JPCERTコーディネーションセンターの発表によると、3月の最終週において、Cisco製品、Apple製品、OpenSSL、PHP、Rubyなど、多くのものに対する脆弱性が公表されています。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
冒頭に書きました通り、今日は多くの脆弱性情報をお伝えします。
PHPやその他における脆弱性情報
4月4日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。
1.複数のCisco製品に脆弱性
複数のCisco製品に脆弱性があり、遠隔の第三者がサービス運用妨害(DoS)攻撃を行ったり、任意のコードを実行したりするなどの可能性がある。
対象は、Cisco IOS ソフトウェア / Cisco IOS XE ソフトウェア / Cisco IOS XR ソフトウェア。
Cisco提供の修正済みバージョンへの更新で解決。
2.複数のApple製品に脆弱性
複数のApple製品に脆弱性があり、遠隔の第三者がサービス運用妨害(DoS)攻撃を行ったり、任意のコードを実行したりするなどの可能性がある。
対象は、iCloud for Windows 7.4 より前 / Safari 11.1 より前 / macOS High Sierra 10.13.4 より前 / macOS Sierra(Security Update 2018-002 未適用) / OS X El Capitan(Security Update 2018-002 未適用) / iTunes 12.7.4 for Windows より前 / Xcode 9.3 より前 / tvOS 11.3 より前 / watchOS 4.3 より前 / iOS 11.3 より前のバージョン。
Apple提供の修正済みバージョンへの更新で解決。
3.Drupalに任意のコードが実行可能な脆弱性
Drupalに任意のコードが実行可能な脆弱性があり、遠隔の第三者が、細工したリクエストを送信することで任意のコードを実行する可能性がある。
対象は、Drupal 8.5.1 より前 / Drupal 7.58 より前のバージョン(サポートが終了しているDrupal 6系やDrupal 8.4系以前についても影響を受ける)。
Drupal提供の修正済みバージョンへの更新で解決。
4.OpenSSLに複数の脆弱性
OpenSSLに複数の脆弱性があり、遠隔の第三者がサービス運用妨害(DoS)攻撃を行うなどの可能性がある。
対象は、OpenSSL 1.1.0h より前の 1.1.0 系列 / OpenSSL 1.0.2o より前の 1.0.2 系列のバージョン。
OpenSSL Project提供の修正済みバージョンへの更新で解決。
5.Mozilla Firefox に解放済みメモリ使用の脆弱性
Mozilla Firefoxに解放済みメモリ使用の脆弱性があり、遠隔の第三者がサービス運用妨害(DoS)攻撃を行う可能性がある。
対象は、Mozilla Firefox 59.0.2 より前 / Mozilla Firefox ESR 52.7.3 より前のバージョン。
Mozilla提供の修正済みバージョンへの更新で解決。
6.Windows 7 x64 / Windows Server 2008 R2 x64 に脆弱性
2018年1月にMicrosoftがリリースしたパッチをインストールしたWindows 7 x64 / Windows Server 2008 R2 x64に脆弱性があり、ログイン可能なユーザがシステムメモリ上の全てのコンテンツを読み出したり、書き込んだりする可能性がある。
対象は、Windows 7 x64 / Windows Server 2008 R2 x64。
Microsoft提供の更新プログラムの適用で解決。
7.Apache Struts 2 にサービス運用妨害(DoS)の脆弱性
Struts REST Pluginが使うXStreamライブラリの処理に脆弱性があり、遠隔の第三者がサービス運用妨害(DoS)攻撃を行う可能性がある。
対象は、Apache Struts 2.1.1 から 2.5.14.1。
Apache Software Foundation提供の修正済みのバージョンへの更新で解決。
8.Ruby に複数の脆弱性
Rubyに複数の脆弱性があり、遠隔の第三者がサービス運用妨害(DoS)攻撃を行うなどの可能性がある。
対象は、Ruby 2.2.10 より前の 2.2 系 / Ruby 2.3.7 より前の 2.3 系 / Ruby 2.4.4 より前の 2.4 系 / Ruby 2.5.1 より前の 2.5 系のバージョン。
Ruby提供の修正済みバージョンへの更新で解決。
9.PHP に複数の脆弱性
PHPに複数の脆弱性があり、遠隔の第三者がサービス運用妨害(DoS)攻撃を行うなどの可能性がある。
対象は、PHP 7.2.4 より前 / PHP 7.1.16 より前 / PHP 7.0.29 より前 / PHP 5.6.35 より前のバージョン。
PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。
10.バッファロー WZR-1750DHP2 に複数の脆弱性
バッファロー製 WZR-1750DHP2に複数の脆弱性があり、当該製品が接続しているネットワークにアクセス可能な第三者が、当該製品上で任意のコマンドを実行するなどの可能性がある。
対象は、WZR-1750DHP2 ファームウエア Ver.2.30 およびそれ以前。
バッファロー提供の修正済みバージョンへの更新で解決。
これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。