JPCERT コーディネーションセンター

Weekly Report 2015-07-23号

JPCERT-WR-2015-2801
JPCERT/CC
2015-07-23

<<< JPCERT/CC WEEKLY REPORT 2015-07-23 >>>

■07/12(日)〜07/18(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】2015年7月 Oracle Critical Patch Update について

【4】Kaseya VSA に複数の脆弱性

【5】acmailer にディレクトリトラバーサルの脆弱性

【6】Thetis に SQL インジェクションの脆弱性

【今週のひとくちメモ】Windows Server 2003 サポート終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr152801.txt
https://www.jpcert.or.jp/wr/2015/wr152801.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases July 2015 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2015/07/14/Microsoft-Releases-July-2015-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Microsoft SQL Server
- Internet Explorer
- Microsoft Office

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

なお、2015年7月21日、Microsoft は定例外のセキュリティ情報となる MS15-078
を公開しています。

関連文書 (日本語)

マイクロソフト株式会社
2015 年 7 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms15-Jul

Japan Vulnerability Notes JVNVU#92689788
Windows の Adobe Type Manager モジュールに特権昇格の脆弱性
https://jvn.jp/vu/JVNVU92689788/

Japan Vulnerability Notes JVNTA#97243368
Adobe Flash Player および Microsoft Windows の脆弱性
https://jvn.jp/ta/JVNTA97243368/

JPCERT/CC Alert 2015-07-15
2015年7月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150025.html

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Updates Available for Flash AS3 opaqueBackground and BitmapData Use-After-Free Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2015/07/11/Adobe-Flash-ActionScript-3-opaqueBackground-Use-After-Free

US-CERT Current Activity
Adobe Releases Security Update for Shockwave Player
https://www.us-cert.gov/ncas/current-activity/2015/07/14/Adobe-Releases-Security-Update-Shockwave-Player

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
ユーザに細工したコンテンツを開かせることで、任意のコードを実行するなど
の可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Acrobat Reader DC Continuous (2015.007.20033) およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat Reader DC Classic (2015.006.30033) およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Reader XI (11.0.11) およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Reader X (10.1.14) およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat DC Continuous(2015.007.20033) およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat DC Classic(2015.006.30033) およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat XI (11.0.11) およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat X (10.1.14) およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Shockwave Player 12.1.8.158 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player デスクトップランタイム 18.0.0.203 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 継続サポートリリース 13.0.0.302 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 18.0.0.203 およびそれ以前 (Windows 8.0 版、Windows 8.1 版)
- Adobe Flash Player 11.2.202.481 およびそれ以前 (Linux 版)

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe セキュリティ情報
Adobe Acrobat および Reader に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/acrobat/apsb15-15.html

Adobe セキュリティ情報
Adobe Shockwave Player用セキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/shockwave/apsb15-17.html

Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb15-18.html

Japan Vulnerability Notes JVNVU#93769860
Adobe Flash Player (opaqueBackground) に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU93769860/

Japan Vulnerability Notes JVNVU#94770908
Adobe Flash Player (BitmapData) に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU94770908/

Japan Vulnerability Notes JVNTA#97243368
Adobe Flash Player および Microsoft Windows の脆弱性
https://jvn.jp/ta/JVNTA97243368/

JPCERT/CC Alert 2015-07-13
2015年7月 Adobe Flash Player の未修正の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150020.html

JPCERT/CC Alert 2015-07-15
Adobe Reader および Acrobat の脆弱性 (APSB15-15) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150023.html

JPCERT/CC Alert 2015-07-15
Adobe Flash Player の脆弱性 (APSB15-18) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150024.html

【3】2015年7月 Oracle Critical Patch Update について

情報源

US-CERT Current Activity
Oracle Releases July 2015 Security Advisory
https://www.us-cert.gov/ncas/current-activity/2015/07/14/Oracle-Releases-July-2015-Security-Advisory

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update が公開されました。詳細は、Oracle が提供す
る情報を参照してください。

関連文書 (日本語)

Oracle
Oracle Critical Patch Update Advisory - July 2015
http://www.oracle.com/technetwork/jp/topics/ojkbcpujul2015-2606510-ja.html

Oracle Technology Network Japan Blog
Java SE 8がアップデートされました。
https://blogs.oracle.com/otnjp/entry/java_se_8%E3%81%8C%E3%82%A2%E3%83%83%E3%83%97%E3%83%87%E3%83%BC%E3%83%88%E3%81%95%E3%82%8C%E3%81%BE%E3%81%97%E3%81%9F

JPCERT/CC Alert 2015-07-15
2015年7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2015/at150022.html

【4】Kaseya VSA に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#919604
Kaseya Virtual System Administrator contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/919604

概要

Kaseya VSA には、ディレクトリトラバーサルおよびオープンリダイレクトの
脆弱性があります。結果として、製品にログインしているユーザが任意のファ
イルをダウンロードしたり、遠隔の第三者がユーザを意図しないサイトに誘導
したりする可能性があります。

対象となるバージョンは以下の通りです。

- Kaseya VSA R9 およびそれ以前

この問題は、Kaseya が提供するパッチを Kaseya VSA に適用することで解決し
ます。詳細は、Kaseya が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#91626651
Kaseya VSA に複数の脆弱性
https://jvn.jp/vu/JVNVU91626651/

関連文書 (英語)

Kaseya
Response to CVE-2015-2862 & CVE-2015-2863
https://helpdesk.kaseya.com/entries/95345528-Response-to-CVE-2015-2862-CVE-2015-2863

【5】acmailer にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#64051989
acmailer におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN64051989/

概要

acmailer には、ディレクトリトラバーサルの脆弱性があります。結果として、
製品にログイン可能なユーザが、任意のファイルを削除する可能性があります。

対象となるバージョンは以下の通りです。

- acmailer 3.8.18 正式版より前のバージョン
- acmailer 3.9.12β 開発版より前のバージョン

この問題は、株式会社シーズが提供する修正済みのバージョンに acmailer を
更新することで解決します。詳細は、株式会社シーズが提供する情報を参照し
てください。

関連文書 (日本語)

acmailer
acmailer3.8.18正式版とacmailer3.9.12β開発版をリリース
http://www.acmailer.jp/info/de.cgi?id=58

【6】Thetis に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#19011483
Thetis における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN19011483/

概要

Thetis には、SQL インジェクションの脆弱性があります。結果として、遠隔の
第三者が、データベースに対して任意のクエリを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Thetis ver.2.2.0 およびそれ以前

この問題は、シスフォニック株式会社が提供する修正済みのバージョンに Thetis
を更新することで解決します。詳細は、シスフォニック株式会社が提供する情
報を参照してください。

関連文書 (日本語)

シスフォニック株式会社
THETIS-SEC-001: ThetisにおけるSQLインジェクションの脆弱性
http://sysphonic.com/ja/thetis/THETIS-SEC-001.html

■今週のひとくちメモ

○Windows Server 2003 サポート終了

2015年7月15日をもって、Windows Server 2003 はサポートを終了しました。

サポート終了後は、セキュリティ上の脅威が高まります。例えば、今週紹介し
た、MS15-078 に対するセキュリティ更新プログラムは、Windows Server 2003
向けには提供されていません。Windows Server 2003 を利用している場合、サ
ポートが行われているバージョンへの移行をお勧めします。

参考文献 (日本語)

Microsoft
Windows Server 2003 のサポート終了
https://www.microsoft.com/ja-jp/server-cloud/products/windows-server-2003/

独立行政法人情報処理推進機構 (IPA)
Windows Server 2003のサポート終了に伴う注意喚起
https://www.ipa.go.jp/security/announce/win2003_eos.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter