

(30)Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Monitoring and Diagnostics に関する脆弱性(CVE-2016-0420)

ベンダ情報 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.8 (危険) [ NVD値 ]

概要 Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools には、Monitoring and Diagnostics に関する処理に不備があるため、可用性に影響のある脆弱性が存在します。

影響を受ける製品オラクル
JD Edwards EnterpriseOne Tools 9.1
JD Edwards EnterpriseOne Tools 9.2

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Monitoring and Diagnostics に関する脆弱性(JVNDB-2016-001128)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001128.html
Vulnerability Summary for CVE-2016-0420 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0420

(31)Oracle Retail Applications の Oracle Retail Open Commerce Platform Cloud Service における Framework に関する脆弱性(CVE-2016-0522)

ベンダ情報 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 Oracle Retail Applications の Oracle Retail Open Commerce Platform Cloud Service には、Framework に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。

影響を受ける製品オラクル
Oracle Retail Applications の Oracle Retail Open Commerce Platform Cloud Service 3.5
Oracle Retail Applications の Oracle Retail Open Commerce Platform Cloud Service 4.5
Oracle Retail Applications の Oracle Retail Open Commerce Platform Cloud Service 4.7
Oracle Retail Applications の Oracle Retail Open Commerce Platform Cloud Service 5.0

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle Retail Applications の Oracle Retail Open Commerce Platform Cloud Service における Framework に関する脆弱性(JVNDB-2016-001126)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001126.html
Vulnerability Summary for CVE-2016-0522 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0522

(32)Oracle Retail Applications の Oracle Retail Order Broker Cloud Service における System Administration に関する脆弱性(CVE-2016-0500)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 Oracle Retail Applications の Oracle Retail Order Broker Cloud Service には、System Administration に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。

影響を受ける製品オラクル
Oracle Retail Applications の Oracle Retail Order Broker Cloud Service 4.0
Oracle Retail Applications の Oracle Retail Order Broker Cloud Service 4.1

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle Retail Applications の Oracle Retail Order Broker Cloud Service における System Administration に関する脆弱性(JVNDB-2016-001124)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001124.html
Vulnerability Summary for CVE-2016-0500 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0500

(33)Oracle Sun Solaris における SMB Utilities に関する脆弱性(CVE-2016-0403)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.8 (危険) [ NVD値 ]

概要 Oracle Sun Solaris には、SMB Utilities に関する処理に不備があるため、可用性に影響のある脆弱性が存在します。

影響を受ける製品オラクル
Oracle Solaris 11

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle Sun Solaris における SMB Utilities に関する脆弱性(JVNDB-2016-001114)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001114.html
Vulnerability Summary for CVE-2016-0403 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0403

(34)Oracle Sun Systems Products Suite の Solaris における NFSv4 に関する脆弱性(CVE-2016-0440)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.8 (危険) [ NVD値 ]

概要 Oracle Sun Systems Products Suite の Solaris には、NFSv4 に関する処理に不備があるため、可用性に影響のある脆弱性が存在します。

影響を受ける製品オラクル
Oracle Solaris 11

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle Sun Systems Products Suite の Solaris における NFSv4 に関する脆弱性(JVNDB-2016-001106)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001106.html
Vulnerability Summary for CVE-2016-0440 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0440

(35)Oracle Sun Systems Products Suite の Solaris における Solaris Kernel Zones に関する脆弱性(CVE-2016-0414)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 7.2 (危険) [ NVD値 ]

概要 Oracle Sun Systems Products Suite の Solaris には、Solaris Kernel Zones に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。本脆弱性は、CVE-2016-0418 とは異なる脆弱性です。

影響を受ける製品オラクル
Oracle Solaris 11

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle Sun Systems Products Suite の Solaris における Solaris Kernel Zones に関する脆弱性(JVNDB-2016-001098)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001098.html
Vulnerability Summary for CVE-2016-0414 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0414

(36)Advantech WebAccess におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-0851)

ベンダ情報 Advantech : Advantech WebAccess
http://www.advantech.com/industrial-automation/webaccess

CVSS による深刻度 7.8 (危険) [ NVD値 ]

概要 Advantech WebAccess には、サービス運用妨害 (メモリ領域外へのアクセス) 状態にされる脆弱性が存在します。

影響を受ける製品アドバンテック株式会社
Advantech WebAccess 8.1 未満

対策ベンダ情報および参考情報を参照して適切な対策を実施してください。

参考情報 Advantech WebAccess におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-001072)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001072.html
Vulnerability Summary for CVE-2016-0851 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0851

(37)Oracle Java SE および Java SE Embedded における 2D に関する脆弱性(CVE-2016-0494)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update
富士通セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/oracle/20160120.html

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Oracle Java SE および Java SE Embedded には、2D に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。

影響を受ける製品オラクル
JDK 6 Update 105
JDK 7 Update 91
JDK 8 Update 66
JRE 6 Update 105
JRE 7 Update 91
JRE 8 Update 66
Oracle Java SE Embedded 8 Update 65

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle Java SE および Java SE Embedded における 2D に関する脆弱性(JVNDB-2016-001071)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001071.html
Vulnerability Summary for CVE-2016-0494 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0494

(38)複数の Oracle Java 製品における AWT に関する脆弱性(CVE-2016-0483)

ベンダ情報 Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update
富士通セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/oracle/20160120.html

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Oracle Java SE、Java SE Embedded および JRockit には、AWT に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。

影響を受ける製品オラクル
JDK 6 Update 105
JDK 7 Update 91
JDK 8 Update 66
JRE 6 Update 105
JRE 7 Update 91
JRE 8 Update 66
Oracle Java SE Embedded 8 Update 65
Oracle JRockit R28.3.8

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報複数の Oracle Java 製品における AWT に関する脆弱性(JVNDB-2016-001070)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001070.html
Vulnerability Summary for CVE-2016-0483 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0483

(39)Oracle Database Server の Java VM における脆弱性(CVE-2016-0499)

ベンダ情報 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
SECURITY BLOG : January 2016 Critical Patch Update Released
https://blogs.oracle.com/security/entry/january_2016_critical_patch_update

CVSS による深刻度 9 (危険) [ NVD値 ]

概要 Oracle Database Server の Java VM には、機密性、完全性、および可用性に影響のある脆弱性が存在します。

影響を受ける製品オラクル
Oracle Database Server 11.2.0.4
Oracle Database Server 12.1.0.1
Oracle Database Server 12.1.0.2

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Oracle Database Server の Java VM における脆弱性(JVNDB-2016-001061)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001061.html
Vulnerability Summary for CVE-2016-0499 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0499

(40)複数の Microsoft Windows 製品の DirectShow における任意のコードを実行される脆弱性(CVE-2016-0015)

ベンダ情報 Microsoft Security Bulletin : MS16-007
https://technet.microsoft.com/en-us/library/security/ms16-007.aspx
マイクロソフトセキュリティ情報 : MS16-007
https://technet.microsoft.com/ja-jp/library/security/ms16-007.aspx

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要複数の Microsoft Windows 製品の DirectShow には、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「DirectShow のヒープ破損のリモートでコードが実行される脆弱性」と記載されています。

影響を受ける製品マイクロソフト
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8 for 32-bit Systems
Microsoft Windows 8 for x64-based Systems
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2012 HASH(0xa223d78)
Microsoft Windows Server 2012 R2
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報複数の Microsoft Windows 製品の DirectShow における任意のコードを実行される脆弱性(JVNDB-2016-001053)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001053.html
Vulnerability Summary for CVE-2016-0015 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0015

(41)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat で使用される Adobe Download Manager における権限を取得される脆弱性(CVE-2016-0947)

ベンダ情報 Adobe Security Bulletin : APSB16-02
https://helpx.adobe.com/security/products/acrobat/apsb16-02.html
Adobe セキュリティ情報 : APSB16-02
https://helpx.adobe.com/jp/security/products/reader/apsb16-02.html
富士通セキュリティ情報 : アドビシステムズ社 Adobe Reader の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20160114.html

CVSS による深刻度 7.2 (危険) [ NVD値 ]

概要 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat で使用される Adobe Download Manager には、検索パスに関する処理に不備があるため、権限を取得される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-426: Untrusted Search Path (信頼性のない検索パス) と識別されています。 http://cwe.mitre.org/data/definitions/426.html

影響を受ける製品アドビシステムズ
Adobe Acrobat XI デスクトップ 11.0.14 未満 (Windows/Macintosh)
Adobe Acrobat DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Reader XI デスクトップ 11.0.14 未満 (Windows/Macintosh)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat で使用される Adobe Download Manager における権限を取得される脆弱性(JVNDB-2016-001049)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001049.html
Vulnerability Summary for CVE-2016-0947 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0947

(42)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0946)

ベンダ情報 Adobe Security Bulletin : APSB16-02
https://helpx.adobe.com/security/products/acrobat/apsb16-02.html
Adobe セキュリティ情報 : APSB16-02
https://helpx.adobe.com/jp/security/products/reader/apsb16-02.html
富士通セキュリティ情報 : アドビシステムズ社 Adobe Reader の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20160114.html

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。本脆弱性は、CVE-2016-0931、CVE-2016-0933、CVE-2016-0936、CVE-2016-0938、CVE-2016-0939、CVE-2016-0942、CVE-2016-0944、および CVE-2016-0945 とは異なる脆弱性です。

影響を受ける製品アドビシステムズ
Adobe Acrobat XI デスクトップ 11.0.14 未満 (Windows/Macintosh)
Adobe Acrobat DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Reader XI デスクトップ 11.0.14 未満 (Windows/Macintosh)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(JVNDB-2016-001048)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001048.html
Vulnerability Summary for CVE-2016-0946 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0946

(43)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0945)

ベンダ情報 Adobe Security Bulletin : APSB16-02
https://helpx.adobe.com/security/products/acrobat/apsb16-02.html
Adobe セキュリティ情報 : APSB16-02
https://helpx.adobe.com/jp/security/products/reader/apsb16-02.html
富士通セキュリティ情報 : アドビシステムズ社 Adobe Reader の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20160114.html

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。本脆弱性は、CVE-2016-0931、CVE-2016-0933、CVE-2016-0936、CVE-2016-0938、CVE-2016-0939、CVE-2016-0942、CVE-2016-0944、および CVE-2016-0946 とは異なる脆弱性です。

影響を受ける製品アドビシステムズ
Adobe Acrobat XI デスクトップ 11.0.14 未満 (Windows/Macintosh)
Adobe Acrobat DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Reader XI デスクトップ 11.0.14 未満 (Windows/Macintosh)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(JVNDB-2016-001047)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001047.html
Vulnerability Summary for CVE-2016-0945 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0945

(44)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0944)

ベンダ情報 Adobe Security Bulletin : APSB16-02
https://helpx.adobe.com/security/products/acrobat/apsb16-02.html
Adobe セキュリティ情報 : APSB16-02
https://helpx.adobe.com/jp/security/products/reader/apsb16-02.html
富士通セキュリティ情報 : アドビシステムズ社 Adobe Reader の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20160114.html

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。本脆弱性は、CVE-2016-0931、CVE-2016-0933、CVE-2016-0936、CVE-2016-0938、CVE-2016-0939、CVE-2016-0942、CVE-2016-0945、および CVE-2016-0946 とは異なる脆弱性です。

影響を受ける製品アドビシステムズ
Adobe Acrobat XI デスクトップ 11.0.14 未満 (Windows/Macintosh)
Adobe Acrobat DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Reader XI デスクトップ 11.0.14 未満 (Windows/Macintosh)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(JVNDB-2016-001046)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001046.html
Vulnerability Summary for CVE-2016-0944 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0944

(45)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0942)

ベンダ情報 Adobe Security Bulletin : APSB16-02
https://helpx.adobe.com/security/products/acrobat/apsb16-02.html
Adobe セキュリティ情報 : APSB16-02
https://helpx.adobe.com/jp/security/products/reader/apsb16-02.html
富士通セキュリティ情報 : アドビシステムズ社 Adobe Reader の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20160114.html

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。本脆弱性は、CVE-2016-0931、CVE-2016-0933、CVE-2016-0936、CVE-2016-0938、CVE-2016-0939、CVE-2016-0944、CVE-2016-0945、および CVE-2016-0946 とは異なる脆弱性です。

影響を受ける製品アドビシステムズ
Adobe Acrobat XI デスクトップ 11.0.14 未満 (Windows/Macintosh)
Adobe Acrobat DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Reader XI デスクトップ 11.0.14 未満 (Windows/Macintosh)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(JVNDB-2016-001044)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001044.html
Vulnerability Summary for CVE-2016-0942 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0942

(46)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0940)

ベンダ情報 Adobe Security Bulletin : APSB16-02
https://helpx.adobe.com/security/products/acrobat/apsb16-02.html
Adobe セキュリティ情報 : APSB16-02
https://helpx.adobe.com/jp/security/products/reader/apsb16-02.html
富士通セキュリティ情報 : アドビシステムズ社 Adobe Reader の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20160114.html

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat には、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。本脆弱性は、CVE-2016-0932、CVE-2016-0934、CVE-2016-0937、および CVE-2016-0941 とは異なる脆弱性です。補足情報 : CWE による脆弱性タイプは、CWE-416: Use-after-free (解放済みメモリの使用) と識別されています。 http://cwe.mitre.org/data/definitions/416.html

影響を受ける製品アドビシステムズ
Adobe Acrobat XI デスクトップ 11.0.14 未満 (Windows/Macintosh)
Adobe Acrobat DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Reader XI デスクトップ 11.0.14 未満 (Windows/Macintosh)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(JVNDB-2016-001042)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001042.html
Vulnerability Summary for CVE-2016-0940 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0940

(47)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat の AcroForm プラグインにおける任意のコードを実行される脆弱性(CVE-2016-0938)

ベンダ情報 Adobe Security Bulletin : APSB16-02
https://helpx.adobe.com/security/products/acrobat/apsb16-02.html
Adobe セキュリティ情報 : APSB16-02
https://helpx.adobe.com/jp/security/products/reader/apsb16-02.html
富士通セキュリティ情報 : アドビシステムズ社 Adobe Reader の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20160114.html

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat の AcroForm プラグインには、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。本脆弱性は、CVE-2016-0931、CVE-2016-0933、CVE-2016-0936、CVE-2016-0939、CVE-2016-0942、CVE-2016-0944、CVE-2016-0945、および CVE-2016-0946 とは異なる脆弱性です。

影響を受ける製品アドビシステムズ
Adobe Acrobat XI デスクトップ 11.0.14 未満 (Windows/Macintosh)
Adobe Acrobat DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Reader XI デスクトップ 11.0.14 未満 (Windows/Macintosh)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat の AcroForm プラグインにおける任意のコードを実行される脆弱性(JVNDB-2016-001040)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001040.html
Vulnerability Summary for CVE-2016-0938 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0938

(48)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat の OCG オブジェクトの実装における任意のコードを実行される脆弱性(CVE-2016-0937)

ベンダ情報 Adobe Security Bulletin : APSB16-02
https://helpx.adobe.com/security/products/acrobat/apsb16-02.html
Adobe セキュリティ情報 : APSB16-02
https://helpx.adobe.com/jp/security/products/reader/apsb16-02.html
富士通セキュリティ情報 : アドビシステムズ社 Adobe Reader の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20160114.html

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat の OCG オブジェクトの実装には、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。本脆弱性は、CVE-2016-0932、CVE-2016-0934、CVE-2016-0940、および CVE-2016-0941 とは異なる脆弱性です。補足情報 : CWE による脆弱性タイプは、CWE-416: Use-after-free (解放済みメモリの使用) と識別されています。 http://cwe.mitre.org/data/definitions/416.html

影響を受ける製品アドビシステムズ
Adobe Acrobat XI デスクトップ 11.0.14 未満 (Windows/Macintosh)
Adobe Acrobat DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Reader XI デスクトップ 11.0.14 未満 (Windows/Macintosh)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat の OCG オブジェクトの実装における任意のコードを実行される脆弱性(JVNDB-2016-001039)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001039.html
Vulnerability Summary for CVE-2016-0937 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0937

(49)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0936)

ベンダ情報 Adobe Security Bulletin : APSB16-02
https://helpx.adobe.com/security/products/acrobat/apsb16-02.html
Adobe セキュリティ情報 : APSB16-02
https://helpx.adobe.com/jp/security/products/reader/apsb16-02.html
富士通セキュリティ情報 : アドビシステムズ社 Adobe Reader の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20160114.html

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。本脆弱性は、CVE-2016-0931、CVE-2016-0933、CVE-2016-0938、CVE-2016-0939、CVE-2016-0942、CVE-2016-0944、CVE-2016-0945、および CVE-2016-0946 とは異なる脆弱性です。

影響を受ける製品アドビシステムズ
Adobe Acrobat XI デスクトップ 11.0.14 未満 (Windows/Macintosh)
Adobe Acrobat DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Reader XI デスクトップ 11.0.14 未満 (Windows/Macintosh)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(JVNDB-2016-001038)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001038.html
Vulnerability Summary for CVE-2016-0936 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0936

(50)Windows および Mac OS X 上で稼動する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0933)

ベンダ情報 Adobe Security Bulletin : APSB16-02
https://helpx.adobe.com/security/products/acrobat/apsb16-02.html
Adobe セキュリティ情報 : APSB16-02
https://helpx.adobe.com/jp/security/products/reader/apsb16-02.html
富士通セキュリティ情報 : アドビシステムズ社 Adobe Reader の脆弱性に関するお知らせ
http://www.fmworld.net/biz/common/adobe/20160114.html

CVSS による深刻度 10 (危険) [ NVD値 ]

概要 Windows および Mac OS X 上で稼動する Adobe Reader および Acrobat には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。本脆弱性は、CVE-2016-0931、CVE-2016-0936、CVE-2016-0938、CVE-2016-0939、CVE-2016-0942、CVE-2016-0944、CVE-2016-0945、および CVE-2016-0946 とは異なる脆弱性です。

影響を受ける製品アドビシステムズ
Adobe Acrobat XI デスクトップ 11.0.14 未満 (Windows/Macintosh)
Adobe Acrobat DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC クラシック 15.006.30119 未満 (Windows/Macintosh)
Adobe Acrobat Reader DC 連続トラック 15.010.20056 未満 (Windows/Macintosh)
Adobe Reader XI デスクトップ 11.0.14 未満 (Windows/Macintosh)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Windows および Mac OS X 上で稼動する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(JVNDB-2016-001035)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001035.html
Vulnerability Summary for CVE-2016-0933 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0933

(51)複数の Microsoft Office 製品における任意のコードを実行される脆弱性(CVE-2016-0035)

ベンダ情報 Microsoft Security Bulletin : MS16-004
https://technet.microsoft.com/en-us/library/security/ms16-004.aspx
マイクロソフトセキュリティ情報 : MS16-004
https://technet.microsoft.com/ja-jp/library/security/ms16-004.aspx

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要複数の Microsoft Office 製品には、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Office のメモリの破損の脆弱性」と記載されています。

影響を受ける製品マイクロソフト
Microsoft Excel 2007 SP3
Microsoft Excel 2010 SP2 (32 ビット版)
Microsoft Excel 2010 SP2 (64 ビット版)
Microsoft Excel 2013 RT SP1
Microsoft Excel 2013 SP1 (32 ビット版)
Microsoft Excel 2013 SP1 (64 ビット版)
Microsoft Excel 2016 (32 ビット版)
Microsoft Excel 2016 (64 ビット版)
Microsoft Excel 2016 for Mac
Microsoft Excel Viewer
Microsoft Excel for Mac 2011
Microsoft Office 互換機能パック SP3

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報複数の Microsoft Office 製品における任意のコードを実行される脆弱性(JVNDB-2016-001032)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001032.html
Vulnerability Summary for CVE-2016-0035 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0035

(52)複数の Microsoft Office 製品における任意のコードを実行される脆弱性(CVE-2016-0010)

ベンダ情報 Microsoft Security Bulletin : MS16-004
https://technet.microsoft.com/en-us/library/security/ms16-004.aspx
マイクロソフトセキュリティ情報 : MS16-004
https://technet.microsoft.com/ja-jp/library/security/ms16-004.aspx

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要複数の Microsoft Office 製品には、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Office のメモリの破損の脆弱性」と記載されています。

影響を受ける製品マイクロソフト
Microsoft Excel 2016 for Mac
Microsoft Excel for Mac 2011
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 (32 ビット版)
Microsoft Office 2010 SP2 (64 ビット版)
Microsoft Office 2013 RT SP1
Microsoft Office 2013 SP1 (32 ビット版)
Microsoft Office 2013 SP1 (64 ビット版)
Microsoft Office 2016 (32 ビット版)
Microsoft Office 2016 (64 ビット版)
Microsoft PowerPoint for Mac
Microsoft PowerPoint for Mac 2011
Microsoft Word 2016 for Mac
Microsoft Word for Mac 2011
Microsoft Word Viewer

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報複数の Microsoft Office 製品における任意のコードを実行される脆弱性(JVNDB-2016-001029)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001029.html
Vulnerability Summary for CVE-2016-0010 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0010

(53)複数の Microsoft Windows 製品における任意のコードを実行される脆弱性(CVE-2016-0009)

ベンダ情報 Microsoft Security Bulletin : MS16-005
https://technet.microsoft.com/en-us/library/security/ms16-005.aspx
マイクロソフトセキュリティ情報 : MS16-005
https://technet.microsoft.com/ja-jp/library/security/ms16-005.aspx

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要複数の Microsoft Windows 製品には、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Win32k のリモートでコードが実行される脆弱性」と記載されています。

影響を受ける製品マイクロソフト
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール)
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール)
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報複数の Microsoft Windows 製品における任意のコードを実行される脆弱性(JVNDB-2016-001027)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001027.html
Vulnerability Summary for CVE-2016-0009 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0009

(54)複数の Microsoft Windows 製品における権限昇格の脆弱性(CVE-2016-0020)

ベンダ情報 Microsoft Security Bulletin : MS16-007
https://technet.microsoft.com/en-us/library/security/ms16-007.aspx
マイクロソフトセキュリティ情報 : MS16-007
https://technet.microsoft.com/ja-jp/library/security/ms16-007.aspx

CVSS による深刻度 7.2 (危険) [ NVD値 ]

概要複数の Microsoft Windows 製品は、DLL のロードを誤って処理するため、権限を取得される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「MAPI DLL 読み込みの特権の昇格の脆弱性」と記載されています。補足情報 : CWE による脆弱性タイプは、CWE-426: Untrusted Search Path (信頼性のない検索パス) と識別されています。 http://cwe.mitre.org/data/definitions/426.html

影響を受ける製品マイクロソフト
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Vista SP2
Microsoft Windows Vista x64 Edition SP2

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報複数の Microsoft Windows 製品における権限昇格の脆弱性(JVNDB-2016-001025)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001025.html
Vulnerability Summary for CVE-2016-0020 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0020

(55)Microsoft Windows 10 のリモートデスクトッププロトコルサービスの実装におけるアクセス制限を回避される脆弱性(CVE-2016-0019)

ベンダ情報 Microsoft Security Bulletin : MS16-007
https://technet.microsoft.com/en-us/library/security/ms16-007.aspx
マイクロソフトセキュリティ情報 : MS16-007
https://technet.microsoft.com/ja-jp/library/security/ms16-007.aspx

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要 Microsoft Windows 10 のリモートデスクトッププロトコル (RDP) サービスの実装には、アクセス制限を回避され、パスワードが設定されていないアカウントへの接続を確立される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Windows リモートデスクトッププロトコルのセキュリティバイパスの脆弱性」と記載されています。補足情報 : CWE による脆弱性タイプは、CWE-254: Security Features (セキュリティ機能) と識別されています。 http://cwe.mitre.org/data/definitions/254.html

影響を受ける製品マイクロソフト
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1511 for 32-bit Systems
Microsoft Windows 10 Version 1511 for x64-based Systems

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Microsoft Windows 10 のリモートデスクトッププロトコルサービスの実装におけるアクセス制限を回避される脆弱性(JVNDB-2016-001024)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001024.html
Vulnerability Summary for CVE-2016-0019 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0019

(56)Microsoft Silverlight における任意のコードを実行される脆弱性(CVE-2016-0034)

ベンダ情報 Microsoft Security Bulletin : MS16-006
https://technet.microsoft.com/en-us/library/security/ms16-006.aspx
マイクロソフトセキュリティ情報 : MS16-006
https://technet.microsoft.com/ja-jp/library/security/ms16-006.aspx

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要 Microsoft Silverlight は、デコードの際に負のオフセットを誤って処理するため、任意のコードを実行される、またはサービス運用妨害 (オブジェクトヘッダの破損) 状態にされる脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Silverlight ランタイムのリモートでコードが実行される脆弱性」と記載されています。

影響を受ける製品マイクロソフト
Microsoft Silverlight 5
Microsoft Silverlight 5 Developer Runtime

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Microsoft Silverlight における任意のコードを実行される脆弱性(JVNDB-2016-001020)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001020.html
Vulnerability Summary for CVE-2016-0034 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0034

(57)Microsoft Edge の Chakra JavaScript エンジンにおける任意のコードを実行される脆弱性(CVE-2016-0024)

ベンダ情報 Microsoft Security Bulletin : MS16-002
https://technet.microsoft.com/en-us/library/security/ms16-002.aspx
マイクロソフトセキュリティ情報 : MS16-002
https://technet.microsoft.com/ja-jp/library/security/ms16-002.aspx

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要 Microsoft Edge の Chakra JavaScript エンジンには、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「スクリプトエンジンのメモリ破損の脆弱性」と記載されています。

影響を受ける製品マイクロソフト
Microsoft Edge (Windows 10)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Microsoft Edge の Chakra JavaScript エンジンにおける任意のコードを実行される脆弱性(JVNDB-2016-001013)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001013.html
Vulnerability Summary for CVE-2016-0024 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0024

(58)Microsoft Edge における任意のコードを実行される脆弱性(CVE-2016-0003)

ベンダ情報 Microsoft Security Bulletin : MS16-002
https://technet.microsoft.com/en-us/library/security/ms16-002.aspx
マイクロソフトセキュリティ情報 : MS16-002
https://technet.microsoft.com/ja-jp/library/security/ms16-002.aspx

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要 Microsoft Edge には、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Edge のメモリ破損の脆弱性」と記載されています。

影響を受ける製品マイクロソフト
Microsoft Edge (Windows 10)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Microsoft Edge における任意のコードを実行される脆弱性(JVNDB-2016-001012)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001012.html
Vulnerability Summary for CVE-2016-0003 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0003

(59)Microsoft Internet Explorer 8 から 11 などの製品で使用される VBScript および JScript エンジンにおける任意のコードを実行される脆弱性(CVE-2016-0002)

ベンダ情報 Microsoft Security Bulletin : MS16-003
https://technet.microsoft.com/en-us/library/security/ms16-003.aspx
Microsoft Security Bulletin : MS16-001
https://technet.microsoft.com/en-us/library/security/ms16-001.aspx
マイクロソフトセキュリティ情報 : MS16-003
https://technet.microsoft.com/ja-jp/library/security/ms16-003.aspx
マイクロソフトセキュリティ情報 : MS16-001
https://technet.microsoft.com/ja-jp/library/security/ms16-001.aspx

CVSS による深刻度 9.3 (危険) [ NVD値 ]

概要 Microsoft Internet Explorer 8 から 11 およびその他の製品で使用される (1) VBScript および (2) JScript エンジンには、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「スクリプトエンジンのメモリ破損の脆弱性」と記載されています。

影響を受ける製品マイクロソフト
JScript 5.7 (Internet Explorer 7)
JScript 5.8 (Internet Explorer 8)
Microsoft Internet Explorer 10
Microsoft Internet Explorer 11
Microsoft Internet Explorer 11 (Windows 10)
Microsoft Internet Explorer 8
Microsoft Internet Explorer 9
VBScript 5.7 (Internet Explorer 7)
VBScript 5.8 (Internet Explorer 8)

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 Microsoft Internet Explorer 8 から 11 などの製品で使用される VBScript および JScript エンジンにおける任意のコードを実行される脆弱性(JVNDB-2016-001010)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001010.html
Vulnerability Summary for CVE-2016-0002 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0002

(60)ownCloud Server におけるディレクトリ一覧から重要な情報を取得される脆弱性(CVE-2016-1499)

ベンダ情報 ownCloud : oC-SA-2016-002
https://owncloud.org/security/advisory/?id=oc-sa-2016-002

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 ownCloud Server には、ディレクトリ一覧から重要な情報を取得される、およびサービス運用妨害 (CPU 資源の消費) 状態にされる脆弱性が存在します。

影響を受ける製品 ownCloud
ownCloud 8.0.10 未満
ownCloud 8.1.5 未満の 8.1.x
ownCloud 8.2.2 未満の 8.2.x

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 ownCloud Server におけるディレクトリ一覧から重要な情報を取得される脆弱性(JVNDB-2016-001006)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001006.html
Vulnerability Summary for CVE-2016-1499 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1499

(61)Ipswitch WhatsUp Gold の XML オブジェクトのデシリアライズ処理に脆弱性(CVE-2015-8261)

ベンダ情報 Ipswitch : WhatsUp Gold
http://www.whatsupgold.com/jp/

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 Ipswitch, Inc が提供する WhatsUp Gold は、SOAP リクエスト経由で受信した XML オブジェクトのデシリアライズの際、データを適切に検証しません。信頼できないデータのデシリアライズ (CWE-502) - CVE-2015-8261 WhatsUp Gold には、SOAP リクエストハンドラ DroneDeleteOldMeasurements が存在します。SOAP リクエストを介することで、シリアライズした XML オブジェクトに含まれたユーザ指定のデータがサニタイジングやエスケープ処理が行われないまま直接 SQL 文に含まれるため、結果として攻撃者が SQL インジェクションを実行することが可能となります。 CWE-502: Deserialization of Untrusted Data http://cwe.mitre.org/data/definitions/502.html

影響を受ける製品 Ipswitch, Inc.
WhatsUp Gold version 16.3

対策 [アップデートする] Ipswitch, Inc が提供する情報をもとに、最新版へアップデートしてください。 Ipswitch, Inc はこれらの脆弱性を修正した WhatsUp Gold 16.4 をリリースしています。

参考情報 Ipswitch WhatsUp Gold の XML オブジェクトのデシリアライズ処理に脆弱性(JVNDB-2016-001004)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001004.html
Vulnerability Summary for CVE-2015-8261 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8261

(62)PCRE の pcre_compile.c の pcre_compile2 関数におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-1283)

ベンダ情報 Exim bugzilla : Bug 1767
https://bugs.exim.org/show_bug.cgi?id=1767

CVSS による深刻度 7.5 (危険) [ NVD値 ]

概要 PCRE の pcre_compile.c の pcre_compile2 関数は、名前の付いたサブグループを持つ /((?:F?+(?:^(?(R)a+\"){99}-))(?J)(?'R'(?'R'<((?'RR'(?'R'\){97)?J)?J)(?'R'(?'R'\){99|(:(?|(?'R')(\k'R')|((?'R')))H'R'R)(H'R))))))/ パターンおよび関連するパターンを誤って処理するため、サービス運用妨害 (ヒープベースのバッファオーバーフロー) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。

影響を受ける製品 pcre.org
PCRE 8.38

対策ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

参考情報 PCRE の pcre_compile.c の pcre_compile2 関数におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-001003)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001003.html
Vulnerability Summary for CVE-2016-1283 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1283

(63)古野電気製 Voyage Data Recorder (VDR) にユーザ入力値を適切に検証しない脆弱性()

ベンダ情報古野電気株式会社 : VDR
http://www.furuno.com/jp/merchant/vdr/

CVSS による深刻度 10 (危険) [ NVD値 ]

概要古野電気株式会社が提供する Voyage Data Recorder (VDR) VR-3000/VR-3000S および VR-7000 のファームウェアアップデート機能 moduleserv には、ユーザの入力値を適切に検証しないため、root 権限で任意のコマンドを実行される脆弱性が存在します。古野電気株式会社の製品ページには、この VDR は "Records all crucial data to identify the cause of maritime casualty as well as contribute to the future prevention of the catastrophe of any kind. (海上災害の原因特定だけでなく、将来起こり得るあらゆる災害の防止に役立てるための重要なデータを全て記録しています。)" と記載されています。 Voyage Data Recorder (VDR) VR-3000/VR-3000S および VR-7000 のファームウェアアップデート機能 moduleserv は、10110/TCP で通信を待ち受けています。moduleserv はユーザの入力値を適切に検証しないため、攻撃者は root 権限で任意のコマンドを実行することが可能です。詳しい情報は IOActive のブログ、Maritime Security: Hacking into a Voyage Data Recorder (VDR) をご確認ください。 Maritime Security: Hacking into a Voyage Data Recorder (VDR) http://blog.ioactive.com/2015/12/maritime-security-hacking-into-voyage.html

影響を受ける製品古野電気株式会社
VR-3000/VR-3000S ファームウェア V1.50 から V1.54 まで
VR-3000/VR-3000S ファームウェア V1.61 およびそれ以前の V1.6 系
VR-3000/VR-3000S ファームウェア V2.06 から V2.54 まで
VR-3000/VR-3000S ファームウェア V2.60 から V2.61 まで
VR-7000 ファームウェア V1.02 およびそれ以前

対策 [アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。開発者は、本脆弱性の対策版として次のファームウェアをリリースしています。 VR-3000/VR-3000S: * ファームウェアバージョン V1.50 向け対策版 V1.56 * ファームウェアバージョン V1.61 向け対策版 V1.62 * ファームウェアバージョン V2.06 から V2.54 までのバージョン向け対策版 V2.56 * ファームウェアバージョン V2.60 から V2.61 までのバージョン向け対策版 V2.62 VR-7000: * ファームウェアバージョン V1.02 向け対策版 V1.04

参考情報古野電気製 Voyage Data Recorder (VDR) にユーザ入力値を適切に検証しない脆弱性(JVNDB-2016-001002)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001002.html
Vulnerability Summary for (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=

2.CVSSによる深刻度とは

本レポートにて設定されている値は、共通脆弱性評価システムである CVSS を用いて評価されております。
CVSS による深刻度（JVN iPedia）
http://jvndb.jvn.jp/nav/jvndbhelp.html#jvndb3
CVSS でぜい弱性を評価してみよう（ITpro）
http://itpro.nikkeibp.co.jp/article/COLUMN/20070808/279327/
National Vulnerability Database（NVD）
http://nvd.nist.gov/home.cfm

3. 脆弱性を悪用した攻撃に犯されてしまうと・・

上記脆弱性を悪用した攻撃やその他マルウェアに感染してしまうと、お使いの PC を乗っ取られたり金銭を要求する詐欺行為の被害に遭う恐れがあります。また、昨今のサイバー攻撃の被害は企業レベルに及ぶ場合もあり、その被害金額や対処に必要な工数が膨大になったり、訴訟問題になる事例も確認されております。業務やご家庭で PC をご利用されている以上、最低限のレベルでのセキュリティ対策は必須と言っても過言ではありません。まずはご使用の PC のセキュリティ状況をチェックし、各ベンダ提供のセキュリティパッチの適用、ウイルス対策ソフトのインストール等ご対応をお願い致します。
更なるサイバー犯罪の脅威の対策をお望みの方は、弊社がご提供させていただいているセキュリティソリューション「SHIELD」や、弊社も推奨させていただいている、最新ウイルスの駆除に特化した従来のパターンファイルでの駆除に依存しない次世代セキュリティソリューション「yarai」をお勧め致します。
http://www.hitachi-systems.com/solution/t01/shield/
http://www.hitachi-systems.com/solution/s105/yarai/index.html

※ ウイルス対策製品は企業ごと多種多様の性能を備えております。詳しくは各ベンダのサイト等をご参照下さい。

上に戻る
※ 各会社名、団体名、商品名は各社、各団体の商品名称、または登録商標です。

ベンダ情報	MariaDB : MariaDB 10.0.23 Release Notes https://mariadb.com/kb/en/mariadb/mariadb-10023-release-notes/ MariaDB : MariaDB 10.1.10 Release Notes https://mariadb.com/kb/en/mariadb/mariadb-10110-release-notes/ MariaDB : MariaDB 5.5.47 Release Notes https://mariadb.com/kb/en/mariadb/mariadb-5547-release-notes/ Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016 http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html SECURITY BLOG : January 2016 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2016_critical_patch_update
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	Oracle MySQL の MySQL Server には、Client に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
影響を受ける製品	MySQL AB MySQL 5.5.9 およびそれ以前オラクル MySQL 5.5.46 およびそれ以前 MySQL 5.6.27 およびそれ以前 MySQL 5.7.9
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle MySQL の MySQL Server における Client に関する脆弱性(JVNDB-2016-001080) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001080.html Vulnerability Summary for CVE-2016-0546 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0546

ベンダ情報	Debian Security Advisory : DSA-3451 https://www.debian.org/security/2016/dsa-3451
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	Debian jessie、stretch、および sid の fuse パッケージの不特定の udev ルールは、/dev/cuse キャラクタデバイスに誰でも書き込み可能な (world-writable) パーミッションを設定するため、権限を取得される脆弱性が存在します。
影響を受ける製品	Debian fuse 2.9.3-15+deb8u2 未満 (jessie) fuse 2.9.5-1 未満 (sid) fuse 2.9.5-1 未満 (stretch)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Debian の fuse パッケージの不特定の udev ルールにおける権限を取得される脆弱性(JVNDB-2016-001342) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001342.html Vulnerability Summary for CVE-2016-1233 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1233

ベンダ情報	Lexmark Security Advisory : TE745 http://support.lexmark.com/index?page=content&id=TE745
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Lexmark プリンタのファームウェアの初期化プロセスには、競合状態により、認証を回避される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-254: Security Features (セキュリティ機能) と識別されています。 http://cwe.mitre.org/data/definitions/254.html
影響を受ける製品	Lexmark C4150 HASH(0xa225820) C6160 HASH(0xa2a6b80) CS720de HASH(0xa2d9948) CS720dte HASH(0xa2d9788) CS725de HASH(0xa2e7828) CS725dte HASH(0xa221820) CS820de HASH(0xa2cf658) CS820dte HASH(0xa223a08) CS820dtfe HASH(0x9ecb1e8) CX725de HASH(0xa296fe8) CX725dhe HASH(0xa2972c8) CX725dthe HASH(0xa2a6060) CX820de HASH(0xa2a6280) CX820dtfe HASH(0xa2a6c30) CX825de HASH(0xa2a9170) CX825dte HASH(0xa1221b0) CX825dtfe HASH(0xa2e2ab8) CX860de HASH(0xa228d28) CX860dte HASH(0xa2e7218) CX860dtfe HASH(0xa2e2628) Lexmark プリンタファームウェア ATL.02.049 未満の ATL Lexmark プリンタファームウェア CB.02.049 未満の CB Lexmark プリンタファームウェア PP.02.049 未満の PP Lexmark プリンタファームウェア YK.02.049 未満の YK XC4150 HASH(0xa2d93d8) XC6152de HASH(0xa2d93a8) XC6152dtfe HASH(0xa2d93f8) XC8155de HASH(0xa2d8f48) XC8155dte HASH(0xa262128) XC8160de HASH(0xa2d4c70) XC8160dte HASH(0xa2698a0)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Lexmark プリンタのファームウェアの初期化プロセスにおける認証を回避される脆弱性(JVNDB-2016-001341) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001341.html Vulnerability Summary for CVE-2016-1896 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1896

ベンダ情報	NEC : 日本電気株式会社の告知ページ http://jpn.nec.com/security-info/secinfo/nv16-001.html
CVSS による深刻度	7.8 (危険) [ NVD値 ]
概要	日本電気株式会社が提供する CLUSTERPRO X は、システムの高可用性 (HA) クラスタリングを実現するためのソフトウェアです。CLUSTERPRO X には、WebManager 機能に起因するディレクトリトラバーサルの脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社サイバーディフェンス研究所坂井　祐介氏
影響を受ける製品	日本電気 CLUSTERPRO X 3.3 for Linux (内部Ver. 3.3.1-1) およびそれ以前 CLUSTERPRO X 3.3 for Solaris (内部Ver. 3.3.1-1) およびそれ以前 CLUSTERPRO X 3.3 for Windows (内部Ver. 11.31) およびそれ以前
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 [ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 * IP アドレスによるアクセス制限を有効にする * パスワードによるアクセス制限を有効にする
参考情報	CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性(JVNDB-2016-000015) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-000015.html Vulnerability Summary for CVE-2016-1145 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1145

ベンダ情報	PROMOTIC : Version 8.3.11 (from 19.1.2016) - stable version http://www.promotic.eu/en/pmdoc/NewsPm803.htm#ver80311
CVSS による深刻度	7.1 (危険) [ NVD値 ]
概要	MICROSYS PROMOTIC には、ヒープベースのバッファオーバーフローの脆弱性が存在します。
影響を受ける製品	MICROSYS PROMOTIC 8.3.11 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	MICROSYS PROMOTIC におけるヒープベースのバッファオーバーフローの脆弱性(JVNDB-2016-001332) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001332.html Vulnerability Summary for CVE-2016-0869 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0869

ベンダ情報	Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Google : Stable Channel Update http://googlechromereleases.blogspot.com/2016/01/stable-channel-update_20.html Google Code : Issue 544270 https://code.google.com/p/chromium/issues/detail?id=544270 Google Code : Issue 579625 https://code.google.com/p/chromium/issues/detail?id=579625 HarfBuzz : Top Page http://freedesktop.org/wiki/Software/HarfBuzz/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Google Chrome で使用される HarfBuzz には、サービス運用妨害 (DoS) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。
影響を受ける製品	HarfBuzz project HarfBuzz 1.0.6 未満 Google Google Chrome 48.0.2564.82 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Google Chrome で使用される HarfBuzz におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-001329) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001329.html Vulnerability Summary for CVE-2016-2052 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2052

ベンダ情報	Google : Stable Channel Update http://googlechromereleases.blogspot.com/2016/01/stable-channel-update_20.html Google : Google Chrome https://www.google.com/intl/ja/chrome/browser/features.html Google Code : Issue 579625 https://code.google.com/p/chromium/issues/detail?id=579625
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Google Chrome には、サービス運用妨害 (DoS) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。
影響を受ける製品	Google Google Chrome 48.0.2564.82 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Google Chrome におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-001327) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001327.html Vulnerability Summary for CVE-2016-1620 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1620

ベンダ情報	Harman : Firmware Files - Hot Fix Files http://www.amx.com/techcenter/firmware.asp?Category=Hot%20Fix%20Files Harman : NetLinx Controller Security Brief http://www.amx.com/techcenter/NXSecurityBrief/
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Harman AMX デバイスの /bin/bw の setUpSubtleUserAccount 関数には、1MB@tMaN アカウントに対してハードコードされたパスワードを使用するため、アクセス権を取得される脆弱性が存在します。本脆弱性は、CVE-2015-8362 とは異なる脆弱性です。
影響を受ける製品	Harman AMX 2016-01-20 より前のファームウェア
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Harman AMX デバイスの /bin/bw の setUpSubtleUserAccount 関数におけるアクセス権を取得される脆弱性(JVNDB-2016-001313) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001313.html Vulnerability Summary for CVE-2016-1984 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1984

ベンダ情報	Harman : NetLinx Controller Security Brief http://www.amx.com/techcenter/NXSecurityBrief/ Harman : Firmware Files - Hot Fix Files http://www.amx.com/techcenter/firmware.asp?Category=Hot%20Fix%20Files
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	複数の Harman AMX 製品には、デバッグ用のアカウントがハードコードされている問題が存在します。認証情報がハードコードされている問題 (CWE-798) - CVE-2015-8362 発見者のブログ投稿によると、AMX シリーズの複数のモデルには、ハードコードされた管理権限アカウント ("バックドア") が存在します。さらに詳しい情報は、発見者の脆弱性アドバイザリをご確認ください。AMX のリリースノートには、これはデバッグ用アカウントであったと記載されています。 CWE-798: Use of Hard-coded Credentials http://cwe.mitre.org/data/definitions/798.html ブログ投稿 http://blog.sec-consult.com/2016/01/deliberately-hidden-backdoor-account-in.html 脆弱性アドバイザリ https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20160121-0_AMX_Deliberately_hidden_backdoor_account_v10.txt AMX のリリースノート http://www.amx.com/techcenter/firmware.asp?Category=Hot%20Fix%20Files
影響を受ける製品	Harman AMX NX-1200 ファームウェア v1.2.322 AMX NX-1200 ファームウェア v1.3.100
対策	[アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。開発者はいくつかの製品に対してアップデートをリリースしています。アップデートの入手に関するさらに詳しい情報は、開発者へお問い合わせください。アップデート http://www.amx.com/techcenter/NXSecurityBrief/
参考情報	Harman AMX 製品がハードコードされたパスワードを使用する問題(JVNDB-2016-001312) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001312.html Vulnerability Summary for CVE-2015-8362 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8362

ベンダ情報	GitHub : Patch for Heap Buffer Overflow in EscapeShell https://github.com/php/php-src/commit/2871c70efaaaa0f102557a17c727fd4d5204dd4b PHP Bugs : Sec Bug #71270 https://bugs.php.net/bug.php?id=71270 The PHP Group : PHP 7 ChangeLog http://www.php.net/ChangeLog-7.php
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	PHP の ext/standard/exec.c には、整数オーバーフローの脆弱性が存在します。
影響を受ける製品	The PHP Group PHP 7.0.2 未満の 7.x
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	PHP の ext/standard/exec.c における整数オーバーフローの脆弱性(JVNDB-2016-001310) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001310.html Vulnerability Summary for CVE-2016-1904 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1904

ベンダ情報	cgit : filter: avoid integer overflow in authenticate_post http://git.zx2c4.com/cgit/commit/?id=4458abf64172a62b92810c2293450106e6dfc763 cgit : [ANNOUNCE] CGIT v0.12 Released http://lists.zx2c4.com/pipermail/cgit/2016-January/002817.html
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	cgit の authenticate_post 関数には、整数オーバーフローの脆弱性が存在します。
影響を受ける製品	Jason A. Donenfeld cgit 0.12 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	cgit の authenticate_post 関数における整数オーバーフローの脆弱性(JVNDB-2016-001308) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001308.html Vulnerability Summary for CVE-2016-1901 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1901

ベンダ情報	SAP : SAP Security Notes January 2016 - Review (2241978) http://scn.sap.com/community/security/blog/2016/01/12/sap-security-notes-january-2016-review
CVSS による深刻度	8.5 (危険) [ NVD値 ]
概要	SAP HANA の XS エンジン (hdbxsengine) には、不特定の debug 関数に関する処理に不備があるため、トレースファイルのログエントリを偽装され、その結果、サービス運用妨害 (ディスクの消費およびプロセスクラッシュ) 状態にされる脆弱性が存在します。ベンダは、本脆弱性を SAP Security Note 2241978 として公開しています。
影響を受ける製品	SAP SAP HANA HASH(0xa2ebf88)
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	SAP HANA の XS エンジンにおけるトレースファイルのログエントリを偽装される脆弱性(JVNDB-2016-001305) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001305.html Vulnerability Summary for CVE-2016-1929 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1929

ベンダ情報	FortiGuard Security Advisories : FortiOS SSH Undocumented Interactive Login Vulnerability http://www.fortiguard.com/advisory/fortios-ssh-undocumented-interactive-login-vulnerability Fortinet : Brief Statement Regarding Issues Found with FortiOS http://blog.fortinet.com/post/brief-statement-regarding-issues-found-with-fortios
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	FortiOS は、Fortimanager_Access アカウントに対してハードコードされたパスフレーズを使用するため、管理アクセス権を取得される脆弱性が存在します。
影響を受ける製品	フォーティネット FortiOS 4.3.17 未満の 4.x FortiOS 5.0.8 未満の 5.0.x
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	FortiOS における管理アクセス権を取得される脆弱性(JVNDB-2016-001296) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001296.html Vulnerability Summary for CVE-2016-1909 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1909

ベンダ情報	Advantech : Advantech WebAccess http://www.advantech.com/industrial-automation/webaccess
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Advantech WebAccess の BwpAlarm サブシステムには、バッファオーバーフローの脆弱性が存在します。
影響を受ける製品	アドバンテック株式会社 Advantech WebAccess 8.1 未満
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Advantech WebAccess の BwpAlarm サブシステムにおけるバッファオーバーフローの脆弱性(JVNDB-2016-001290) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001290.html Vulnerability Summary for CVE-2016-0860 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0860

ベンダ情報	Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016 http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html SECURITY BLOG : January 2016 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2016_critical_patch_update
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Oracle GoldenGate の Oracle GoldenGate コンポーネントには、機密性、完全性、および可用性に影響のある脆弱性が存在します。本脆弱性は、CVE-2016-0451 とは異なる脆弱性です。
影響を受ける製品	オラクル Oracle GoldenGate 11.2 Oracle GoldenGate 12.1.2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle GoldenGate の Oracle GoldenGate コンポーネントにおける脆弱性(JVNDB-2016-001278) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001278.html Vulnerability Summary for CVE-2016-0452 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0452

ベンダ情報	Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016 http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html SECURITY BLOG : January 2016 Critical Patch Update Released https://blogs.oracle.com/security/entry/january_2016_critical_patch_update
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Oracle Fusion Middleware の Oracle WebLogic Server には、WLS Core Components に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。本脆弱性は、CVE-2016-0574 とは異なる脆弱性です。
影響を受ける製品	オラクル Oracle WebLogic Server 10.3.6 Oracle WebLogic Server 12.1.2 Oracle WebLogic Server 12.1.3 Oracle WebLogic Server 12.2.1
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Oracle Fusion Middleware の Oracle WebLogic Server における WLS Core Components に関する脆弱性(JVNDB-2016-001247) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001247.html Vulnerability Summary for CVE-2016-0577 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0577

ベンダ情報	Microsoft Security Bulletin : MS16-007 https://technet.microsoft.com/en-us/library/security/ms16-007.aspx マイクロソフトセキュリティ情報 : MS16-007 https://technet.microsoft.com/ja-jp/library/security/ms16-007.aspx
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	複数の Microsoft Windows 製品の DirectShow には、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「DirectShow のヒープ破損のリモートでコードが実行される脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Windows 10 for 32-bit Systems Microsoft Windows 10 for x64-based Systems Microsoft Windows 10 Version 1511 for 32-bit Systems Microsoft Windows 10 Version 1511 for x64-based Systems Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows 8 for 32-bit Systems Microsoft Windows 8 for x64-based Systems Microsoft Windows 8.1 for 32-bit Systems Microsoft Windows 8.1 for x64-based Systems Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2012 HASH(0xa223d78) Microsoft Windows Server 2012 R2 Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	複数の Microsoft Windows 製品の DirectShow における任意のコードを実行される脆弱性(JVNDB-2016-001053) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001053.html Vulnerability Summary for CVE-2016-0015 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0015

ベンダ情報	Adobe Security Bulletin : APSB16-02 https://helpx.adobe.com/security/products/acrobat/apsb16-02.html Adobe セキュリティ情報 : APSB16-02 https://helpx.adobe.com/jp/security/products/reader/apsb16-02.html 富士通セキュリティ情報 : アドビシステムズ社 Adobe Reader の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20160114.html
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat で使用される Adobe Download Manager には、検索パスに関する処理に不備があるため、権限を取得される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-426: Untrusted Search Path (信頼性のない検索パス) と識別されています。 http://cwe.mitre.org/data/definitions/426.html
影響を受ける製品	アドビシステムズ Adobe Acrobat XI デスクトップ 11.0.14 未満 (Windows/Macintosh) Adobe Acrobat DC クラシック 15.006.30119 未満 (Windows/Macintosh) Adobe Acrobat DC 連続トラック 15.010.20056 未満 (Windows/Macintosh) Adobe Acrobat Reader DC クラシック 15.006.30119 未満 (Windows/Macintosh) Adobe Acrobat Reader DC 連続トラック 15.010.20056 未満 (Windows/Macintosh) Adobe Reader XI デスクトップ 11.0.14 未満 (Windows/Macintosh)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat で使用される Adobe Download Manager における権限を取得される脆弱性(JVNDB-2016-001049) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001049.html Vulnerability Summary for CVE-2016-0947 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0947

ベンダ情報	Microsoft Security Bulletin : MS16-004 https://technet.microsoft.com/en-us/library/security/ms16-004.aspx マイクロソフトセキュリティ情報 : MS16-004 https://technet.microsoft.com/ja-jp/library/security/ms16-004.aspx
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	複数の Microsoft Office 製品には、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Office のメモリの破損の脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Excel 2007 SP3 Microsoft Excel 2010 SP2 (32 ビット版) Microsoft Excel 2010 SP2 (64 ビット版) Microsoft Excel 2013 RT SP1 Microsoft Excel 2013 SP1 (32 ビット版) Microsoft Excel 2013 SP1 (64 ビット版) Microsoft Excel 2016 (32 ビット版) Microsoft Excel 2016 (64 ビット版) Microsoft Excel 2016 for Mac Microsoft Excel Viewer Microsoft Excel for Mac 2011 Microsoft Office 互換機能パック SP3
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	複数の Microsoft Office 製品における任意のコードを実行される脆弱性(JVNDB-2016-001032) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001032.html Vulnerability Summary for CVE-2016-0035 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0035

ベンダ情報	Microsoft Security Bulletin : MS16-005 https://technet.microsoft.com/en-us/library/security/ms16-005.aspx マイクロソフトセキュリティ情報 : MS16-005 https://technet.microsoft.com/ja-jp/library/security/ms16-005.aspx
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	複数の Microsoft Windows 製品には、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Win32k のリモートでコードが実行される脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール) Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール) Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール) Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	複数の Microsoft Windows 製品における任意のコードを実行される脆弱性(JVNDB-2016-001027) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001027.html Vulnerability Summary for CVE-2016-0009 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0009

2016年1月の月例セキュリティ情報

1.2016年1月に公開された危険度の高い脆弱性情報

掲載範囲：CVSS により深刻度が危険と指定され、一般的に影響が大きいとされるものを抜粋

(1)Oracle MySQL の MySQL Server における Client に関する脆弱性(CVE-2016-0546)

(2)Debian の fuse パッケージの不特定の udev ルールにおける権限を取得される脆弱性(CVE-2016-1233)

(3)Lexmark プリンタのファームウェアの初期化プロセスにおける認証を回避される脆弱性(CVE-2016-1896)

(4)CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性(CVE-2016-1145)

(5)MICROSYS PROMOTIC におけるヒープベースのバッファオーバーフローの脆弱性(CVE-2016-0869)

(6)Google Chrome で使用される HarfBuzz におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-2052)

(7)Google Chrome におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-1620)

(8)Harman AMX デバイスの /bin/bw の setUpSubtleUserAccount 関数におけるアクセス権を取得される脆弱性(CVE-2016-1984)

(9)Harman AMX 製品がハードコードされたパスワードを使用する問題(CVE-2015-8362)

(10)PHP の ext/standard/exec.c における整数オーバーフローの脆弱性(CVE-2016-1904)

(11)cgit の authenticate_post 関数における整数オーバーフローの脆弱性(CVE-2016-1901)

(12)SAP HANA の XS エンジンにおけるトレースファイルのログエントリを偽装される脆弱性(CVE-2016-1929)

(13)SAP HANA の XS エンジンにおけるバッファオーバーフローの脆弱性(CVE-2016-1928)

(14)FortiOS における管理アクセス権を取得される脆弱性(CVE-2016-1909)

(15)Advantech WebAccess の BwpAlarm サブシステムにおけるバッファオーバーフローの脆弱性(CVE-2016-0860)

(16)Advantech WebAccess のカーネルサービスにおける整数オーバーフローの脆弱性(CVE-2016-0859)

(17)Advantech WebAccess における任意のコードを実行される脆弱性(CVE-2016-0858)

(18)Advantech WebAccess におけるヒープベースのバッファオーバーフローの脆弱性(CVE-2016-0857)

(19)Advantech WebAccess におけるスタックベースのバッファオーバーフローの脆弱性(CVE-2016-0856)

(20)Advantech WebAccess における任意のタイプのファイルに書き込まれる脆弱性(CVE-2016-0854)

(21)Oracle GoldenGate の Oracle GoldenGate コンポーネントにおける脆弱性(CVE-2016-0452)

(22)Oracle GoldenGate の Oracle GoldenGate コンポーネントにおける脆弱性(CVE-2016-0451)

(23)Oracle Fusion Middleware の Oracle WebLogic Server における WLS Core Components に関する脆弱性(CVE-2016-0577)

(24)Oracle Fusion Middleware の Oracle WebLogic Server における WLS Core Components に関する脆弱性(CVE-2016-0574)

(25)Oracle Fusion Middleware の Oracle WebLogic Server における WLS Java Messaging Service に関する脆弱性(CVE-2016-0573)

(26)Oracle Fusion Middleware の Oracle WebLogic Server における Coherence Container に関する脆弱性(CVE-2016-0572)

(27)Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Enterprise Infrastructure SEC に関する脆弱性(CVE-2016-0424)

(28)Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Enterprise Infrastructure SEC に関する脆弱性(CVE-2016-0423)

(29)Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Enterprise Infrastructure SEC に関する脆弱性(CVE-2016-0422)

(30)Oracle JD Edwards Products の JD Edwards EnterpriseOne Tools における Monitoring and Diagnostics に関する脆弱性(CVE-2016-0420)

(31)Oracle Retail Applications の Oracle Retail Open Commerce Platform Cloud Service における Framework に関する脆弱性(CVE-2016-0522)

(32)Oracle Retail Applications の Oracle Retail Order Broker Cloud Service における System Administration に関する脆弱性(CVE-2016-0500)

(33)Oracle Sun Solaris における SMB Utilities に関する脆弱性(CVE-2016-0403)

(34)Oracle Sun Systems Products Suite の Solaris における NFSv4 に関する脆弱性(CVE-2016-0440)

(35)Oracle Sun Systems Products Suite の Solaris における Solaris Kernel Zones に関する脆弱性(CVE-2016-0414)

(36)Advantech WebAccess におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-0851)

(37)Oracle Java SE および Java SE Embedded における 2D に関する脆弱性(CVE-2016-0494)

(38)複数の Oracle Java 製品における AWT に関する脆弱性(CVE-2016-0483)

(39)Oracle Database Server の Java VM における脆弱性(CVE-2016-0499)

(40)複数の Microsoft Windows 製品の DirectShow における任意のコードを実行される脆弱性(CVE-2016-0015)

(41)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat で使用される Adobe Download Manager における権限を取得される脆弱性(CVE-2016-0947)

(42)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0946)

(43)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0945)

(44)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0944)

(45)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0942)

(46)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0940)

(47)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat の AcroForm プラグインにおける任意のコードを実行される脆弱性(CVE-2016-0938)

(48)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat の OCG オブジェクトの実装における任意のコードを実行される脆弱性(CVE-2016-0937)

(49)Windows および Mac OS X 上で稼働する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0936)

(50)Windows および Mac OS X 上で稼動する Adobe Reader および Acrobat における任意のコードを実行される脆弱性(CVE-2016-0933)

(51)複数の Microsoft Office 製品における任意のコードを実行される脆弱性(CVE-2016-0035)

(52)複数の Microsoft Office 製品における任意のコードを実行される脆弱性(CVE-2016-0010)

(53)複数の Microsoft Windows 製品における任意のコードを実行される脆弱性(CVE-2016-0009)

(54)複数の Microsoft Windows 製品における権限昇格の脆弱性(CVE-2016-0020)

(55)Microsoft Windows 10 のリモートデスクトッププロトコルサービスの実装におけるアクセス制限を回避される脆弱性(CVE-2016-0019)

(56)Microsoft Silverlight における任意のコードを実行される脆弱性(CVE-2016-0034)

(57)Microsoft Edge の Chakra JavaScript エンジンにおける任意のコードを実行される脆弱性(CVE-2016-0024)

(58)Microsoft Edge における任意のコードを実行される脆弱性(CVE-2016-0003)

(59)Microsoft Internet Explorer 8 から 11 などの製品で使用される VBScript および JScript エンジンにおける任意のコードを実行される脆弱性(CVE-2016-0002)

(60)ownCloud Server におけるディレクトリ一覧から重要な情報を取得される脆弱性(CVE-2016-1499)

(61)Ipswitch WhatsUp Gold の XML オブジェクトのデシリアライズ処理に脆弱性(CVE-2015-8261)

(62)PCRE の pcre_compile.c の pcre_compile2 関数におけるサービス運用妨害 (DoS) の脆弱性(CVE-2016-1283)

(63)古野電気製 Voyage Data Recorder (VDR) にユーザ入力値を適切に検証しない脆弱性()

2.CVSSによる深刻度とは

3. 脆弱性を悪用した攻撃に犯されてしまうと・・

免責事項や著作権など

ベンダ情報	Microsoft Security Bulletin : MS16-006 https://technet.microsoft.com/en-us/library/security/ms16-006.aspx マイクロソフトセキュリティ情報 : MS16-006 https://technet.microsoft.com/ja-jp/library/security/ms16-006.aspx
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Microsoft Silverlight は、デコードの際に負のオフセットを誤って処理するため、任意のコードを実行される、またはサービス運用妨害 (オブジェクトヘッダの破損) 状態にされる脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Silverlight ランタイムのリモートでコードが実行される脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Silverlight 5 Microsoft Silverlight 5 Developer Runtime
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Microsoft Silverlight における任意のコードを実行される脆弱性(JVNDB-2016-001020) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001020.html Vulnerability Summary for CVE-2016-0034 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0034

ベンダ情報	Microsoft Security Bulletin : MS16-002 https://technet.microsoft.com/en-us/library/security/ms16-002.aspx マイクロソフトセキュリティ情報 : MS16-002 https://technet.microsoft.com/ja-jp/library/security/ms16-002.aspx
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Microsoft Edge の Chakra JavaScript エンジンには、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「スクリプトエンジンのメモリ破損の脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Edge (Windows 10)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Microsoft Edge の Chakra JavaScript エンジンにおける任意のコードを実行される脆弱性(JVNDB-2016-001013) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001013.html Vulnerability Summary for CVE-2016-0024 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0024

ベンダ情報	Microsoft Security Bulletin : MS16-003 https://technet.microsoft.com/en-us/library/security/ms16-003.aspx Microsoft Security Bulletin : MS16-001 https://technet.microsoft.com/en-us/library/security/ms16-001.aspx マイクロソフトセキュリティ情報 : MS16-003 https://technet.microsoft.com/ja-jp/library/security/ms16-003.aspx マイクロソフトセキュリティ情報 : MS16-001 https://technet.microsoft.com/ja-jp/library/security/ms16-001.aspx
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Microsoft Internet Explorer 8 から 11 およびその他の製品で使用される (1) VBScript および (2) JScript エンジンには、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「スクリプトエンジンのメモリ破損の脆弱性」と記載されています。
影響を受ける製品	マイクロソフト JScript 5.7 (Internet Explorer 7) JScript 5.8 (Internet Explorer 8) Microsoft Internet Explorer 10 Microsoft Internet Explorer 11 Microsoft Internet Explorer 11 (Windows 10) Microsoft Internet Explorer 8 Microsoft Internet Explorer 9 VBScript 5.7 (Internet Explorer 7) VBScript 5.8 (Internet Explorer 8)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Microsoft Internet Explorer 8 から 11 などの製品で使用される VBScript および JScript エンジンにおける任意のコードを実行される脆弱性(JVNDB-2016-001010) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001010.html Vulnerability Summary for CVE-2016-0002 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0002

ベンダ情報	ownCloud : oC-SA-2016-002 https://owncloud.org/security/advisory/?id=oc-sa-2016-002
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	ownCloud Server には、ディレクトリ一覧から重要な情報を取得される、およびサービス運用妨害 (CPU 資源の消費) 状態にされる脆弱性が存在します。
影響を受ける製品	ownCloud ownCloud 8.0.10 未満 ownCloud 8.1.5 未満の 8.1.x ownCloud 8.2.2 未満の 8.2.x
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	ownCloud Server におけるディレクトリ一覧から重要な情報を取得される脆弱性(JVNDB-2016-001006) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001006.html Vulnerability Summary for CVE-2016-1499 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1499

ベンダ情報	Ipswitch : WhatsUp Gold http://www.whatsupgold.com/jp/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Ipswitch, Inc が提供する WhatsUp Gold は、SOAP リクエスト経由で受信した XML オブジェクトのデシリアライズの際、データを適切に検証しません。信頼できないデータのデシリアライズ (CWE-502) - CVE-2015-8261 WhatsUp Gold には、SOAP リクエストハンドラ DroneDeleteOldMeasurements が存在します。SOAP リクエストを介することで、シリアライズした XML オブジェクトに含まれたユーザ指定のデータがサニタイジングやエスケープ処理が行われないまま直接 SQL 文に含まれるため、結果として攻撃者が SQL インジェクションを実行することが可能となります。 CWE-502: Deserialization of Untrusted Data http://cwe.mitre.org/data/definitions/502.html
影響を受ける製品	Ipswitch, Inc. WhatsUp Gold version 16.3
対策	[アップデートする] Ipswitch, Inc が提供する情報をもとに、最新版へアップデートしてください。 Ipswitch, Inc はこれらの脆弱性を修正した WhatsUp Gold 16.4 をリリースしています。
参考情報	Ipswitch WhatsUp Gold の XML オブジェクトのデシリアライズ処理に脆弱性(JVNDB-2016-001004) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001004.html Vulnerability Summary for CVE-2015-8261 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8261

ベンダ情報	Exim bugzilla : Bug 1767 https://bugs.exim.org/show_bug.cgi?id=1767
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	PCRE の pcre_compile.c の pcre_compile2 関数は、名前の付いたサブグループを持つ /((?:F?+(?:^(?(R)a+\"){99}-))(?J)(?'R'(?'R'<((?'RR'(?'R'\){97)?J)?J)(?'R'(?'R'\){99\|(:(?\|(?'R')(\k'R')\|((?'R')))H'R'R)(H'R))))))/ パターンおよび関連するパターンを誤って処理するため、サービス運用妨害 (ヒープベースのバッファオーバーフロー) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。
影響を受ける製品	pcre.org PCRE 8.38
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	PCRE の pcre_compile.c の pcre_compile2 関数におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2016-001003) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001003.html Vulnerability Summary for CVE-2016-1283 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1283

ベンダ情報	古野電気株式会社 : VDR http://www.furuno.com/jp/merchant/vdr/
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	古野電気株式会社が提供する Voyage Data Recorder (VDR) VR-3000/VR-3000S および VR-7000 のファームウェアアップデート機能 moduleserv には、ユーザの入力値を適切に検証しないため、root 権限で任意のコマンドを実行される脆弱性が存在します。古野電気株式会社の製品ページには、この VDR は "Records all crucial data to identify the cause of maritime casualty as well as contribute to the future prevention of the catastrophe of any kind. (海上災害の原因特定だけでなく、将来起こり得るあらゆる災害の防止に役立てるための重要なデータを全て記録しています。)" と記載されています。 Voyage Data Recorder (VDR) VR-3000/VR-3000S および VR-7000 のファームウェアアップデート機能 moduleserv は、10110/TCP で通信を待ち受けています。moduleserv はユーザの入力値を適切に検証しないため、攻撃者は root 権限で任意のコマンドを実行することが可能です。詳しい情報は IOActive のブログ、Maritime Security: Hacking into a Voyage Data Recorder (VDR) をご確認ください。 Maritime Security: Hacking into a Voyage Data Recorder (VDR) http://blog.ioactive.com/2015/12/maritime-security-hacking-into-voyage.html
影響を受ける製品	古野電気株式会社 VR-3000/VR-3000S ファームウェア V1.50 から V1.54 まで VR-3000/VR-3000S ファームウェア V1.61 およびそれ以前の V1.6 系 VR-3000/VR-3000S ファームウェア V2.06 から V2.54 まで VR-3000/VR-3000S ファームウェア V2.60 から V2.61 まで VR-7000 ファームウェア V1.02 およびそれ以前
対策	[アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。開発者は、本脆弱性の対策版として次のファームウェアをリリースしています。 VR-3000/VR-3000S: * ファームウェアバージョン V1.50 向け対策版 V1.56 * ファームウェアバージョン V1.61 向け対策版 V1.62 * ファームウェアバージョン V2.06 から V2.54 までのバージョン向け対策版 V2.56 * ファームウェアバージョン V2.60 から V2.61 までのバージョン向け対策版 V2.62 VR-7000: * ファームウェアバージョン V1.02 向け対策版 V1.04
参考情報	古野電気製 Voyage Data Recorder (VDR) にユーザ入力値を適切に検証しない脆弱性(JVNDB-2016-001002) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001002.html Vulnerability Summary for (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=