皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

昨日、IPAがとてもありがたいページをサイト上に公開してくれました。

今日はそれに関してお伝えします。

IPAのセキュリティ情報ページとは

IPAが公開した『セキュリティ情報』のページとは、ウェブサーバ上で動作しているサーバ用ソフトウェアのうち、日本で広く利用されているオープンソフトウェアを対象としてまとめてくれたものになります。

対象としているのはウェブサイト運営者、ウェブサイト・ウェブシステムを構築する事業者、システム管理者、ということになっています。

情報源はインターネット上で公開されている製品情報とセキュリティに関する情報にはなりますが、週1回程度の更新を予定しているため、定期的に当該ページをチェックすることである程度一括して情報把握ができます。

もちろん、従来の重要なセキュリティ情報は随時更新されます。

そして、このページでは以下のオープンソースソフトウェアに関する製品及びセキュリティ情報が掲載されます。

・Apache HTTP Server

・Apache Struts

・Apache Tomcat

・ISC Bind

・OpenSSL

・WordPress(日本語)

・Joomla!Japan

また、各オープンソースソフトウェアの掲載内容は以下のものが掲載されます。

・開発者情報（ウェブサイトへのリンク）

・ダウンロード情報

・セキュリティ情報

・最新バージョン情報

・脆弱性などに対する注意喚起情報などの参考情報

以上のような感じになっております。

ウェブ担当者の方などは是非活用されると良いです。

参考：『サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書きました通り、今日は多くの脆弱性情報をお伝えします。

PHPやその他における脆弱性情報

4月4日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。

1.複数のCisco製品に脆弱性

複数のCisco製品に脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行ったり、任意のコードを実行したりするなどの可能性がある。

対象は、Cisco IOS ソフトウェア / Cisco IOS XE ソフトウェア / Cisco IOS XR ソフトウェア。

Cisco提供の修正済みバージョンへの更新で解決。

2.複数のApple製品に脆弱性

複数のApple製品に脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行ったり、任意のコードを実行したりするなどの可能性がある。

対象は、iCloud for Windows 7.4 より前 / Safari 11.1 より前 / macOS High Sierra 10.13.4 より前 / macOS Sierra（Security Update 2018-002 未適用） / OS X El Capitan（Security Update 2018-002 未適用） / iTunes 12.7.4 for Windows より前 / Xcode 9.3 より前 / tvOS 11.3 より前 / watchOS 4.3 より前 / iOS 11.3 より前のバージョン。

Apple提供の修正済みバージョンへの更新で解決。

3.Drupalに任意のコードが実行可能な脆弱性

Drupalに任意のコードが実行可能な脆弱性があり、遠隔の第三者が、細工したリクエストを送信することで任意のコードを実行する可能性がある。

対象は、Drupal 8.5.1 より前 / Drupal 7.58 より前のバージョン（サポートが終了しているDrupal 6系やDrupal 8.4系以前についても影響を受ける）。

Drupal提供の修正済みバージョンへの更新で解決。

4.OpenSSLに複数の脆弱性

OpenSSLに複数の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、OpenSSL 1.1.0h より前の 1.1.0 系列 / OpenSSL 1.0.2o より前の 1.0.2 系列のバージョン。

OpenSSL Project提供の修正済みバージョンへの更新で解決。

5.Mozilla Firefox に解放済みメモリ使用の脆弱性

Mozilla Firefoxに解放済みメモリ使用の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行う可能性がある。

対象は、Mozilla Firefox 59.0.2 より前 / Mozilla Firefox ESR 52.7.3 より前のバージョン。

Mozilla提供の修正済みバージョンへの更新で解決。

6.Windows 7 x64 / Windows Server 2008 R2 x64 に脆弱性

2018年1月にMicrosoftがリリースしたパッチをインストールしたWindows 7 x64 / Windows Server 2008 R2 x64に脆弱性があり、ログイン可能なユーザがシステムメモリ上の全てのコンテンツを読み出したり、書き込んだりする可能性がある。

対象は、Windows 7 x64 / Windows Server 2008 R2 x64。

Microsoft提供の更新プログラムの適用で解決。

7.Apache Struts 2 にサービス運用妨害（DoS）の脆弱性

Struts REST Pluginが使うXStreamライブラリの処理に脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行う可能性がある。

対象は、Apache Struts 2.1.1 から 2.5.14.1。

Apache Software Foundation提供の修正済みのバージョンへの更新で解決。

8.Ruby に複数の脆弱性

Rubyに複数の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、Ruby 2.2.10 より前の 2.2 系 / Ruby 2.3.7 より前の 2.3 系 / Ruby 2.4.4 より前の 2.4 系 / Ruby 2.5.1 より前の 2.5 系のバージョン。

Ruby提供の修正済みバージョンへの更新で解決。

9.PHP に複数の脆弱性

PHPに複数の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、PHP 7.2.4 より前 / PHP 7.1.16 より前 / PHP 7.0.29 より前 / PHP 5.6.35 より前のバージョン。

PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。

10.バッファロー WZR-1750DHP2 に複数の脆弱性

バッファロー製 WZR-1750DHP2に複数の脆弱性があり、当該製品が接続しているネットワークにアクセス可能な第三者が、当該製品上で任意のコマンドを実行するなどの可能性がある。

対象は、WZR-1750DHP2 ファームウエア Ver.2.30 およびそれ以前。

バッファロー提供の修正済みバージョンへの更新で解決。

これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。