2017年12月1日初版公開
(1)Android のメディアフレームワークにおける認可・権限・アクセス制御に関する脆弱性(CVE-2017-0847)
ベンダ情報 Android Open Source Project : Pixel/Nexus Security Bulletin-November 2017
https://source.android.com/security/bulletin/pixel/2017-11-01CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Android のメディアフレームワーク (mediaanalytics) には、認可・権限・アクセス制御に関する脆弱性が存在します。 本脆弱性は、Android ID: A-65540999 として公開されています。 影響を受ける製品
Android 8.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のメディアフレームワークにおける認可・権限・アクセス制御に関する脆弱性(JVNDB-2017-010036)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-010036.html
Vulnerability Summary for CVE-2017-0847 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0847(2)Android のメディアフレームワークにおけるアクセス制御に関する脆弱性(CVE-2017-0835)
ベンダ情報 Android Open Source Project : Android Security Bulletin-November 2017
https://source.android.com/security/bulletin/2017-11-01CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Android のメディアフレームワーク (libmpeg2) には、アクセス制御に関する脆弱性が存在します。 本脆弱性は、Android ID: A-63316832 として公開されています。 影響を受ける製品
Android 6.0
Android 6.0.1
Android 7.0
Android 7.1.1
Android 7.1.2
Android 8.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のメディアフレームワークにおけるアクセス制御に関する脆弱性(JVNDB-2017-010034)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-010034.html
Vulnerability Summary for CVE-2017-0835 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0835(3)Android のメディアフレームワークにおけるアクセス制御に関する脆弱性(CVE-2017-0834)
ベンダ情報 Android Open Source Project : Android Security Bulletin-November 2017
https://source.android.com/security/bulletin/2017-11-01CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Android のメディアフレームワーク (libmpeg2) には、アクセス制御に関する脆弱性が存在します。 本脆弱性は、Android ID: A-63125953 として公開されています。 影響を受ける製品
Android 6.0
Android 6.0.1
Android 7.0
Android 7.1.1
Android 7.1.2
Android 8.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のメディアフレームワークにおけるアクセス制御に関する脆弱性(JVNDB-2017-010033)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-010033.html
Vulnerability Summary for CVE-2017-0834 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0834(4)Android のメディアフレームワークにおけるアクセス制御に関する脆弱性(CVE-2017-0833)
ベンダ情報 Android Open Source Project : Android Security Bulletin-November 2017
https://source.android.com/security/bulletin/2017-11-01CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Android のメディアフレームワーク (libavc) には、アクセス制御に関する脆弱性が存在します。 本脆弱性は、Android ID: A-62896384 として公開されています。 影響を受ける製品
Android 6.0
Android 6.0.1
Android 7.0
Android 7.1.1
Android 7.1.2
Android 8.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のメディアフレームワークにおけるアクセス制御に関する脆弱性(JVNDB-2017-010032)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-010032.html
Vulnerability Summary for CVE-2017-0833 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0833(5)Android のメディアフレームワークにおけるアクセス制御に関する脆弱性(CVE-2017-0832)
ベンダ情報 Android Open Source Project : Android Security Bulletin-November 2017
https://source.android.com/security/bulletin/2017-11-01CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Android のメディアフレームワーク (libmpeg2) には、アクセス制御に関する脆弱性が存在します。 本脆弱性は、Android ID: A-62887820 として公開されています。 影響を受ける製品
Android 6.0
Android 6.0.1
Android 7.0
Android 7.1.1
Android 7.1.2
Android 8.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のメディアフレームワークにおけるアクセス制御に関する脆弱性(JVNDB-2017-010031)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-010031.html
Vulnerability Summary for CVE-2017-0832 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0832(6)Android のフレームワークにおける認可・権限・アクセス制御に関する脆弱性(CVE-2017-0831)
ベンダ情報 Android Open Source Project : Android Security Bulletin-November 2017
https://source.android.com/security/bulletin/2017-11-01CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Android のフレームワーク (window manager) には、認可・権限・アクセス制御に関する脆弱性が存在します。 本脆弱性は、Android ID: A-37442941 として公開されています。 影響を受ける製品
Android 8.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のフレームワークにおける認可・権限・アクセス制御に関する脆弱性(JVNDB-2017-010030)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-010030.html
Vulnerability Summary for CVE-2017-0831 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0831(7)Android のフレームワークにおける認可・権限・アクセス制御に関する脆弱性(CVE-2017-0830)
ベンダ情報 Android Open Source Project : Android Security Bulletin-November 2017
https://source.android.com/security/bulletin/2017-11-01CVSS による深刻度 9.3 (危険) [ NVD値 ] 概要 Android のフレームワーク (device policy client) には、認可・権限・アクセス制御に関する脆弱性が存在します。 本脆弱性は、Android ID: A-62623498 として公開されています。 影響を受ける製品
Android 6.0
Android 6.0.1
Android 7.0
Android 7.1.1
Android 7.1.2
Android 8.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Android のフレームワークにおける認可・権限・アクセス制御に関する脆弱性(JVNDB-2017-010029)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-010029.html
Vulnerability Summary for CVE-2017-0830 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0830(8)MOXA EDS-G512E デバイスにおける入力確認に関する脆弱性(CVE-2017-13703)
ベンダ情報 Moxa : EDS-G508E/EDS-G512E/EDS-G516E Series
https://www.moxa.com/product/EDS-G500E.htmCVSS による深刻度 7.8 (危険) [ NVD値 ] 概要 MOXA EDS-G512E デバイスには、入力確認に関する脆弱性が存在します。 影響を受ける製品 Moxa Inc.
EDS-G512E ファームウェア 5.1 build 16072215対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 MOXA EDS-G512E デバイスにおける入力確認に関する脆弱性(JVNDB-2017-010004)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-010004.html
Vulnerability Summary for CVE-2017-13703 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13703(9)MediaWiki におけるインジェクションに関する脆弱性(CVE-2017-8809)
ベンダ情報 Debian Security Advisory : DSA-4036
https://www.debian.org/security/2017/dsa-4036
MediaWiki-announce : [MediaWiki-announce] Security release: 1.29.2 / 1.28.3 / 1.27.4
https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-November/000216.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 MediaWiki には、インジェクションに関する脆弱性が存在します。 影響を受ける製品 MediaWiki
MediaWiki 1.27.4 未満
MediaWiki 1.28.3 未満の 1.28.x
MediaWiki 1.29.2 未満の 1.29.x
Debian
Debian GNU/Linux 9.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 MediaWiki におけるインジェクションに関する脆弱性(JVNDB-2017-009978)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009978.html
Vulnerability Summary for CVE-2017-8809 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8809(10)Movable Type 用プラグイン A-Member および A-Reserve における SQL インジェクションの脆弱性(CVE-2017-10898)
ベンダ情報 Movable Type : Movable Typeブログ-セキュリティーアップデート:A-Member 3.8.7, A-Reserve 3.8.7をリリース
https://www.ark-web.jp/movabletype/blog/2017/11/a-member_387_a-reserve_387.htmlCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 株式会社アークウェブが提供する A-Member および A-Reserve は、会員制サイトや予約サイト構築のための機能を提供する Movable Type 用のプラグインです。A-Member および A-Reserve には、Cookie の値の処理に起因する SQL インジェクション (CWE-89) の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社STNet 渡邉優太 氏 影響を受ける製品 株式会社アークウェブ
A-Member 3.8.6 およびそれ以前 (CVE-2017-10898)
A-Member for MTクラウド 3.8.6 およびそれ以前 (CVE-2017-10898)
A-Reserve 3.8.6 およびそれ以前 (CVE-2017-10899)
A-Reserve for MTクラウド 3.8.6 およびそれ以前 (CVE-2017-10899)対策 [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 参考情報 Movable Type 用プラグイン A-Member および A-Reserve における SQL インジェクションの脆弱性(JVNDB-2017-000243)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-000243.html
Vulnerability Summary for CVE-2017-10898 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10898(11)ワイヤレスモバイルストレージ「デジ蔵 ShAirDisk」PTW-WMS1 における複数の脆弱性(CVE-2017-10903)
ベンダ情報 株式会社プリンストン : PTW-WMS1をルーター機能の無いモデムに接続してご使用されているお客様へ ファームウェアアップデートのお知らせ
http://www.princeton.co.jp/news/2016/12/201612271100.htmlCVSS による深刻度 10 (危険) [ NVD値 ] 概要 株式会社プリンストンが提供するワイヤレスモバイルストレージ「デジ蔵 ShAirDisk」PTW-WMS1 は、Wi-Fi ストレージです。ワイヤレスモバイルストレージ「デジ蔵 ShAirDisk」PTW-WMS1 には、次の複数の脆弱性が存在します。 ・アクセス制限不備 (CWE-284) - CVE-2017-10900 ・バッファオーバーフロー (CWE-119) - CVE-2017-10901 ・OS コマンドインジェクション (CWE-78) - CVE-2017-10902 ・認証不備 (CWE-287) - CVE-2017-10903 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 塚本 泰三 氏 影響を受ける製品 株式会社プリンストン
PTW-WMS1 用ファームウェア バージョン 2.000.012対策 [アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。 参考情報 ワイヤレスモバイルストレージ「デジ蔵 ShAirDisk」PTW-WMS1 における複数の脆弱性(JVNDB-2017-000241)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-000241.html
Vulnerability Summary for CVE-2017-10903 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10903(12)Cacti における認可・権限・アクセス制御に関する脆弱性(CVE-2017-16660)
ベンダ情報 GitHub : Local File Read and RCE in Cacti 1.1.27+ds1-2 #1066
https://github.com/Cacti/cacti/issues/1066CVSS による深刻度 9 (危険) [ NVD値 ] 概要 Cacti には、認可・権限・アクセス制御に関する脆弱性が存在します。 影響を受ける製品 The Cacti Group
Cacti 1.1.27対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Cacti における認可・権限・アクセス制御に関する脆弱性(JVNDB-2017-009970)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009970.html
Vulnerability Summary for CVE-2017-16660 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16660(13)iBall iB-WRA300N3GT デバイスにおける認可・権限・アクセス制御に関する脆弱性(CVE-2017-11169)
ベンダ情報 iBall : 300M Wireless-N ADSL2+ 3G & Broadband Router (Model No: iB-WRA300N3GT)
https://www.iball.co.in/Product/Baton/4G-/-3G-Routers/300M-Wireless-N-ADSL2--3G---Broadband-Router/839CVSS による深刻度 9 (危険) [ NVD値 ] 概要 iBall iB-WRA300N3GT デバイスには、認可・権限・アクセス制御に関する脆弱性が存在します。 影響を受ける製品 iBall
iB-WRA300N3GT ファームウェア 1.1.1対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 iBall iB-WRA300N3GT デバイスにおける認可・権限・アクセス制御に関する脆弱性(JVNDB-2017-009969)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009969.html
Vulnerability Summary for CVE-2017-11169 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11169(14)Linux Kernel における NULL ポインタデリファレンスに関する脆弱性(CVE-2017-16646)
ベンダ情報 Google Groups : usb/media/dib0700: BUG in stk7070p_frontend_attach/symbol_put_addr
https://groups.google.com/forum/#!msg/syzkaller/-d6ilzbVu_g/OBy8_62mAwAJ
Linux Kernel : Linux Kernel Archives
http://www.kernel.orgCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Linux Kernel には、NULL ポインタデリファレンスに関する脆弱性が存在します。 影響を受ける製品 kernel.org
Linux Kernel 4.13.11 まで対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Linux Kernel における NULL ポインタデリファレンスに関する脆弱性(JVNDB-2017-009966)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009966.html
Vulnerability Summary for CVE-2017-16646 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16646(15)Linux Kernel における境界外読み取りに関する脆弱性(CVE-2017-16643)
ベンダ情報 ChangeLog : ChangeLog-4.13.11
https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.13.11
GitHub : Input: gtco - fix potential out-of-bound access
https://github.com/torvalds/linux/commit/a50829479f58416a013a4ccca791336af3c584c7
Google Groups : usb/input/gtco: slab-out-of-bounds in parse_hid_report_descriptor
https://groups.google.com/forum/#!msg/syzkaller/McWFcOsA47Y/3bjtBBgaBAAJ
Linux Kernel : Linux Kernel Archives
http://www.kernel.orgCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Linux Kernel には、境界外読み取りに関する脆弱性が存在します。 影響を受ける製品 kernel.org
Linux Kernel 4.13.11 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Linux Kernel における境界外読み取りに関する脆弱性(JVNDB-2017-009963)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009963.html
Vulnerability Summary for CVE-2017-16643 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16643(16)Linux Kernel におけるゼロ除算に関する脆弱性(CVE-2017-16650)
ベンダ情報 Google Groups : usb/net/qmi_wwan: divide error in qmi_wwan_probe/usbnet_probe
https://groups.google.com/forum/#!msg/syzkaller/0e0gmaX9R0g/9Me9JcY2BQAJ
Linux Kernel : Linux Kernel Archives
http://www.kernel.orgCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Linux Kernel には、ゼロ除算に関する脆弱性が存在します。 影響を受ける製品 kernel.org
Linux Kernel 4.13.11 まで対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Linux Kernel におけるゼロ除算に関する脆弱性(JVNDB-2017-009962)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009962.html
Vulnerability Summary for CVE-2017-16650 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16650(17)Linux Kernel におけるゼロ除算に関する脆弱性(CVE-2017-16649)
ベンダ情報 Google Groups : usb/net/qmi_wwan: divide error in qmi_wwan_probe/usbnet_probe
https://groups.google.com/d/msg/syzkaller/0e0gmaX9R0g/9Me9JcY2BQAJ
Linux Kernel : Linux Kernel Archives
http://www.kernel.orgCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Linux Kernel には、ゼロ除算に関する脆弱性が存在します。 影響を受ける製品 kernel.org
Linux Kernel 4.13.11 まで対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Linux Kernel におけるゼロ除算に関する脆弱性(JVNDB-2017-009961)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009961.html
Vulnerability Summary for CVE-2017-16649 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16649(18)Linux Kernel における解放済みメモリの使用に関する脆弱性(CVE-2017-16648)
ベンダ情報 Google Groups : usb/media/dtt200u: use-after-free in __dvb_frontend_free
https://groups.google.com/d/msg/syzkaller/0HJQqTm0G_g/T931ItskBAAJ
Linux Kernel : Linux Kernel Archives
http://www.kernel.org
Patchwork Linux network development : usb/media/dtt200u: use-after-free in __dvb_frontend_free
https://patchwork.kernel.org/patch/10046189/CVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Linux Kernel には、解放済みメモリの使用に関する脆弱性が存在します。 影響を受ける製品 kernel.org
Linux Kernel 4.13.11 まで対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Linux Kernel における解放済みメモリの使用に関する脆弱性(JVNDB-2017-009960)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009960.html
Vulnerability Summary for CVE-2017-16648 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16648(19)Linux Kernel における NULL ポインタデリファレンスに関する脆弱性(CVE-2017-16647)
ベンダ情報 Google Groups : usb/net/asix: null-ptr-deref in asix_suspend
https://groups.google.com/forum/#!msg/syzkaller/_9a6pd-p_0E/OnmnplQuAgAJ
Linux Kernel : Linux Kernel Archives
http://www.kernel.orgCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Linux Kernel には、NULL ポインタデリファレンスに関する脆弱性が存在します。 影響を受ける製品 kernel.org
Linux Kernel 4.13.11 まで対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Linux Kernel における NULL ポインタデリファレンスに関する脆弱性(JVNDB-2017-009959)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009959.html
Vulnerability Summary for CVE-2017-16647 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16647(20)rsync におけるバッファエラーの脆弱性(CVE-2017-16548)
ベンダ情報 Samba : Enforce trailing \0 when receiving xattr name values.
https://git.samba.org/rsync.git/?p=rsync.git;a=commit;h=47a63d90e71d3e19e0e96052bb8c6b9cb140ecc1
The Samba-Bugzilla : Bug 13112
https://bugzilla.samba.org/show_bug.cgi?id=13112CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 rsync には、バッファエラーの脆弱性が存在します。 影響を受ける製品 Samba Project
rsync 3.1.2
rsync 3.1.3-development対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 rsync におけるバッファエラーの脆弱性(JVNDB-2017-009951)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009951.html
Vulnerability Summary for CVE-2017-16548 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16548(21)Cacti における OS コマンドインジェクションの脆弱性(CVE-2017-16641)
ベンダ情報 GitHub : Critical vuln in cacti 1.1.27 #1057
https://github.com/Cacti/cacti/issues/1057CVSS による深刻度 9 (危険) [ NVD値 ] 概要 Cacti には、OS コマンドインジェクションの脆弱性が存在します。 影響を受ける製品 The Cacti Group
Cacti 1.1.27対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Cacti における OS コマンドインジェクションの脆弱性(JVNDB-2017-009947)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009947.html
Vulnerability Summary for CVE-2017-16641 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16641(22)OwlMixin におけるコマンドインジェクションの脆弱性(CVE-2017-16618)
ベンダ情報 GitHub : Fix vulnerability of `load_yaml` and `load_yamlf` (#12)
https://github.com/tadashi-aikawa/owlmixin/commit/5d0575303f6df869a515ced4285f24ba721e0d4e
GitHub : load_yaml and load_yamlf methods is vulnerable #12
https://github.com/tadashi-aikawa/owlmixin/issues/12CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 OwlMixin には、コマンドインジェクションの脆弱性が存在します。 影響を受ける製品 Tadashi Aikawa
OwlMixin 2.0.0a12 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 OwlMixin におけるコマンドインジェクションの脆弱性(JVNDB-2017-009946)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009946.html
Vulnerability Summary for CVE-2017-16618 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16618(23)PyAnyAPI におけるコマンドインジェクションの脆弱性(CVE-2017-16616)
ベンダ情報 GitHub : Release 0.6.1
https://github.com/Stranger6667/pyanyapi/releases/tag/0.6.1
GitHub : YAMLParser method is vulnerable #41
https://github.com/Stranger6667/pyanyapi/issues/41
Python : pyanyapi 0.6.1
https://pypi.python.org/pypi/pyanyapi/0.6.1CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 PyAnyAPI には、コマンドインジェクションの脆弱性が存在します。 影響を受ける製品 Dmitry Dygalo
PyAnyAPI 0.6.1 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 PyAnyAPI におけるコマンドインジェクションの脆弱性(JVNDB-2017-009945)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009945.html
Vulnerability Summary for CVE-2017-16616 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16616(24)MLAlchemy におけるコマンドインジェクションの脆弱性(CVE-2017-16615)
ベンダ情報 GitHub : attempting to fix security flaw (issue #1)
https://github.com/thanethomson/MLAlchemy/commit/bc795757febdcce430d89f9d08f75c32d6989d3c
GitHub : parse_yaml_query method is vulnerable #1
https://github.com/thanethomson/MLAlchemy/issues/1CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 MLAlchemy には、コマンドインジェクションの脆弱性が存在します。 影響を受ける製品 Thane Thomson
MLAlchemy 0.2.2 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 MLAlchemy におけるコマンドインジェクションの脆弱性(JVNDB-2017-009944)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009944.html
Vulnerability Summary for CVE-2017-16615 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16615(25)Joomla! における認証に関する脆弱性(CVE-2017-16634)
ベンダ情報 Joomla! Developer Network : [20171102] - Core - 2-factor-authentication bypass
https://developer.joomla.org/security-centre/713-20171102-core-2-factor-authentication-bypassCVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Joomla! には、認証に関する脆弱性が存在します。 影響を受ける製品 Joomla!
Joomla! 3.8.2 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Joomla! における認証に関する脆弱性(JVNDB-2017-009943)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009943.html
Vulnerability Summary for CVE-2017-16634 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16634(26)Inedo BuildMaster における脆弱性(CVE-2017-16521)
ベンダ情報 Inedo : BuildMaster 5.8.2 Has Been Released
https://inedo.com/blog/buildmaster-582-released
Inedo : BuildMaster Downloads & Release Notes
https://inedo.com/buildmaster/versions#v5.8
Inedo : FIX: Deploying XSLT configuration files uses XslTransform instead of XslCompiledTransform
https://inedo.myjetbrains.com/youtrack/issue/BM-3108CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Inedo BuildMaster には、不特定の脆弱性が存在します。 影響を受ける製品 Inedo
BuildMaster 5.8.2 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Inedo BuildMaster における脆弱性(JVNDB-2017-009912)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009912.html
Vulnerability Summary for CVE-2017-16521 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16521(27)MyBB における認可・権限・アクセス制御に関する脆弱性(CVE-2017-16780)
ベンダ情報 MyBB : MyBB 1.8.13 Released - Security & Maintenance Release
https://blog.mybb.com/2017/11/07/mybb-1-8-13-released-security-maintenance-release/CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 MyBB には、認可・権限・アクセス制御に関する脆弱性が存在します。 影響を受ける製品 MyBB Group
MyBB 1.8.13 未満対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 MyBB における認可・権限・アクセス制御に関する脆弱性(JVNDB-2017-009910)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009910.html
Vulnerability Summary for CVE-2017-16780 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16780(28)Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(CVE-2017-16543)
ベンダ情報 ManageEngine : Top Page
https://www.manageengine.com/CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Zoho ManageEngine Applications Manager には、SQL インジェクションの脆弱性が存在します。 影響を受ける製品 Zoho Corporation
ManageEngine Applications Manager 13対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(JVNDB-2017-009905)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009905.html
Vulnerability Summary for CVE-2017-16543 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16543(29)Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(CVE-2017-16851)
ベンダ情報 ManageEngine : Top Page
https://www.manageengine.com/CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Zoho ManageEngine Applications Manager には、SQL インジェクションの脆弱性が存在します。 影響を受ける製品 Zoho Corporation
ManageEngine Applications Manager 13対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(JVNDB-2017-009890)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009890.html
Vulnerability Summary for CVE-2017-16851 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16851(30)Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(CVE-2017-16850)
ベンダ情報 ManageEngine : Top Page
https://www.manageengine.com/CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Zoho ManageEngine Applications Manager には、SQL インジェクションの脆弱性が存在します。 影響を受ける製品 Zoho Corporation
ManageEngine Applications Manager 13対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(JVNDB-2017-009889)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009889.html
Vulnerability Summary for CVE-2017-16850 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16850(31)Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(CVE-2017-16849)
ベンダ情報 ManageEngine : Top Page
https://www.manageengine.com/CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Zoho ManageEngine Applications Manager には、SQL インジェクションの脆弱性が存在します。 影響を受ける製品 Zoho Corporation
ManageEngine Applications Manager 13対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(JVNDB-2017-009888)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009888.html
Vulnerability Summary for CVE-2017-16849 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16849(32)Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(CVE-2017-16848)
ベンダ情報 ManageEngine : Top Page
https://www.manageengine.com/CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Zoho ManageEngine Applications Manager には、SQL インジェクションの脆弱性が存在します。 影響を受ける製品 Zoho Corporation
ManageEngine Applications Manager 13対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(JVNDB-2017-009887)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009887.html
Vulnerability Summary for CVE-2017-16848 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16848(33)Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(CVE-2017-16847)
ベンダ情報 ManageEngine : Top Page
https://www.manageengine.com/CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Zoho ManageEngine Applications Manager には、SQL インジェクションの脆弱性が存在します。 影響を受ける製品 Zoho Corporation
ManageEngine Applications Manager 13対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(JVNDB-2017-009886)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009886.html
Vulnerability Summary for CVE-2017-16847 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16847(34)Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(CVE-2017-16846)
ベンダ情報 ManageEngine : Top Page
https://www.manageengine.com/CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Zoho ManageEngine Applications Manager には、SQL インジェクションの脆弱性が存在します。 影響を受ける製品 Zoho Corporation
ManageEngine Applications Manager 13対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Zoho ManageEngine Applications Manager における SQL インジェクションの脆弱性(JVNDB-2017-009885)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009885.html
Vulnerability Summary for CVE-2017-16846 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16846(35)QND Advance/Standard におけるディレクトリトラバーサルの脆弱性(CVE-2017-10861)
ベンダ情報 クオリティソフト株式会社 : QND Advance/Standardサーバーの脆弱性について
http://www.qualitysoft.com/qnd_vulnerabilitiesCVSS による深刻度 9.4 (危険) [ NVD値 ] 概要 クオリティソフト株式会社が提供する QND Advance/Standard には、ディレクトリトラバーサルの脆弱性が存在します。 クオリティソフト株式会社が提供する QND Advance/Standard の管理サーバには、エージェントプログラムからの入力処理に問題があり、ディレクトリトラバーサル (CWE-22) の脆弱性が存在します。 また、管理サーバではエージェントプログラムとの通信において認証を行っていないため、管理サーバにアクセス可能な任意のデバイスから管理サーバにリクエストを送り、処理させることが可能です。 この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社リクルートテクノロジーズ RECRUIT RED TEAM 西村宗晃 氏 影響を受ける製品 クオリティソフト株式会社
QND Advance/Standard すべてのバージョン対策 [アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。 参考情報 QND Advance/Standard におけるディレクトリトラバーサルの脆弱性(JVNDB-2017-009884)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009884.html
Vulnerability Summary for CVE-2017-10861 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10861(36)SchedMD Slurm における認可・権限・アクセス制御に関する脆弱性(CVE-2017-15566)
ベンダ情報 Debian Security Advisory : DSA-4023
https://www.debian.org/security/2017/dsa-4023
SchedMD : Slurm version 16.05.11, 17.02.9, and 17.11.0rc2 are now available
https://www.schedmd.com/news.php?id=193#OPT_193CVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 SchedMD Slurm には、認可・権限・アクセス制御に関する脆弱性が存在します。 影響を受ける製品 SchedMD LLC.
Slurm 16.05.11 未満
Slurm 17.02.9 未満の 17.x
Slurm 17.11.0rc2 未満の 17.11.x対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 SchedMD Slurm における認可・権限・アクセス制御に関する脆弱性(JVNDB-2017-009863)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009863.html
Vulnerability Summary for CVE-2017-15566 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15566(37)Cisco Wireless LAN Controller におけるバッファエラーの脆弱性(CVE-2017-12280)
ベンダ情報 Cisco Security Advisory : cisco-sa-20171101-wlc3
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-wlc3CVSS による深刻度 7.8 (危険) [ NVD値 ] 概要 Cisco Wireless LAN Controller には、バッファエラーの脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCvb95842 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco Wireless LAN Controller ソフトウェア HASH(0xa608e10)対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 Cisco Wireless LAN Controller におけるバッファエラーの脆弱性(JVNDB-2017-009843)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009843.html
Vulnerability Summary for CVE-2017-12280 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12280(38)Cisco Firepower 4100 Series Next-Generation Firewall および Firepower 9300 Security Appliance におけるコマンドインジェクションの脆弱性(CVE-2017-12277)
ベンダ情報 Cisco Security Advisory : cisco-sa-20171101-fpwr
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-fpwrCVSS による深刻度 9 (危険) [ NVD値 ] 概要 Cisco Firepower 4100 Series Next-Generation Firewall (NGFW) および Firepower 9300 Security Appliance には、コマンドインジェクションの脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCvb86863 として公開しています。 影響を受ける製品 シスコシステムズ
FX-OS HASH(0xa520928)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Cisco Firepower 4100 Series Next-Generation Firewall および Firepower 9300 Security Appliance におけるコマンドインジェクションの脆弱性(JVNDB-2017-009840)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009840.html
Vulnerability Summary for CVE-2017-12277 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12277(39)Cisco Identity Services Engine における認可・権限・アクセス制御に関する脆弱性(CVE-2017-12261)
ベンダ情報 Cisco Security Advisory : cisco-sa-20171101-ise
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-iseCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Cisco Identity Services Engine (ISE) には、認可・権限・アクセス制御に関する脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCve74916 として公開しています。 影響を受ける製品 シスコシステムズ
Cisco Identity Services Engine (ISE) 1.4
Cisco Identity Services Engine (ISE) 2.0
Cisco Identity Services Engine (ISE) 2.0.1
Cisco Identity Services Engine (ISE) 2.1.0
Cisco Identity Services Engine (ISE) Express 1.4
Cisco Identity Services Engine (ISE) Express 2.0
Cisco Identity Services Engine (ISE) Express 2.0.1
Cisco Identity Services Engine (ISE) Express 2.1.0
Cisco Identity Services Engine (ISE) Virtual Appliance 1.4
Cisco Identity Services Engine (ISE) Virtual Appliance 2.0
Cisco Identity Services Engine (ISE) Virtual Appliance 2.0.1
Cisco Identity Services Engine (ISE) Virtual Appliance 2.1.0対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Cisco Identity Services Engine における認可・権限・アクセス制御に関する脆弱性(JVNDB-2017-009835)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009835.html
Vulnerability Summary for CVE-2017-12261 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12261(40)複数の Cisco 製品におけるコマンドインジェクションの脆弱性(CVE-2017-12243)
ベンダ情報 Cisco Security Advisory : cisco-sa-20171101-arce
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-arceCVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Cisco Unified Computing System (UCS) Manager、Firepower 4100 Series Next-Generation Firewall (NGFW) および Firepower 9300 Security Appliance には、コマンドインジェクションの脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCvf20741 および CSCvf60078 として公開しています。 影響を受ける製品 シスコシステムズ
Firepower 4100 Series Next-Generation Firewall ファームウェア HASH(0xa5aa640)
Firepower 9300 Security Appliance ファームウェア HASH(0xa608cf0)
Unified Computing System Manager ファームウェア HASH(0xa5aa270)対策 ベンダ情報および参考情報を参照して適切な対策を実施してください。 参考情報 複数の Cisco 製品におけるコマンドインジェクションの脆弱性(JVNDB-2017-009834)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009834.html
Vulnerability Summary for CVE-2017-12243 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12243(41)Gentoo の dev-db/ パッケージにおける認可・権限・アクセス制御に関する脆弱性(CVE-2017-15945)
ベンダ情報 Gentoo Linux Security Advisory : GLSA 201711-04
https://security.gentoo.org/glsa/201711-04
Gentoo's Bugzilla : Bug 630822
https://bugs.gentoo.org/630822CVSS による深刻度 7.2 (危険) [ NVD値 ] 概要 Gentoo の dev-db/mysql、dev-db/mariadb、dev-db/percona-server、dev-db/mysql-cluster、および dev-db/mariadb-galera パッケージには、認可・権限・アクセス制御に関する脆弱性が存在します。 影響を受ける製品 MariaDB Corporation Ab.
MariaDB HASH(0xa5251d8)
MySQL AB
MySQL HASH(0xa5f2b18)対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Gentoo の dev-db/ パッケージにおける認可・権限・アクセス制御に関する脆弱性(JVNDB-2017-009620)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009620.html
Vulnerability Summary for CVE-2017-15945 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15945(42)Mahara における認証に関する脆弱性(CVE-2017-1000154)
ベンダ情報 Launchpad : Bug #1580399
https://bugs.launchpad.net/mahara/+bug/1580399CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Mahara には、認証に関する脆弱性が存在します。 影響を受ける製品 Mahara
Mahara 15.04.8 未満の 15.04
Mahara 15.10.4 未満の 15.10
Mahara 16.04.2 未満の 16.04対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Mahara における認証に関する脆弱性(JVNDB-2017-009574)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009574.html
Vulnerability Summary for CVE-2017-1000154 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000154(43)Mahara におけるアクセス制御に関する脆弱性(CVE-2017-1000153)
ベンダ情報 Launchpad : Bug #1577251
https://bugs.launchpad.net/mahara/+bug/1577251CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Mahara には、アクセス制御に関する脆弱性が存在します。 影響を受ける製品 Mahara
Mahara 15.04.10 未満の 15.04
Mahara 15.10.6 未満の 15.10
Mahara 16.04.4 未満の 16.04対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Mahara におけるアクセス制御に関する脆弱性(JVNDB-2017-009573)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009573.html
Vulnerability Summary for CVE-2017-1000153 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000153(44)Mahara におけるアクセス制御に関する脆弱性(CVE-2017-1000152)
ベンダ情報 Launchpad : Bug #1570744
https://bugs.launchpad.net/mahara/+bug/1570744CVSS による深刻度 7.5 (危険) [ NVD値 ] 概要 Mahara には、アクセス制御に関する脆弱性が存在します。 影響を受ける製品 Mahara
Mahara 15.04.7 未満の 15.04
Mahara 15.10.3 未満の 15.10対策 ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 参考情報 Mahara におけるアクセス制御に関する脆弱性(JVNDB-2017-009572)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009572.html
Vulnerability Summary for CVE-2017-1000152 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000152(45)BOOK☆WALKER for Windows/Mac における複数の脆弱性(CVE-2017-10887)
ベンダ情報 BOOK WALKER : 「BOOK☆WALKER for Windows/Mac」セキュリティアップデートのお願い
https://bookwalker.jp/info/message20171113_pc_app/CVSS による深刻度 7.1 (危険) [ NVD値 ] 概要 株式会社ブックウォーカーが提供する BOOK☆WALKER for Windows/Mac は電子書籍を閲覧するためのアプリケーションです。BOOK☆WALKER for Windows のインストーラには、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性が存在します。また、BOOK☆WALKER for windows/Mac には、細工されたファイルの読み込みによる情報漏えいの脆弱性が存在します。 ・BOOK☆WALKER for Windows のインストーラと同一ディレクトリに存在する特定の DLL の読み込み (CWE-427) - CVE-2017-10887 ・細工されたファイルの読み込みによる情報漏えい (CWE-200) - CVE-2017-10888 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: NTTコミュニケーションズ株式会社 東内裕二 氏 影響を受ける製品 株式会社ブックウォーカー
BOOK☆WALKER for Mac Ver.1.2.5 およびそれ以前 (CVE-2017-10888)
BOOK☆WALKER for Windows Ver.1.2.9 およびそれ以前 (CVE-2017-10887, CVE-2017-10888)対策 CVE-2017-10887 への対策: [最新のインストーラを使用する] BOOK☆WALKER for Windows を新規にインストールする場合は、開発者が提供する情報をもとに、最新のインストーラを使用してください。 CVE-2017-10888 への対策: [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 参考情報 BOOK☆WALKER for Windows/Mac における複数の脆弱性(JVNDB-2017-000237)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-000237.html
Vulnerability Summary for CVE-2017-10887 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10887(46)Savitech 製 USB オーディオドライバがルート CA 証明書を許可なくインストールする問題(CVE-2017-9758)
ベンダ情報 Microsoft TechNet : Microsoft Security Advisory 3119884
https://technet.microsoft.com/en-us/library/security/3119884.aspx
Microsoft TechNet : Delete a Certificate
https://technet.microsoft.com/en-us/library/cc772354.aspx
Microsoft TechNet : Configure Trusted Roots and Disallowed Certificates
https://technet.microsoft.com/en-us/library/dn265983.aspx
SAVITECH : Top Page
http://www.savitech-ic.com/CVSS による深刻度 8.8 (危険) [ NVD値 ] 概要 Savitech が提供する一部の USB オーディオ機器向けドライバは、Savitech のルート CA 証明書を、ユーザーの許可なく Windows の信頼されたルート証明機関ストアにインストールします。 Savitech は、多くのオーディオ製品向け USB オーディオドライバを提供しています。Savitech ドライバパッケージは、一部のバージョンにおいて、Savitech のルート CA 証明書をユーザの許可なく Windows の信頼されたルート証明機関ストアにインストールします。 影響を受ける製品 SAVITECH CORP
Savitech ドライバパッケージ version 2.8.0.3 より前のバージョン対策 [Savitech のルート CA 証明書を削除する] 現在のところ、Savitech の秘密鍵が漏えいしたという報告はありませんが、Savitech ドライバパッケージをインストールしたユーザーに対しては、以下のルート CA 証明書をシステムから削除することを推奨します。 * SaviAudio root certificate #1 有効期間: Thursday, May 31, 2012 - Tuesday, December 30, 2036 シリアル番号: 579885da6f791eb24de819bb2c0eeff0 Thumbprint: cb34ebad73791c1399cb62bda51c91072ac5b050 * SaviAudio root certificate #2 有効期間: Thursday, December 31, 2015 - Tuesday, December 30, 2036 シリアル番号: 972ed9bce72451bb4bd78bfc0d8b343c Thumbprint: 23e50cd42214d6252d65052c2a1a591173daace5 Savitech によると、この証明書は Windows XP 向けに用意されたものであり、Windows XP より後の OS では不要のものでしたが、ドライバパッケージから削除されていませんでした。この問題は CVE-2017-9758 として登録されています。 [アップデートする] Savitech のルート CA 証明書を削除した後、最新の Savitech ドライバパッケージをインストールしてください。 参考情報 Savitech 製 USB オーディオドライバがルート CA 証明書を許可なくインストールする問題(JVNDB-2017-009246)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-009246.html
Vulnerability Summary for CVE-2017-9758 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9758(47)Wi-Fi STATION L-02F にバッファオーバーフローの脆弱性(CVE-2017-10871)
ベンダ情報 NTTドコモ : 「Wi-Fi STATION L-02F」をご利用のお客様へ、ソフトウェアアップデート実施のお願い
https://www.nttdocomo.co.jp/info/notice/page/170710_01_m.htmlCVSS による深刻度 10 (危険) [ NVD値 ] 概要 株式会社NTTドコモが提供する LG Electronics 製 Wi-Fi STATION L-02F には、バッファオーバーフローの脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 情報通信研究機構 牧田大佑 氏、丑丸逸人 氏 株式会社クルウィット 島村隼平 氏 横浜国立大学 吉岡克成 氏 影響を受ける製品 株式会社NTTドコモ
Wi-Fi STATION L-02F ソフトウェアバージョン L02F-MDM9625-V10h-JUN-23-2017-DCM-JP およびそれ以前対策 [アップデートする] 販売元が提供する情報をもとにアップデートを行ってください。 参考情報 Wi-Fi STATION L-02F にバッファオーバーフローの脆弱性(JVNDB-2017-000232)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-000232.html
Vulnerability Summary for CVE-2017-10871 (NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10871
本レポートにて設定されている値は、共通脆弱性評価システムである CVSS を用いて評価されております。
CVSS による深刻度(JVN iPedia)
http://jvndb.jvn.jp/nav/jvndbhelp.html#jvndb3
CVSS でぜい弱性を評価してみよう(ITpro)
http://itpro.nikkeibp.co.jp/article/COLUMN/20070808/279327/
National Vulnerability Database(NVD)
http://nvd.nist.gov/home.cfm
上記脆弱性を悪用した攻撃やその他マルウェアに感染してしまうと、お使いの PC を乗っ取られたり金銭を要求する詐欺行為の被害に遭う恐れがあります。 また、昨今のサイバー攻撃の被害は企業レベルに及ぶ場合もあり、その被害金額や対処に必要な工数が膨大になったり、訴訟問題になる事例も確認されております。 業務やご家庭で PC をご利用されている以上、最低限のレベルでのセキュリティ対策は必須と言っても過言ではありません。 まずはご使用の PC のセキュリティ状況をチェックし、各ベンダ提供のセキュリティパッチの適用、ウイルス対策ソフトのインストール等ご対応をお願い致します。
更なるサイバー犯罪の脅威の対策をお望みの方は、弊社がご提供させていただいているセキュリティソリューション「SHIELD」や、弊社も推奨させていただいている、 最新ウイルスの駆除に特化した従来のパターンファイルでの駆除に依存しない次世代セキュリティソリューション「yarai」をお勧め致します。
http://www.hitachi-systems.com/solution/t01/shield/
http://www.hitachi-systems.com/solution/s105/yarai/index.html※ ウイルス対策製品は企業ごと多種多様の性能を備えております。詳しくは各ベンダのサイト等をご参照下さい。
上に戻る
※ 各会社名、団体名、商品名は各社、各団体の商品名称、または登録商標です。
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。
検索
Japan