JPCERT コーディネーションセンター

Weekly Report 2014-11-27号

JPCERT-WR-2014-4601
JPCERT/CC
2014-11-27

<<< JPCERT/CC WEEKLY REPORT 2014-11-27 >>>

■11/16(日)〜11/22(土) のセキュリティ関連情報

目 次

【1】Microsoft Windows の Kerberos KDC に PAC 署名検証不備の脆弱性

【2】複数の Apple 製品に脆弱性

【3】Drupal に複数の脆弱性

【4】WordPress に複数の脆弱性

【5】TCG日本支部(JRF) 第6回公開ワークショップ開催のお知らせ

【今週のひとくちメモ】EMET 5.1 リリース

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr144601.txt
https://www.jpcert.or.jp/wr/2014/wr144601.xml

【1】Microsoft Windows の Kerberos KDC に PAC 署名検証不備の脆弱性

情報源

US-CERT Current Activity
Microsoft Releases Out-of-Band Security Bulletin for Windows Kerberos Vulnerability
https://www.us-cert.gov/ncas/current-activity/2014/11/18/Microsoft-Releases-Patch-MS14-068-Vulnerability

概要

Microsoft Windows の Kerberos KDC には、PAC 署名検証不備の脆弱性があり
ます。結果として、ドメインの資格情報を持つユーザが、より高い権限を取得
する可能性があります。

対象となるバージョンは以下の通りです。

- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Server Core インストールオプション

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細については、Microsoft が提供する情報を参照して下さい。

関連文書 (日本語)

マイクロソフト社
Kerberos の脆弱性により特権が昇格される (3011780)
https://technet.microsoft.com/ja-JP/library/security/ms14-068.aspx

Japan Vulnerability Notes JVNVU#99458129
Microsoft Windows の Kerberos Key Distribution Center (KDC) に Privilege Attribute Certificate (PAC) 署名検証不備の脆弱性
https://jvn.jp/vu/JVNVU99458129/

JPCERT/CC Alert 2014-11-19
2014年11月 Kerberos KDC の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140048.html

関連文書 (英語)

US-CERT Alert (TA14-323A)
Microsoft Windows Kerberos KDC Remote Privilege Escalation Vulnerability
https://www.us-cert.gov/ncas/alerts/TA14-323A

【2】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates for iOS, OS X Yosemite, and Apple TV
https://www.us-cert.gov/ncas/current-activity/2014/11/17/Apple-Releases-Security-Updates-iOS-OS-X-Yosemite-and-Apple-TV

概要

複数の Apple 製品には脆弱性があります。結果として、遠隔の第三者が、情
報を取得したり、任意のコードを実行したりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- iOS 8.1.1 より前のバージョン
- OS X Yosemite v10.10.1 より前のバージョン
- Apple TV 7.0.2 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する
ことで解決します。詳細については、Apple が提供する情報を参照して下さい。

関連文書 (英語)

Apple
About the security content of iOS 8.1.1
http://support.apple.com/en-us/HT6590

Apple
About the security content of OS X Yosemite v10.10.1
http://support.apple.com/en-us/HT6591

Apple
About the security content of Apple TV 7.0.2
http://support.apple.com/en-us/HT6592

【3】Drupal に複数の脆弱性

情報源

US-CERT Current Activity
Drupal Releases Security Advisory
https://www.us-cert.gov/ncas/current-activity/2014/11/20/Drupal-Releases-Security-Advisory

概要

Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行ったり、セッションハイジャック攻撃を行った
りする可能性があります。

対象となるバージョンは以下の通りです。

- Drupal 6.34 より前の 6 系のバージョン
- Drupal 7.34 より前の 7 系のバージョン

この問題は、Drupal が提供する修正済みのバージョンに Drupal を更新する
ことで解決します。詳細については、Drupal が提供する情報を参照して下さ
い。

関連文書 (英語)

Drupal Security advisories
Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2014-006
https://www.drupal.org/SA-CORE-2014-006

【4】WordPress に複数の脆弱性

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2014/11/21/WordPress-Releases-Security-Update

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザのブラウザ上で任意のスクリプトを実行したり、ユーザの意図しない設定変
更を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- WordPress 4.0
- WordPress 3.9.2 およびそれ以前
- WordPress 3.8.4 およびそれ以前
- WordPress 3.7.4 およびそれ以前

この問題は、WordPress が提供する修正済みのバージョンに WordPress を更
新することで解決します。詳細については、Wordpress が提供する情報を参照
して下さい。

関連文書 (英語)

WordPress
WordPress 4.0.1 Security Release
https://wordpress.org/news/2014/11/wordpress-4-0-1/

【5】TCG日本支部(JRF) 第6回公開ワークショップ開催のお知らせ

情報源

TCG日本支部(JRF)
第6回公開ワークショップ
https://www.trustedcomputinggroup.org/jp/jrfworkshop/workshop6

概要

2014年12月3日(水)、秋葉原UDX (千代田区外神田) において、TCG日本支部
(JRF) 主催の第6回公開ワークショップが開催されます。JPCERT/CC は、本ワー
クショップに協力し、講演を行います。

■今週のひとくちメモ

○EMET 5.1 リリース

2014年11月10日、Microsoft は、Windows 上で動作するアプリケーションの脆
弱性の影響を緩和するためのツール (Enhanced Mitigation Experience
Toolkit: 以下 EMET) の新バージョン EMET 5.1 をリリースしました。

EMET 5.1 では、いくつかのアプリケーションとの間で発生していた互換性に
関する問題の修正や、緩和策実行時のメモリダンプ保存を可能にする機能強化
などが行われています。

参考文献 (日本語)

マイクロソフト 日本のセキュリティチーム
脆弱性緩和ツール EMET 5.1 リリースしました
http://blogs.technet.com/b/jpsecurity/archive/2014/11/11/emet-51-released.aspx

サポート技術情報 3015976
Enhanced Mitigation Experience Toolkit 5.0 の更新プログラムについて (2014 年 11 月 10 日)
http://support.microsoft.com/kb/3015976

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter