US-CERT Current Activity
Microsoft Releases April 2015 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2015/04/14/Microsoft-Releases-April-2015-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office
- Microsoft サーバー ソフトウェア
- プロダクティビティ ソフトウェア
- Microsoft .NET Framework

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細については、Microsoft が提供する情報を参照して下さい。

【2】Windows NTLM が file:// URL へのリダイレクト時に SMB 接続を行いユーザ認証情報を送信する問題

情報源

CERT/CC Vulnerability Note VU#672268
Microsoft Windows NTLM automatically authenticates via SMB when following a file:// URL
https://www.kb.cert.org/vuls/id/672268

概要

いくつかの Windows アプリケーションは、HTTP リクエストが SMB サーバを
示す file:// URL にリダイレクトされた場合に SMB 認証情報を送信します。
結果として、遠隔の第三者が、ユーザに file:// で始まる URL へアクセスさ
せることで、認証情報を取得する可能性があります。

対象となる製品およびバージョンは複数存在します。

2015年4月21日現在、更新プログラムは公開されていません。以下のいずれかの
回避策を適用することで、本脆弱性の影響を軽減することが可能です。

- 外部ネットワーク向けの SMB 通信 (139/tcp および 445/tcp) を遮断する
- 外部ネットワーク向けの SMB 通信を制限するよう NTLM の設定を変更する
- デフォルトの認証機能として NTLM を使用しない

詳細については、マイクロソフト株式会社が提供する情報を参照して下さい。

【3】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Flash Player, ColdFusion and Flex
https://www.us-cert.gov/ncas/current-activity/2015/04/15/Adobe-Releases-Security-Updates-Flash-Player-ColdFusion-and-Flex

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player 17.0.0.134 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 13.0.0.277 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 11.2.202.451 およびそれ以前 (Linux 版)
- ColdFusion 11 および 10
- Adobe Flex 4.6 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Adobe が提供する情報を参照して下さ
い。

【4】2015年4月 Oracle Critical Patch Update について

情報源

US-CERT Current Activity
Oracle Releases April 2015 Security Advisory
https://www.us-cert.gov/ncas/current-activity/2015/04/15/Oracle-Releases-April-2015-Security-Advisory

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update が公開されました。詳細については、Oracle
が提供する情報を参照して下さい。

【5】PHP に複数の脆弱性

情報源

PHP Group
PHP 5.6.8 is available
https://php.net/index.php#id2015-04-16-2

PHP Group
PHP 5.5.24 is available
https://php.net/index.php#id2015-04-16-1

PHP Group
PHP 5.4.40 Released
https://php.net/index.php#id2015-04-16-3

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- PHP 5.6.8 より前のバージョン
- PHP 5.5.24 より前のバージョン
- PHP 5.4.40 より前のバージョン

この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細については、開発者や配布元が提供する情報を参
照して下さい。

【6】Ruby の OpenSSL 拡張ライブラリに複数の脆弱性

情報源

Ruby
CVE-2015-1855: Ruby OpenSSL ホスト名検証の脆弱性
https://www.ruby-lang.org/ja/news/2015/04/13/ruby-openssl-hostname-matching-vulnerability/

概要

Ruby の OpenSSL 拡張ライブラリが提供している X.509 証明書のホスト名検
証機能は、RFC で規定されている仕様に違反しています。結果として、ホスト
名の検証が適切に行われない可能性があります。

対象となるバージョンは以下の通りです。

- Ruby 2.0.0 patchlevel 645 より前の Ruby 2.0 系列のバージョン
- Ruby 2.1.6 より前の Ruby 2.1 系列のバージョン
- Ruby 2.2.2 より前の Ruby 2.2 系列のバージョン
- revision 50292 より前の開発版 (trunk)

この問題は、開発者や配布元が提供する修正済みのバージョンに Ruby を更新
することで解決します。詳細については、開発者や配布元が提供する情報を参
照して下さい。

【7】JBoss RichFaces に脆弱性

情報源

Japan Vulnerability Notes JVN#56297719
JBoss RichFaces において任意の Java コードが実行される脆弱性
https://jvn.jp/jp/JVN56297719/

概要

JBoss RichFaces のパラメータの処理には、脆弱性があります。結果として、
遠隔の第三者が、細工した入力を処理させることで、任意の Java コードを実
行する可能性があります。

対象となるバージョンは以下の通りです。

- JBoss RichFaces 4.5.4 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに JBoss RichFaces を
更新することで解決します。詳細については、開発者が提供する情報を参照し
て下さい。

【8】HP Network Automation に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#750060
Hewlett-Packard Network Automation contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/750060

概要

HP Network Automation には、複数の脆弱性があります。結果として、遠隔の
第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った
りするなどの可能性があります。

対象となるバージョンは以下の通りです。

- HP Network Automation v9.0X
- HP Network Automation v9.1X
- HP Network Automation v9.2X
- HP Network Automation v10.X

この問題は、HP が提供する修正済みのバージョンに HP Network Automation
を更新することで解決します。詳細については、HP が提供する情報を参照し
て下さい。

【9】SearchBlox に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#697316
SearchBlox contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/697316

概要

SearchBlox には、複数の脆弱性があります。結果として、遠隔の第三者が、
ログイン可能なユーザの権限で任意の操作をさせたり、ユーザのブラウザ上で
任意のスクリプトを実行したりするなどの可能性があります。

対象となるバージョンは以下の通りです。

- SearchBlox 8.2 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに SearchBlox を更新する
ことで解決します。詳細については、開発者が提供する情報を参照して下さい。

【10】JAIPA Cloud Conference 2015 開催

情報源

一般社団法人日本インターネットプロバイダー協会クラウド部会
JAIPA Cloud Conference 2015
https://cloudconference.jaipa.or.jp/

概要

2015年5月27日、日本インターネットプロバイダー協会 (JAIPA) クラウド部会
は、クラウド事業者向けのイベントとして、JAIPA Cloud Conference 2015 を
開催します。このイベントでは、省庁の ICT 関連施策に関する講演やクラウ
ドに関する法的諸問題に関する講演などが予定されています。JPCERT/CC もこ
のイベントを後援しています。

参加は無料ですが、事前申し込みが必要となります。参加を希望する方はお早
めにお申し込み下さい。

■今週のひとくちメモ

○Java SE JDK/JRE 7 の公式アップデート終了

2015年4月14日、Oracle Java SE の Critical Patch Update が公開され、こ
れをもって Java SE JDK/JRE 7 の公式アップデートは終了しました。

今後、セキュリティ上の脅威が高まることが懸念されるため、Java SE JDK/JRE 7
をお使いの方は、Java SE JDK/JRE 8 への移行を検討して下さい。

参考文献 (日本語)

Oracle
Java SE 7の公式アップデート終了のお知らせ
http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html#Java6-end-public-updates

独立行政法人情報処理推進機構 (IPA)
公式サポートが終了する Java SE 7 の利用者に向けた注意喚起
https://www.ipa.go.jp/security/announce/java7_eol.html

JPCERT/CC Alert 2015-04-15
2015年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2015/at150010.html

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2015-04-22号

<<< JPCERT/CC WEEKLY REPORT 2015-04-22 >>>

■04/12(日)〜04/18(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

○Java SE JDK/JRE 7 の公式アップデート終了

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次