<<< JPCERT/CC WEEKLY REPORT 2015-03-04 >>>
■02/22(日)〜02/28(土) のセキュリティ関連情報
目 次
【1】Samba に任意のコードが実行可能な脆弱性
【2】Mozilla 製品群に複数の脆弱性
【3】複数の Cisco 製品に脆弱性
【4】SEIL シリーズルータにサービス運用妨害 (DoS) の脆弱性
【5】複数の東芝製品に権限昇格の脆弱性
【6】日本語版 Zen Cart にクロスサイトスクリプティングの脆弱性
【7】Adtrustmedia PrivDog に SSL サーバ証明書の検証不備の脆弱性
【8】jBCrypt に脆弱性
【今週のひとくちメモ】Ruby 1.9.3 サポート終了
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr150901.txt
https://www.jpcert.or.jp/wr/2015/wr150901.xml
【1】Samba に任意のコードが実行可能な脆弱性
情報源
US-CERT Current Activity
Samba Remote Code Execution Vulnerability
https://www.us-cert.gov/ncas/current-activity/2015/02/24/Samba-Remote-Code-Execution-Vulnerability
概要
Samba には、任意のコードが実行可能な脆弱性があります。結果として、遠隔 の第三者が、細工したパケットを送信することで、任意のコードを実行する可 能性があります。 対象となるバージョンは以下の通りです。 - Samba 4.1.17 より前のバージョン - Samba 4.0.25 より前のバージョン - Samba 3.6.25 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに Samba を更新するこ とで解決します。詳細については、開発者が提供する情報を参照して下さい。
関連文書 (英語)
Samba
Unexpected code execution in smbd.
https://www.samba.org/samba/security/CVE-2015-0240
【2】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.us-cert.gov/ncas/current-activity/2015/02/24/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-and
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 36 より前のバージョン - Firefox ESR 31.5 より前のバージョン - Thunderbird 31.5 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 2 月 24 日)
http://www.mozilla-japan.org/security/announce/
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco IPv6 Denial of Service Vulnerability
https://www.us-cert.gov/ncas/current-activity/2015/02/25/Cisco-IPv6-Denial-Service-Vulnerability
概要
複数の Cisco 製品には脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Carrier Routing System (IOS XR 5.3.0 より前のバージョン) - Cisco Network Convergence System 6000 シリーズ ルータ (IOS XR 5.2.3 より前のバージョン) この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Cisco が提供する情報を参照して下さ い。
関連文書 (英語)
Cisco Security Advisory
Cisco IOS XR Software IPv6 Malformed Packet Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150220-ipv6
【4】SEIL シリーズルータにサービス運用妨害 (DoS) の脆弱性
情報源
Japan Vulnerability Notes JVN#63949115
SEIL シリーズルータにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN63949115/
概要
SEIL シリーズルータには、サービス運用妨害 (DoS) の脆弱性があります。結 果として、遠隔の第三者が、細工した SSTP パケットを送信することで、サー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品およびバージョンは以下の通りです。 - SEIL/x86 Fuji 1.00 から 3.30 まで - SEIL/X1 3.50 から 4.70 まで - SEIL/X2 3.50 から 4.70 まで - SEIL/B1 3.50 から 4.70 まで この問題は、株式会社インターネットイニシアティブが提供する修正済みのバー ジョンにファームウェアを更新することで解決します。詳細については、株式 会社インターネットイニシアティブが提供する情報を参照して下さい。
関連文書 (日本語)
株式会社インターネットイニシアティブ
SSTPパケットの受信処理における脆弱性
http://www.seil.jp/support/security/a01541.html
【5】複数の東芝製品に権限昇格の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99205169
Bluetooth Stack for Windows by Toshiba および TOSHIBA Service Station に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU99205169/
概要
複数の東芝製品には、権限昇格の脆弱性があります。結果として、ログイン可 能なユーザが、細工したアプリケーションを使用することで、より高い権限を 取得する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Bluetoooth Stack for Windows by Toshiba v9.10.27 およびそれ以前 - TOSHIBA Service Station v2.2.13 およびそれ以前 この問題は、開発者や配布元が提供する修正済みのバージョンに該当する製品 を更新することで解決します。詳細については、開発者や配布元が提供する情 報を参照して下さい。
関連文書 (日本語)
株式会社東芝
Bluetooth Stack for Windows by Toshiba、TOSHIBA Service Station をお使いのお客様への重要なお知らせ
http://dynabook.com/assistpc/info/2015/20150226.htm
関連文書 (英語)
CERT/CC Vulnerability Note VU#632140
Multiple Toshiba products are vulnerable to trusted service path privilege escalation
https://www.kb.cert.org/vuls/id/632140
【6】日本語版 Zen Cart にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#44544694
日本語版 Zen Cart におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN44544694/
概要
日本語版 Zen Cart には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、管理者としてログインしているユーザのブラウ ザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Zen Cart v1.5.1 ja およびそれ以前 - Zen Cart v1.3.0.2 jp8 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに、日本語版 Zen Cart を更新することで解決します。v1.5.1 ja については、2015年2月13日に修正 版が公開されています。詳細については、開発者が提供する情報を参照して下 さい。
関連文書 (日本語)
Zen-Cart.JP
公式配布を1.5.1に変更しました
http://zen-cart.jp/bbs/viewtopic.php?f=1&t=6181
【7】Adtrustmedia PrivDog に SSL サーバ証明書の検証不備の脆弱性
情報源
CERT/CC Vulnerability Note VU#366544
Adtrustmedia PrivDog fails to validate SSL certificates
https://www.kb.cert.org/vuls/id/366544
概要
Adtrustmedia PrivDog には、SSL サーバ証明書の検証不備の脆弱性がありま す。結果として、遠隔の第三者が、中間者攻撃を行うことによって、暗号通信 を盗聴する可能性があります。 対象となるバージョンは以下の通りです。 - PrivDog 3.0.96.0 - PrivDog 3.0.97.0 この問題は、Adtrustmedia が提供する修正済みのバージョンに PrivDog を更 新することで解決します。詳細については、Adtrustmedia が提供する情報を 参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91326102
Adtrustmedia PrivDog に SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/vu/JVNVU91326102/
関連文書 (英語)
PrivDog
PrivDog Security Advisory (Threat level: LOW)
http://www.privdog.com/advisory.html
【8】jBCrypt に脆弱性
情報源
Japan Vulnerability Notes JVN#77718330
jBCrypt におけるストレッチング処理に関する脆弱性
https://jvn.jp/jp/JVN77718330/
概要
jBCrypt には、ハッシュ計算の実装に問題があります。特定の設定ではハッシュ 値のストレッチング処理が正しく行われなくなるため、総当たり攻撃によって 容易にパスワードを解読される可能性があります。 対象となるバージョンは以下の通りです。 - jBCrypt-0.3 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに jBCrypt を更新する ことで解決します。詳細については、開発者が提供する情報を参照して下さい。
関連文書 (英語)
mindrot.org
jBCrypt: jBCrypt-0.4
http://www.mindrot.org/projects/jBCrypt/news/rel04.html
■今週のひとくちメモ
○Ruby 1.9.3 サポート終了
2015年2月23日、Ruby 1.9.3 のすべてのサポートが終了しました。1.9.3 には、 今後、バグ修正やセキュリティ修正は行われません。Ruby の開発チームは、 すみやかに Ruby 2.0.0 以上にアップグレードすることを推奨しています。
参考文献 (日本語)
Ruby
Ruby 1.9.3 のサポート終了について
https://www.ruby-lang.org/ja/news/2015/02/23/support-for-ruby-1-9-3-has-ended/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
