JPCERT コーディネーションセンター

Weekly Report 2015-06-24号

JPCERT-WR-2015-2401
JPCERT/CC
2015-06-24

<<< JPCERT/CC WEEKLY REPORT 2015-06-24 >>>

■06/14(日)〜06/20(土) のセキュリティ関連情報

目 次

【1】Adobe Photoshop CC および Adobe Bridge CC に複数の脆弱性

【2】Drupal に複数の脆弱性

【3】Ruby on Rails に複数の脆弱性

【4】Ruby on Rails 用ライブラリ Paperclip にクロスサイトスクリプティングの脆弱性

【5】Retrospect Backup Client が弱いパスワードハッシュを使用する問題

【6】Pearson ProctorCache にハードコードされたパスワードを使用する問題

【7】Vesta Control Panel にクロスサイトリクエストフォージェリの脆弱性

【今週のひとくちメモ】SMS で誘導される銀行のフィッシングサイトに注意

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr152401.txt
https://www.jpcert.or.jp/wr/2015/wr152401.xml

【1】Adobe Photoshop CC および Adobe Bridge CC に複数の脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2015/06/16/Adobe-Releases-Security-Updates-Multiple-Products

概要

Adobe Photoshop CC および Adobe Bridge CC には、複数の脆弱性があります。
結果として、遠隔の第三者が、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Photoshop CC 2014 15.2.2(2014.2.2)およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Bridge CC 6.1 およびそれ以前 (Windows 版、Macintosh 版)

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe セキュリティ情報
Adobe Photoshop CC用セキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/photoshop/apsb15-12.html

Adobe セキュリティ情報
Adobe Bridge CC用セキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/bridge/apsb15-13.html

【2】Drupal に複数の脆弱性

情報源

US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2015/06/18/Drupal-Releases-Security-Updates

概要

Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、認証を
回避して他のユーザとしてアクセスするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Drupal core 6.36 より前のバージョン
- Drupal core 7.38 より前のバージョン

この問題は、Drupal が提供する修正済みのバージョンに Drupal を更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)

Drupal Security advisories
Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2015-002
https://www.drupal.org/SA-CORE-2015-002

【3】Ruby on Rails に複数の脆弱性

情報源

Ruby on Rails
Riding Rails: Rails 3.2.22, 4.1.11 and 4.2.2 have been released and more
http://weblog.rubyonrails.org/2015/6/16/Rails-3-2-22-4-1-11-and-4-2-2-have-been-released-and-more/

概要

Ruby on Rails には、複数の脆弱性があります。結果として、遠隔の第三者が、
ユーザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- Ruby on Rails 3.2.22 より前のバージョン
- Ruby on Rails 4.1.11 より前のバージョン
- Ruby on Rails 4.2.2 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに Ruby on Rails を更新することで解決します。詳細については、配布元
が提供する情報を参照してください。

関連文書 (英語)

Ruby on Rails
Get Ruby on Rails in no time
http://rubyonrails.org/download/

【4】Ruby on Rails 用ライブラリ Paperclip にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#83881261
Ruby on Rails 用ライブラリ Paperclip におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN83881261/

概要

Ruby on Rails 用ライブラリ Paperclip には、脆弱性があります。結果とし
て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。

対象となるバージョンは以下の通りです。

- Paperclip 4.2.1 およびそれ以前

この問題は、thoughtbot が提供する修正済みのバージョンに Paperclip を更
新することで解決します。詳細は、thoughtbot が提供する情報を参照してく
ださい。

関連文書 (英語)

thoughtbot
Paperclip Security Release
https://robots.thoughtbot.com/paperclip-security-release

【5】Retrospect Backup Client が弱いパスワードハッシュを使用する問題

情報源

CERT/CC Vulnerability Note VU#101500
Retrospect Backup Client uses weak password hashing
http://www.kb.cert.org/vuls/id/101500

概要

Retrospect Backup Client には、弱いパスワードハッシュを使用する問題が
あります。結果として、当該製品にアクセス可能な第三者が、総当たり攻撃に
よってパスワードを推測する可能性があります。

対象となるバージョンは以下の通りです。

- Retrospect Backup Client 10.0.2 より前のバージョン (Windows 版、Linux 版)
- Retrospect Backup Client 12.0.2 より前のバージョン (Macintosh 版)

この問題は、Retrospect が提供する修正済みのバージョンに Retrospect Backup
Client を更新することで解決します。また、以下の回避策を適用することで、
本脆弱性の影響を軽減することが可能です。

- 公開鍵認証を使用する

詳細は、Retrospect が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99598689
Retrospect Backup Client が弱いパスワードハッシュを使用する問題
https://jvn.jp/vu/JVNVU99598689/

関連文書 (英語)

Retrospect
CERT Vulnerability CVE-2015-2864
http://www.retrospect.com/support/kb/cve_2015_2864

【6】Pearson ProctorCache にハードコードされたパスワードを使用する問題

情報源

CERT/CC Vulnerability Note VU#626420
Pearson ProctorCache contains hard coded credentials
http://www.kb.cert.org/vuls/id/626420

概要

Pearson ProctorCache には、ハードコードされたパスワードを使用する問題
があります。結果として、ローカルネットワーク上の第三者が、認証情報を
使用してユーザの意図しない操作を行う可能性があります。

対象となるバージョンは以下の通りです。

- ProctorCache version 2015.1.17 より前のバージョン

この問題は、Pearson Education, Inc. が提供する修正済みのバージョンに
ProctorCache を更新することで解決します。詳細は、Pearson Education, Inc.
が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98244815
Pearson ProctorCache がハードコードされたパスワードを使用する問題
https://jvn.jp/vu/JVNVU98244815/

関連文書 (英語)

ProctorCach
Install ProctorCach
https://support.assessment.pearson.com/display/TN/Install+ProctorCache

【7】Vesta Control Panel にクロスサイトリクエストフォージェリの脆弱性

情報源

CERT/CC Vulnerability Note VU#842780
Vesta Control Panel is vulnerable to cross-site request forgery
http://www.kb.cert.org/vuls/id/842780

概要

Vesta Control Panel には、脆弱性があります。結果として、遠隔の第三者が、
当該製品にログインしたユーザに細工したリンクを開かせることによって、任
意の操作を行う可能性があります。

対象となるバージョンは以下の通りです。

- Vesta Control Panel 0.9.8-14 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに Vesta Control Panel
を更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#96063575
Vesta Control Panel にクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/vu/JVNVU96063575/

関連文書 (英語)

Vesta Control Panel
Version 0.9.8-14
https://vestacp.com/roadmap/#history

■今週のひとくちメモ

○SMS で誘導される銀行のフィッシングサイトに注意

2015年6月16日、フィッシング対策協議会は「【注意喚起】SMS(ショートメッ
セージサービス)で誘導される銀行のフィッシングサイトにご注意ください 
(2015/06/16)」を公開しました。

この注意喚起では、実際に誘導に使われたメッセージの画像を紹介し、注意を
呼びかけています。

参考文献 (日本語)

フィッシング対策協議会
【注意喚起】SMS(ショートメッセージサービス)で誘導される銀行のフィッシングサイトにご注意ください (2015/06/16)
https://www.antiphishing.jp/news/alert/_sms_20150616.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter