<<< JPCERT/CC WEEKLY REPORT 2015-07-29 >>>

■07/19(日)〜07/25(土) のセキュリティ関連情報

目　次

【1】複数の Cisco 製品に脆弱性

【2】WordPress に複数の脆弱性

【3】Honeywell Tuxedo Touch Controller に複数の脆弱性

【4】WordPress 用プラグイン Welcart に複数の脆弱性

【5】Research Artisan Lite に複数の脆弱性

【6】Total Commander 用プラグイン FileInfo にサービス運用妨害 (DoS) の脆弱性

【7】「フィッシング対策ガイドライン実践セミナー」開催のお知らせ

【今週のひとくちメモ】DNS Summer Days 2015 開催、および資料公開

【1】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2015/07/23/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Application Policy Infrastructure Controllers (APIC) 1.1(1j) より前のバージョン
- Application Policy Infrastructure Controllers (APIC) 1.0(3o) より前のバージョン
- Application Policy Infrastructure Controllers (APIC) 1.0(4o) より前のバージョン
- Cisco Nexus 9000 シリーズスイッチ (ACI モード) 11.1(1j) より前のバージョン
- Cisco Nexus 9000 シリーズスイッチ (ACI モード) 11.0(4o) より前のバージョン
- TFTP サーバを有効にしている Cisco IOS
- TFTP サーバを有効にしている Cisco IOS XE
- Cisco Unified MeetingPlace Web Conferencing 8.6 より前のバージョン

この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Application Policy Infrastructure Controller Access Control Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150722-apic

Cisco Security Advisory
Cisco IOS Software TFTP Server Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150722-tftp

Cisco Security Advisory
Cisco Unified MeetingPlace Unauthorized Password Change Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150722-mp

【2】WordPress に複数の脆弱性

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2015/07/23/WordPress-Releases-Security-Update

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、
ユーザのブラウザ上で任意のスクリプトを実行したり、サイトの購読者が記事
の下書きを作成したりする可能性があります。

対象となるバージョンは以下の通りです。

- WordPress 4.2.2 およびそれ以前

この問題は、WordPress が提供する修正済みのバージョンに WordPress を更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。

関連文書 (英語)

WordPress
WordPress 4.2.3 Security and Maintenance Release
https://wordpress.org/news/2015/07/wordpress-4-2-3/

【3】Honeywell Tuxedo Touch Controller に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#857948
Honeywell Tuxedo Touch Controller contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/857948

概要

Honeywell Tuxedo Touch Controller には、複数の脆弱性があります。結果と
して、遠隔の第三者が、ログイン認証を回避したり、ユーザの意図しない操作
を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Honeywell Tuxedo Touch Controller ファームウェアバージョン 5.2.19.0_VA より前のバージョン

この問題は、Honeywell が提供する修正済みのバージョンに Honeywell Tuxedo
Touch Controller のファームウェアを更新することで解決します。詳細につい
ては、Honeywell が提供する情報を参照してください。

関連文書 (英語)

Honeywell
Tuxedo Touch Software Updates
http://www.tuxedotouchtoolkit.com/software-downloads/tuxedo-touch/index.html

【4】WordPress 用プラグイン Welcart に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#92828286
Welcart における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN92828286/

Japan Vulnerability Notes JVN#97971874
Welcart におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97971874/

概要

WordPress 用プラグイン Welcart には、クロスサイトスクリプティングおよ
び SQL インジェクションの脆弱性があります。結果として、遠隔の第三者が、
データベースに対して任意のクエリを実行したり、ユーザのブラウザ上で任意
のスクリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Welcart 1.4.17 およびそれ以前

この問題は、コルネ株式会社が提供する修正済みのバージョンに Welcart を
更新することで解決します。詳細は、コルネ株式会社が提供する情報を参照し
てください。

関連文書 (日本語)

コルネ株式会社
Welcart 1.4.18 をリリース【脆弱性の修正】
http://www.welcart.com/community/archives/74867

【5】Research Artisan Lite に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#10559378
Research Artisan Lite における認証不備の脆弱性
https://jvn.jp/jp/JVN10559378/

Japan Vulnerability Notes JVN#58020495
Research Artisan Lite におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN58020495/

概要

Research Artisan Lite には、複数の脆弱性があります。結果として、遠隔の
第三者が、ユーザの意図しない操作を行ったり、ユーザのブラウザ上で任意の
スクリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Research Artisan Lite ver.1.18 より前のバージョン

この問題は、Research Artisan Project が提供する修正済みのバージョンに
Research Artisan Lite を更新することで解決します。詳細は、Research
Artisan Project が提供する情報を参照してください。

関連文書 (日本語)

Research Artisan Project
バージョン1.17以前の脆弱性について
http://lite.research-artisan.net/main/download

【6】Total Commander 用プラグイン FileInfo にサービス運用妨害 (DoS) の脆弱性

情報源

CERT/CC Vulnerability Note VU#813631
Total Commander File Info plugin vulnerable to denial of service via an out-of-bounds read
https://www.kb.cert.org/vuls/id/813631

概要

Total Commander 用プラグイン FileInfo には、ファイルの処理に問題があり
ます。結果として、第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性が
あります。

対象となるバージョンは以下の通りです。

- FileInfo 2.21 およびそれ以前

この問題は、開発者が提供する修正済みのバージョンに FileInfo を更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#91359631
Total Commander 用プラグイン FileInfo にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU91359631/

関連文書 (英語)

TOTALCMD.NET
FileInfo 2.22
http://totalcmd.net/plugring/fileinfo.html

【7】「フィッシング対策ガイドライン実践セミナー」開催のお知らせ

情報源

フィッシング対策協議会
フィッシング対策ガイドライン実践セミナー開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_guideline_seminar2015.html

概要

フィッシング対策協議会では、「フィッシング対策ガイドライン実践セミナー」
を開催いたします。本セミナーでは、フィッシングサイトやフィッシングメー
ルなどへの対応ノウハウをセミナー形式で分かりやすく解説します。また、実
際にフィッシングサイトをたてられた金融機関による対応事例の紹介も予定し
ております。

参加費は無料です。ただし、事前に参加申し込みが必要となります。満席にな
り次第、受付終了とさせていただきますので、ご了承ください。

日時および場所:
    2015年8月19日(水) 14:00-17:00 (受付開始：13:30)
    日立システムズ  ソリューションスクエア東京
    東京都品川区大崎1-2-1 大崎フロントタワー
    http://www.hitachi-systems.com/ss/sst/guide/index.html

■今週のひとくちメモ

○DNS Summer Days 2015 開催、および資料公開

2015年7月24日に、日本 DNS オペレーターズグループ (DNSOPS.JP) 主催の
DNS Summer Days 2015 が開催されました。

午前にはチュートリアルが開催され、午後には DNS を取り巻く現状や昨今の
インシデントについて議論するワークショップが開催されました。

一部のセッションの資料は、DNSOPS.JP の Web サイトで、すでに公開されて
います。DNS の仕組みや運用の実状をよりよく理解するために、ぜひ参考にし
てみてください。

参考文献 (日本語)

日本DNSオペレーターズグループ
DNS Summer Days 2015
http://dnsops.jp/event20150724.html

■JPCERT/CC からのお願い