JPCERT コーディネーションセンター

Weekly Report 2014-07-09号

JPCERT-WR-2014-2601
JPCERT/CC
2014-07-09

<<< JPCERT/CC WEEKLY REPORT 2014-07-09 >>>

■06/29(日)〜07/05(土) のセキュリティ関連情報

目 次

【1】複数の Apple 製品に脆弱性

【2】Cisco の Unified Communications Domain Manager に複数の脆弱性

【3】Autodesk の VRED に OS コマンドインジェクションの脆弱性

【4】SX-2000WG にサービス運用妨害 (DoS) の脆弱性

【今週のひとくちメモ】DNS Summer Days 2014

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr142601.txt
https://www.jpcert.or.jp/wr/2014/wr142601.xml

【1】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates for OS X, Safari, iOS devices, and Apple TV
https://www.us-cert.gov/ncas/current-activity/2014/07/01/Apple-Releases-Security-Updates-OS-X-Safari-iOS-devices-and-Apple

概要

複数の Apple 製品には脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性
があります。

対象となるバージョンは以下の通りです。

- OS X Mavericks 10.9.4 より前のバージョン
- Safari 6.1.5 および Safari 7.0.5 より前のバージョン
- iOS 7.1.2 より前のバージョン
- Apple TV 6.2 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する
ことで解決します。詳細については、Apple が提供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99696049
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99696049/index.html

関連文書 (英語)

Apple
About the security content of Safari 6.1.5 and Safari 7.0.5
http://support.apple.com/kb/HT6293

Apple
About the security content of OS X Mavericks v10.9.4 and Security Update 2014-003
http://support.apple.com/kb/HT6296

Apple
About the security content of iOS 7.1.2
http://support.apple.com/kb/HT6297

Apple
About the security content of Apple TV 6.2
http://support.apple.com/kb/HT6298

【2】Cisco の Unified Communications Domain Manager に複数の脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Advisory for Unified Communications Domain Manager
https://www.us-cert.gov/ncas/current-activity/2014/07/02/Cisco-Releases-Security-Advisory-Unified-Communications-Domain

概要

Cisco の Unified Communications Domain Manager には、複数の脆弱性があ
ります。結果として、遠隔の第三者が、任意のコードを実行したり、権限を昇
格したりする可能性があります。

対象となる製品は以下の通りです。

- Cisco Unified CDM Application Software
- Cisco Unified CDM Platform Software

この問題は、Cisco が提供する修正済みのバージョンに Unified
Communications Domain Manager を更新することで解決します。詳細について
は、Cisco が提供する情報を参照して下さい。

関連文書 (英語)

Cisco Security Advisory
Multiple Vulnerabilities in Cisco Unified Communications Domain Manager
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140702-cucdm

【3】Autodesk の VRED に OS コマンドインジェクションの脆弱性

情報源

CERT/CC Vulnerability Note VU#402020
Autodesk VRED contains an unauthenticated remote code execution vulnerability
https://www.kb.cert.org/vuls/id/402020

概要

Autodesk の VRED には、OS コマンドインジェクションの脆弱性があります。
結果として、遠隔の第三者が、当該製品を実行している権限で、OS コマンド
を実行する可能性があります。

対象となるバージョンは以下の通りです。

- Autodesk VRED 2014 SR1 SP8 より前のバージョン

この問題は、Autodesk が提供する修正済みのバージョンに VRED を更新する
ことで解決します。詳細については、Autodesk が提供する情報を参照して下
さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#91860797
Autodesk VRED に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU91860797/index.html

【4】SX-2000WG にサービス運用妨害 (DoS) の脆弱性

情報源

Japan Vulnerability Notes JVN#85571806
SX-2000WG におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN85571806/index.html

Japan Vulnerability Notes JVN#35998716
SX-2000WG におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN35998716/index.html

概要

SX-2000WG には脆弱性があります。結果として、遠隔の第三者が、サービス運
用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- SX-2000WG ファームウェア Ver 1.5.4 より前のバージョン

この問題は、サイレックス・テクノロジー株式会社が提供する修正済みのバー
ジョンに SX-2000WG のファームウェアを更新することで解決します。詳細に
ついては、サイレックス・テクノロジー株式会社が提供する情報を参照して下
さい。

関連文書 (日本語)

サイレックス・テクノロジー株式会社
ダウンロード
http://www.silex.jp/support/download/firm_sx2000wg.html

■今週のひとくちメモ

○DNS Summer Days 2014

2014年6月26、27日に、日本DNSオペレーターズグループ (DNSOPS.JP) 主催
の DNS Summer Days 2014 が開催されました。

1日目は、DNS の基本的な知識をおさらいするチュートリアルが開催され、2日
目は DNS を取り巻く現状や昨今の様々なインシデントについて議論するワーク
ショップが開催されました。

DNSOPS.JP の Web サイトで、これら各セッションの資料が公開されています。
DNS の仕組みや運用の実状をよりよく理解するために、ぜひ参考にしてみてく
ださい。

参考文献 (日本語)

日本DNSオペレーターズグループ (DNSOPS.JP)
DNS Summer Days 2014
http://dnsops.jp/event20140626.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter