2018年8月9日初版公開

• 2018年6月に公開された危険度の高い脆弱性情報
• CVSSによる深刻度とは
• 脆弱性を悪用した攻撃に犯されてしまうと・・

1.2018年6月に公開された危険度の高い脆弱性情報

掲載範囲：CVSSv3 により深刻度が「緊急」と指定され、一般的に影響が大きいとされるものを抜粋

(1)複数の Canon 製品における認証に関する脆弱性(CVE-2018-11692)

ベンダ情報	Canon : Top Page https://www.usa.canon.com/internet/portal/us/home
CVSS による深刻度	(緊急) [ NVD値 ]
概要	** 未確定 ** 本件は、脆弱性として確定していません。 複数の Canon 製品には、認証に関する脆弱性が存在します。 ベンダは、本脆弱性に対して異議を唱えています。 詳細については、以下の NVD の Current Description を確認してください。 https://nvd.nist.gov/vuln/detail/CVE-2018-11692
影響を受ける製品	キヤノン LBP3370 ファームウェア HASH(0x9190770) LBP3460 ファームウェア HASH(0x918ffb0) LBP6650 ファームウェア HASH(0x91cc900) LBP7750C ファームウェア HASH(0x914b180)
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	複数の Canon 製品における認証に関する脆弱性(JVNDB-2018-006144) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-006144.html Vulnerability Summary for CVE-2018-11692 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-11692

(2)Stanza におけるハードコードされた認証情報の使用に関する脆弱性(CVE-2018-11682)

ベンダ情報	Lutron : Top Page http://www.lutron.com/en-US/Pages/default.aspx
CVSS による深刻度	(緊急) [ NVD値 ]
概要	Stanza には、ハードコードされた認証情報の使用に関する脆弱性が存在します。
影響を受ける製品	ルートロン Homeworks QS ファームウェア HASH(0x9195200) RadioRA 2 ファームウェア HASH(0x914bed0) stanza ファームウェア HASH(0x9177ec8)
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Stanza におけるハードコードされた認証情報の使用に関する脆弱性(JVNDB-2018-006143) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-006143.html Vulnerability Summary for CVE-2018-11682 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-11682

(3)RadioRA 2 Lutron integration プロトコルを使用する製品におけるハードコードされた認証情報の使用に関する脆弱性(CVE-2018-11681)

ベンダ情報	Lutron : Top Page http://www.lutron.com/en-US/Pages/default.aspx
CVSS による深刻度	(緊急) [ NVD値 ]
概要	RadioRA 2 Lutron integration プロトコルを使用する製品には、ハードコードされた認証情報の使用に関する脆弱性が存在します。
影響を受ける製品	ルートロン Homeworks QS ファームウェア HASH(0x9195110) RadioRA 2 ファームウェア HASH(0x9178db8) stanza ファームウェア HASH(0x91f50b8)
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	RadioRA 2 Lutron integration プロトコルを使用する製品におけるハードコードされた認証情報の使用に関する脆弱性(JVNDB-2018-006142) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-006142.html Vulnerability Summary for CVE-2018-11681 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-11681

(4)HomeWorks QS Lutron integration プロトコルを使用する製品におけるハードコードされた認証情報の使用に関する脆弱性(CVE-2018-11629)

ベンダ情報	Lutron : Top Page http://www.lutron.com/en-US/Pages/default.aspx
CVSS による深刻度	(緊急) [ NVD値 ]
概要	HomeWorks QS Lutron integration プロトコルを使用する製品には、ハードコードされた認証情報の使用に関する脆弱性が存在します。
影響を受ける製品	ルートロン Homeworks QS ファームウェア HASH(0x91a2d78) RadioRA 2 ファームウェア HASH(0x91a21c0) stanza ファームウェア HASH(0x91a2410)
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	HomeWorks QS Lutron integration プロトコルを使用する製品におけるハードコードされた認証情報の使用に関する脆弱性(JVNDB-2018-006141) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-006141.html Vulnerability Summary for CVE-2018-11629 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-11629

(5)Cisco IOS XE ソフトウェアにおけるバッファエラーの脆弱性(CVE-2018-0315)

ベンダ情報	Cisco Security Advisory : cisco-sa-20180606-aaa https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-aaa
CVSS による深刻度	(緊急) [ NVD値 ]
概要	Cisco IOS XE ソフトウェアには、バッファエラーの脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCvi25380 として公開しています。
影響を受ける製品	シスコシステムズ Cisco IOS XE Fuji 16.7.1 Cisco IOS XE Fuji 16.8.1
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Cisco IOS XE ソフトウェアにおけるバッファエラーの脆弱性(JVNDB-2018-006127) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-006127.html Vulnerability Summary for CVE-2018-0315 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0315

(6)Cisco Prime Collaboration Provisioning における認証に関する脆弱性(CVE-2018-0321)

ベンダ情報	Cisco Security Advisory : cisco-sa-20180606-prime-rmi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-prime-rmi
CVSS による深刻度	(緊急) [ NVD値 ]
概要	Cisco Prime Collaboration Provisioning (PCP) には、認証に関する脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCvd61746 として公開しています。
影響を受ける製品	シスコシステムズ Cisco Prime Collaboration HASH(0x91a33f8) Cisco Prime Collaboration Assurance HASH(0x919e0c0) Cisco Prime Collaboration Provisioning 11.6 およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Cisco Prime Collaboration Provisioning における認証に関する脆弱性(JVNDB-2018-006116) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-006116.html Vulnerability Summary for CVE-2018-0321 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0321

(7)Cisco Prime Collaboration Provisioning における SQL インジェクションの脆弱性(CVE-2018-0320)

ベンダ情報	Cisco Security Advisory : cisco-sa-20180606-prime-sql https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-prime-sql
CVSS による深刻度	(緊急) [ NVD値 ]
概要	Cisco Prime Collaboration Provisioning (PCP) には、SQL インジェクションの脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCvd61754 として公開しています。
影響を受ける製品	シスコシステムズ Cisco Prime Collaboration HASH(0x917e718) Cisco Prime Collaboration Provisioning 12.1 およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Cisco Prime Collaboration Provisioning における SQL インジェクションの脆弱性(JVNDB-2018-006115) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-006115.html Vulnerability Summary for CVE-2018-0320 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0320

(8)Cisco Prime Collaboration Provisioning における証明書・パスワードの管理に関する脆弱性(CVE-2018-0319)

ベンダ情報	Cisco Security Advisory : cisco-sa-20180606-prime-password-recovery https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-prime-password-recovery
CVSS による深刻度	(緊急) [ NVD値 ]
概要	Cisco Prime Collaboration Provisioning (PCP) には、証明書・パスワードの管理に関する脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCvd07253 として公開しています。
影響を受ける製品	シスコシステムズ Cisco Prime Collaboration HASH(0x9187e78) Cisco Prime Collaboration Provisioning 11.6 およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Cisco Prime Collaboration Provisioning における証明書・パスワードの管理に関する脆弱性(JVNDB-2018-006114) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-006114.html Vulnerability Summary for CVE-2018-0319 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0319

(9)Cisco Prime Collaboration Provisioning における証明書・パスワードの管理に関する脆弱性(CVE-2018-0318)

ベンダ情報	Cisco Security Advisory : cisco-sa-20180606-prime-password-reset https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-prime-password-reset
CVSS による深刻度	(緊急) [ NVD値 ]
概要	Cisco Prime Collaboration Provisioning (PCP) には、証明書・パスワードの管理に関する脆弱性が存在します。 ベンダは、本脆弱性を Bug ID CSCvd07245 として公開しています。
影響を受ける製品	シスコシステムズ Cisco Prime Collaboration HASH(0x9190e80) Cisco Prime Collaboration Provisioning 11.6 およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Cisco Prime Collaboration Provisioning における証明書・パスワードの管理に関する脆弱性(JVNDB-2018-006113) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-006113.html Vulnerability Summary for CVE-2018-0318 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0318

(10)Cisco AppDynamics App iQ プラットフォームにおける SQL インジェクションの脆弱性(CVE-2018-0225)

ベンダ情報	AppDynamics App iQ Platform Documentation : 4.4.3.10598 (HF4) Updates https://docs.appdynamics.com/display/PRO44/Release+Notes#ReleaseNotes-4.4.3.10598%28HF4%29Updates
CVSS による深刻度	(緊急) [ NVD値 ]
概要	Cisco AppDynamics App iQ プラットフォームには、SQL インジェクションの脆弱性が存在します。 ベンダは、本脆弱性を Security Advisory 2089 として公開しています。
影響を受ける製品	シスコシステムズ Cisco AppDynamics App iQ 4.4.3.10598 (HF4) 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Cisco AppDynamics App iQ プラットフォームにおける SQL インジェクションの脆弱性(JVNDB-2018-006100) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-006100.html Vulnerability Summary for CVE-2018-0225 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0225

(11)DedeCMS における危険なタイプのファイルの無制限アップロードに関する脆弱性(CVE-2018-12045)

ベンダ情報	DedeCMS : Top Page http://www.dedecms.com/
CVSS による深刻度	(緊急) [ NVD値 ]
概要	DedeCMS には、危険なタイプのファイルの無制限アップロードに関する脆弱性が存在します。
影響を受ける製品	DesDev Inc. DedeCMS 5.7SP2 未満
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	DedeCMS における危険なタイプのファイルの無制限アップロードに関する脆弱性(JVNDB-2018-006032) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-006032.html Vulnerability Summary for CVE-2018-12045 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-12045

(12)Zoho ManageEngine Applications Manager における入力確認に関する脆弱性(CVE-2018-11808)

ベンダ情報	Zoho Corporation : Applications Manager Issues Fixed https://www.manageengine.com/products/applications_manager/issues.html
CVSS による深刻度	(緊急) [ NVD値 ]
概要	Zoho ManageEngine Applications Manager には、入力確認に関する脆弱性が存在します。
影響を受ける製品	Zoho Corporation ManageEngine Applications Manager 13 (build 13740) 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Zoho ManageEngine Applications Manager における入力確認に関する脆弱性(JVNDB-2018-005999) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-005999.html Vulnerability Summary for CVE-2018-11808 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-11808

(13)PHP Scripts Mall Schools Alert Management Script における SQL インジェクションの脆弱性(CVE-2018-12055)

ベンダ情報	PHP Scripts Mall : Schools Alert Management Script https://www.phpscriptsmall.com/product/schools-alert-management-system/
CVSS による深刻度	(緊急) [ NVD値 ]
概要	PHP Scripts Mall Schools Alert Management Script には、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Schools Alert Management Script project Schools Alert Management Script HASH(0x919e000)
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	PHP Scripts Mall Schools Alert Management Script における SQL インジェクションの脆弱性(JVNDB-2018-005926) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-005926.html Vulnerability Summary for CVE-2018-12055 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-12055

(14)PHP Scripts Mall Schools Alert Management Script における SQL インジェクションの脆弱性(CVE-2018-12052)

ベンダ情報	PHP Scripts Mall : Schools Alert Management Script https://www.phpscriptsmall.com/product/schools-alert-management-system/
CVSS による深刻度	(緊急) [ NVD値 ]
概要	PHP Scripts Mall Schools Alert Management Script には、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Schools Alert Management Script project Schools Alert Management Script HASH(0x9188648)
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	PHP Scripts Mall Schools Alert Management Script における SQL インジェクションの脆弱性(JVNDB-2018-005923) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-005923.html Vulnerability Summary for CVE-2018-12052 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-12052

(15)PHP Scripts Mall Schools Alert Management Script における危険なタイプのファイルの無制限アップロードに関する脆弱性(CVE-2018-12051)

ベンダ情報	PHP Scripts Mall : Schools Alert Management Script https://www.phpscriptsmall.com/product/schools-alert-management-system/
CVSS による深刻度	(緊急) [ NVD値 ]
概要	PHP Scripts Mall Schools Alert Management Script には、危険なタイプのファイルの無制限アップロードに関する脆弱性が存在します。
影響を受ける製品	Schools Alert Management Script project Schools Alert Management Script HASH(0x9190240)
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	PHP Scripts Mall Schools Alert Management Script における危険なタイプのファイルの無制限アップロードに関する脆弱性(JVNDB-2018-005922) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-005922.html Vulnerability Summary for CVE-2018-12051 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-12051

(16)Apple macOS の Grand Central Dispatch コンポーネントにおけるサンドボックス保護メカニズムを回避される脆弱性(CVE-2018-4229)

ベンダ情報	Apple Security Updates : HT208849 https://support.apple.com/en-us/HT208849 Apple セキュリティアップデート : HT208849 https://support.apple.com/ja-jp/HT208849
CVSS による深刻度	(緊急) [ NVD値 ]
概要	Apple macOS の Grand Central Dispatch コンポーネントには、サンドボックス保護メカニズムを回避される脆弱性が存在します。
影響を受ける製品	アップル Apple Mac OS X 10.13.4
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Apple macOS の Grand Central Dispatch コンポーネントにおけるサンドボックス保護メカニズムを回避される脆弱性(JVNDB-2018-005806) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-005806.html Vulnerability Summary for CVE-2018-4229 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-4229

(17)Nikto における OS コマンドインジェクションの脆弱性(CVE-2018-11652)

