<<< JPCERT/CC WEEKLY REPORT 2014-06-25 >>>

■06/15(日)〜06/21(土) のセキュリティ関連情報

目　次

【1】Microsoft Malware Protection Engine にサービス運用妨害 (DoS) の脆弱性

【2】Symantec Web Gateway に 複数の脆弱性

【3】Android 版アプリ「050 plus」に情報管理不備の脆弱性

【4】Webmin にクロスサイトスクリプティングの脆弱性

【5】Usermin に複数の脆弱性

【6】TERASOLUNA Server Framework for Java(Web) に ClassLoader が操作可能な脆弱性

【7】F5 ARX Data Manager に SQL インジェクションの脆弱性

【今週のひとくちメモ】セキュアライフ2020

【1】Microsoft Malware Protection Engine にサービス運用妨害 (DoS) の脆弱性

情報源

US-CERT Current Activity
Microsoft Releases Security Advisory for Microsoft Malware Protection Engine
https://www.us-cert.gov/ncas/current-activity/2014/06/17/Microsoft-Releases-Security-Advisory-Microsoft-Malware-Protection

概要

Microsoft Malware Protection Engine には、サービス運用妨害 (DoS) の脆
弱性があります。結果として、当該製品がシステムを監視できなくなる可能性
があります。

対象となるバージョンは以下の通りです。

- Microsoft Malware Protection Engine 1.1.10600.0 およびそれ以前

Microsoft Malware Protection Engine は複数の製品に組み込まれています。
この問題は、Microsoft Malware Protection Engine を更新することで解決し
ます。詳細については、Microsoft が提供する情報を参照して下さい。

関連文書 (日本語)

マイクロソフト セキュリティ アドバイザリ 2974294
Microsoft Malware Protection Engine の脆弱性により、サービス拒否が起こる
https://technet.microsoft.com/ja-jp/library/security/2974294

日本のセキュリティチーム
セキュリティ アドバイザリ 2974294「Microsoft Malware Protection Engine の脆弱性により、サービス拒否が起こる」を公開
http://blogs.technet.com/b/jpsecurity/archive/2014/06/18/2974294-microsoft-malware-protection-engine.aspx

【2】Symantec Web Gateway に 複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#719172
Symantec Web Gateway contains SQL injection and cross-site scripting vulnerabilities
https://www.kb.cert.org/vuls/id/719172

概要

Symantec Web Gateway には、SQL インジェクションおよびクロスサイトスク
リプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブ
ラウザ上で任意のスクリプトを実行したり、当該製品が参照しているデータベ
ースに対して任意の SQL コマンドを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Symantec Web Gateway 5.2 およびそれ以前

この問題は、Symantec が提供する修正済みのバージョンに Web Gateway を更
新することで解決します。詳細については、Symantec が提供する情報を参照
して下さい。

関連文書 (日本語)

Symantec
Symantec Web Gateway におけるセキュリティ問題 (SYM14-010)
http://www.symantec.com/ja/jp/security_response/securityupdates/detail.jsp?fid=securit20y_advisory&pvid=security_advisory&year=&suid=20140616_00

Japan Vulnerability Notes JVNVU#92933933
Symantec Web Gateway に複数の脆弱性
https://jvn.jp/vu/JVNVU92933933/index.html

【3】Android 版アプリ「050 plus」に情報管理不備の脆弱性

情報源

Japan Vulnerability Notes JVN#07677464
Android 版アプリ「050 plus」における情報管理不備の脆弱性
https://jvn.jp/jp/JVN07677464/index.html

概要

Android 版アプリ「050 plus」には、情報管理不備の脆弱性があります。結果
として、Android 端末のログ情報を閲覧する権限のあるアプリケーションが、
当該製品が記録している情報の一部を取得する可能性があります。

対象となるバージョンは以下の通りです。

- Android 版 アプリ「050 plus」 4.2.0 およびそれ以前

この問題は、エヌ・ティ・ティ・コミュニケーションズが提供する修正済みの
バージョンに 050 plus を更新することで解決します。なお、アップデートし
ても既に出力されたログ情報は削除されないため、ログ情報を読み取り可能な
アプリケーションを端末にインストールする場合には、注意してください。詳
細については、エヌ・ティ・ティ・コミュニケーションズが提供する情報を参
照して下さい。

【4】Webmin にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#49974594
Webmin におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN49974594/index.html

Japan Vulnerability Notes JVN#02213197
Webmin におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN02213197/index.html

概要

Webmin には、複数のクロスサイトスクリプティングの脆弱性があります。結
果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行す
る可能性があります。

対象となるバージョンは以下の通りです。

- Webmin バージョン 1.690 より前のバージョン

この問題は、Webmin が提供する修正済みのバージョンに Webmin を更新する
ことで解決します。詳細については、Webmin が提供する情報を参照して下さ
い。

関連文書 (英語)

Webmin
Change Log
http://www.webmin.com/changes.html

【5】Usermin に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#48805624
Usermin における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN48805624/index.html

Japan Vulnerability Notes JVN#92737498
Usermin におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN92737498/index.html

概要

Usermin には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
バ上で任意の OS コマンドを実行したり、ユーザのブラウザ上で任意のスクリ
プトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Usermin バージョン 1.600 より前のバージョン

この問題は、Webmin が提供する修正済みのバージョンに Usermin を更新する
ことで解決します。詳細については、Webmin が提供する情報を参照して下さ
い。

関連文書 (英語)

Webmin
Usermin Change Log
http://www.webmin.com/uchanges.html

【6】TERASOLUNA Server Framework for Java(Web) に ClassLoader が操作可能な脆弱性

情報源

Japan Vulnerability Notes JVN#30962312
TERASOLUNA Server Framework for Java(Web) において ClassLoader が操作可能な脆弱性
https://jvn.jp/jp/JVN30962312/index.html

概要

TERASOLUNA Server Framework for Java(Web) には、ClassLoader が操作可能
な脆弱性があります。結果として、遠隔の第三者が、当該製品が動作している
サーバ上で情報を取得したり、任意のコードを実行したりする可能性がありま
す。

対象となるバージョンは以下の通りです。

- TERASOLUNA Server Framework for Java(Web) 2.0.0.1 から 2.0.5.1 まで

この問題は、エヌ・ティ・ティ・データが提供する修正済みのバージョンに
TERASOLUNA Server Framework for Java(Web) を更新することで解決します。
詳細については、エヌ・ティ・ティ・データが提供する情報を参照して下さい。

関連文書 (日本語)

株式会社エヌ・ティ・ティ・データ
Apache Struts1（アパッチ ストラッツワン）の脆弱性に対応した無償版TERASOLUNAR Server Framework for Javaを公開
http://www.nttdata.com/jp/ja/news/information/2014/2014052301.html

【7】F5 ARX Data Manager に SQL インジェクションの脆弱性

情報源

CERT/CC Vulnerability Note VU#210884
F5 ARX Data Manager contains a SQL injection vulnerability
https://www.kb.cert.org/vuls/id/210884

概要

F5 ARX Data Manager には、SQL インジェクションの脆弱性があります。結果
として、遠隔の第三者が、当該製品が参照するデータベースに対して、任意の
SQL コマンドを実行する可能性があります。

対象となるバージョンは以下の通りです。

- F5 ARX Data Manager 3.0.0 から 3.1.0 まで

2014年6月24日現在、ARX Data Manager 3.x のサポートは終了しています。F5
Networks が提供する情報をもとに、ARX Data Manager の使用を停止してくだ
さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#91561766
F5 ARX Data Manager に SQL インジェクションの脆弱性
https://jvn.jp/vu/JVNVU91561766/index.html

関連文書 (英語)

F5 Networks
SOL15310: Data Manager SQL Injection Remote Code Execution vulnerability CVE-2014-2949
http://support.f5.com/kb/en-us/solutions/public/15000/300/sol15310.html

F5 Networks
SOL14791: End of Software Development for Data Manager 3.x
http://support.f5.com/kb/en-us/solutions/public/14000/700/sol14791.html

■今週のひとくちメモ

○セキュアライフ2020

7月4日に重要生活機器連携セキュリティ研究会が主催する、「セキュアライフ
2020」というシンポジウムが開催されます。このシンポジウムでは、2020年の
自動車や家電などの生活機器に対する脅威などを想定し、国や業界が行うべき
対策をとりまとめた提言の紹介や、専門家による講演、パネルディスカッショ
ンが行われます。JPCERT/CC もこのシンポジウムに参加予定です。

参考文献 (日本語)

重要生活機器連携セキュリティ研究会
セキュアライフ2020
https://www.ccdssg.org/event/2014/20140704.html

重要生活機器連携セキュリティ研究会
公開資料
https://www.ccdssg.org/public_document.html

■JPCERT/CC からのお願い