日本のセキュリティチーム
セキュリティアドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開
http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx

概要

JPCERT/CC WEEKLY REPORT 2014-05-01 号【1】で紹介した「Microsoft
Internet Explorer に脆弱性」に関する追加情報です。

Microsoft はこの問題に対するセキュリティ更新プログラムを公開しました。
Windows ユーザの方は、速やかに適用することをおすすめします。詳細につい
ては、Microsoft が提供する情報を参照してください。

【2】Adobe Flash Player にバッファオーバーフローの脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Flash Player
https://www.us-cert.gov/ncas/current-activity/2014/04/28/Adobe-Releases-Security-Updates-Flash-Player

概要

Adobe Flash Player には、バッファオーバーフローの脆弱性があります。
結果として、遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Adobe Flash Player 13.0.0.182 およびそれ以前 (Windows版)
- Adobe Flash Player 13.0.0.201 およびそれ以前 (Macintosh版)
- Adobe Flash Player 11.2.202.350 およびそれ以前 (Linux版)

この問題は、Adobe が提供する修正済みのバージョンに Flash Player を更新
することで解決します。詳細については、Adobe が提供する情報を参照して下
さい。

【3】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox, Thunderbird, and Seamonkey
https://www.us-cert.gov/ncas/current-activity/2014/04/29/Mozilla-Releases-Security-Updates-Firefox-Thunderbird-and-Seamonkey

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となるバージョンは以下の通りです。

- Firefox 29.0 より前のバージョン
- Firefox ESR 24.5 より前のバージョン
- Thunderbird 24.5 より前のバージョン
- Seamonkey 2.26 より前のバージョン

なお、5月9日にいくつかの不具合を修正した Firefox 29.0.1 がリリースされ
ています。

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。

【4】BIND 9.10.0 にサービス運用妨害 (DoS) の脆弱性

情報源

JPRS
（緊急）BIND 9.10.0の脆弱性（DNSサービスの停止）について（2014年5月9日公開）
http://jprs.jp/tech/security/2014-05-09-bind9-vuln-prefetch.html

概要

ISC BIND 9.10.0 には、プリフェッチ機能に実装上の不具合があります。結果
として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があり
ます。

対象となるバージョンは以下の通りです。

  - BIND 9.10.0

この問題は、ISC が提供する修正済みのバージョンに ISC BIND 9 を更新する
ことで解決します。詳細については、ISC が提供する情報を参照して下さい。

【5】サイボウズガルーンに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#90519014
サイボウズガルーンの電話メモ機能におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN90519014/index.html

Japan Vulnerability Notes JVN#31230946
サイボウズガルーンの API におけるアクセス制限回避の脆弱性
https://jvn.jp/jp/JVN31230946/index.html

概要

サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第
三者が、サービス運用妨害 (DoS) 攻撃を行ったり、登録情報を削除したりす
る可能性があります。

対象となるバージョンは以下の通りです。

- サイボウズ ガルーン 2.0.0 から 3.7 Service Pack 3 まで

この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ ガルー
ンを更新することで解決します。詳細については、サイボウズが提供する情報
を参照して下さい。

【6】Cisco の WebEx Player に複数の脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Advisory for WebEx Players
https://www.us-cert.gov/ncas/current-activity/2014/05/08/Cisco-Releases-Security-Advisory-WebEx-Players

概要

Cisco の WebEx Player には、複数の脆弱性があります。結果として、遠隔の
第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となる製品は以下のとおりです。

- Cisco WebEx WRF Player
- Cisco WebEx ARF Player

この問題は、Cisco が提供する修正済みのバージョンに WebEx Player を更新
することで解決します。詳細については、Cisco が提供する情報を参照して下
さい。

【7】intra-mart にオープンリダイレクトの脆弱性

情報源

Japan Vulnerability Notes JVN#68340046
intra-mart におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN68340046/index.html

概要

intra-mart には、オープンリダイレクトの脆弱性があります。結果として、
遠隔の第三者が、フィッシング詐欺などに悪用する可能性があります。

対象となるバージョンは以下の通りです。

- intra-mart WebPlatform / AppFramework バージョン 6.0 から 7.2 まで

この問題は、NTTデータ イントラマートが提供する修正済みのバージョンに
intra-mart を更新することで解決します。詳細については、NTTデータ イン
トラマートが提供する情報を参照して下さい。

【8】Fortinet Fortiweb にクロスサイトリクエストフォージェリの脆弱性

情報源

CERT/CC Vulnerability Note VU#902790
Fortinet Fortiweb 5.1 contains a cross-site request forgery vulnerability
https://www.kb.cert.org/vuls/id/902790

概要

Fortinet Fortiweb には、クロスサイトリクエストフォージェリの脆弱性があ
ります。結果として、遠隔の第三者が、情報を取得したり、任意のコードを実
行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Fortinet Fortiweb 5.2.0 より前のバージョン

この問題は、Fortinet が提供する修正済みのバージョンに Fortiweb を更新
することで解決します。詳細については、Fortinet が提供する情報を参照し
て下さい。

【9】Google 検索アプライアンスのダイナミックナビゲーションにクロスサイトスクリプティングの脆弱性

情報源

CERT/CC Vulnerability Note VU#673313
Google Search Appliance dynamic navigation cross-site scripting vulnerability
https://www.kb.cert.org/vuls/id/673313

概要

Google 検索アプライアンスのダイナミック ナビゲーションには、クロスサイ
トスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Google 検索アプライアンス 7.2.0.G.114 より前のバージョン
- Google 検索アプライアンス 7.0.14.G.216 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google 検索アプラ
イアンスを更新することで解決します。詳細については、Google が提供する
情報を参照して下さい。

■今週のひとくちメモ

○APCERT Annual Report 2013 公開

アジア太平洋地域のシーサートの集まりである APCERT では、各チームの一年
間の参加報告をまとめた Annual Report を毎年公開しています。2014年5月1日に、
2013年の活動をまとめた Annual Report 2013 が公開されました。

アジア太平洋地域のシーサートがそれぞれどのような活動をしているか、また、
チーム間でどのような連携活動を行っているかを知るための参考資料として、
ご参照下さい。

参考文献 (英語)

APCERT
APCERT Annual Report 2013
http://www.apcert.org/documents/pdf/APCERT_Annual_Report_2013%28FINAL%29.pdf

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2014-05-14号

<<< JPCERT/CC WEEKLY REPORT 2014-05-14 >>>

■04/27(日)〜05/10(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○APCERT Annual Report 2013 公開

参考文献 (英語)

■JPCERT/CC からのお願い

目　次