ベンダ情報	GitHub : Fix CSV injection issue if server responds with a malicious Server string CSV output is opened in Excel or other spreadsheet app. https://github.com/sullo/nikto/commit/e759b3300aace5314fe3d30800c8bd83c81c29f7
CVSS による深刻度	(緊急) [ NVD値 ]
概要	Nikto には、OS コマンドインジェクションの脆弱性が存在します。
影響を受ける製品	CIRT.net Nikto 2.1.6 およびそれ以前
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Nikto における OS コマンドインジェクションの脆弱性(JVNDB-2018-005597) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-005597.html Vulnerability Summary for CVE-2018-11652 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-11652

(18)MiniUPnP ngiflib における境界外読み取りに関する脆弱性(CVE-2018-11576)

ベンダ情報	GitHub : heap-buffer-overflow-ngiflib-c-808 #6 https://github.com/miniupnp/ngiflib/issues/6
CVSS による深刻度	(緊急) [ NVD値 ]
概要	MiniUPnP ngiflib には、境界外読み取りに関する脆弱性が存在します。
影響を受ける製品	MiniUPnP Project ngiflib 0.4
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	MiniUPnP ngiflib における境界外読み取りに関する脆弱性(JVNDB-2018-005416) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-005416.html Vulnerability Summary for CVE-2018-11576 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-11576

(19)MiniUPnP ngiflib におけるバッファエラーの脆弱性(CVE-2018-11575)

ベンダ情報	GitHub : stack-buffer-overflow-ngiflib-c-543 #4 https://github.com/miniupnp/ngiflib/issues/4
CVSS による深刻度	(緊急) [ NVD値 ]
概要	MiniUPnP ngiflib には、バッファエラーの脆弱性が存在します。
影響を受ける製品	MiniUPnP Project ngiflib 0.4
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	MiniUPnP ngiflib におけるバッファエラーの脆弱性(JVNDB-2018-005415) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-005415.html Vulnerability Summary for CVE-2018-11575 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-11575

(20)Liblouis における解放済みメモリの使用に関する脆弱性(CVE-2018-11410)

ベンダ情報	Liblouis : Liblouis Release 3.6.0 http://liblouis.org/liblouis/2018/06/04/release-3.6.0.html Ubuntu Security Notice : USN-3669-1 https://usn.ubuntu.com/3669-1/
CVSS による深刻度	(緊急) [ NVD値 ]
概要	Liblouis には、解放済みメモリの使用に関する脆弱性が存在します。
影響を受ける製品	Liblouis* Liblouis 3.5.0 Canonical Ubuntu HASH(0x9176430)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Liblouis における解放済みメモリの使用に関する脆弱性(JVNDB-2018-005343) https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-005343.html Vulnerability Summary for CVE-2018-11410 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-11410

2.CVSSによる深刻度とは

本レポートにて設定されている値は、共通脆弱性評価システムである CVSS を用いて評価されております。
CVSS による深刻度（JVN iPedia）
https://jvndb.jvn.jp/nav/jvndbhelp.html
CVSS でぜい弱性を評価してみよう（ITpro）
http://itpro.nikkeibp.co.jp/article/COLUMN/20070808/279327/
National Vulnerability Database（NVD）
https://nvd.nist.gov/home

3. 脆弱性を悪用した攻撃に犯されてしまうと・・

上記脆弱性を悪用した攻撃やその他マルウェアに感染してしまうと、お使いの PC を乗っ取られたり金銭を要求する詐欺行為の被害に遭う恐れがあります。 また、昨今のサイバー攻撃の被害は企業レベルに及ぶ場合もあり、その被害金額や対処に必要な工数が膨大になったり、訴訟問題になる事例も確認されております。 業務やご家庭で PC をご利用されている以上、最低限のレベルでのセキュリティ対策は必須と言っても過言ではありません。 まずはご使用の PC のセキュリティ状況をチェックし、各ベンダ提供のセキュリティパッチの適用、ウイルス対策ソフトのインストール等ご対応をお願い致します。
更なるサイバー犯罪の脅威の対策をお望みの方は、弊社がご提供させていただいているセキュリティソリューション「SHIELD」や、弊社も推奨させていただいている、 最新ウイルスの駆除に特化した従来のパターンファイルでの駆除に依存しない次世代セキュリティソリューション「yarai」をお勧め致します。
https://www.hitachi-systems.com/solution/t01/shield/
https://www.hitachi-systems.com/solution/s105/yarai/index.html

※ ウイルス対策製品は企業ごと多種多様の性能を備えております。詳しくは各ベンダのサイト等をご参照下さい。

上に戻る
※ 各会社名、団体名、商品名は各社、各団体の商品名称、または登録商標です。