JPCERT コーディネーションセンター

Weekly Report 2015-10-07号

JPCERT-WR-2015-3801
JPCERT/CC
2015-10-07

<<< JPCERT/CC WEEKLY REPORT 2015-10-07 >>>

■09/27(日)〜10/03(土) のセキュリティ関連情報

目 次

【1】PHP に複数の脆弱性

【2】複数の VMware 製品に脆弱性

【3】複数の Apple 製品に脆弱性

【4】Apache Cordova プラグイン cordova-plugin-file-transfer に HTTP ヘッダインジェクションの脆弱性

【5】Windows 版 Python に任意の DLL 読み込みに関する脆弱性

【6】オムロン製 PLC および CX-Programmer に複数の脆弱性

【7】baserCMS に複数の脆弱性

【8】「フィッシング対策セミナー 2015」開催のお知らせ

【今週のひとくちメモ】10月は「サイバーセキュリティ国際キャンペーン」

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr153801.txt
https://www.jpcert.or.jp/wr/2015/wr153801.xml

【1】PHP に複数の脆弱性

情報源

PHP Group
PHP 5.6.14 is available
https://secure.php.net/archive/2015.php#id2015-10-01-3

PHP Group
PHP 5.5.30 is available
https://secure.php.net/archive/2015.php#id2015-10-01-2

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、情報を取
得するなどの可能性があります。

対象となるバージョンは以下の通りです。

- PHP 5.6.14 より前のバージョン
- PHP 5.5.30 より前のバージョン

この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。

関連文書 (英語)

PHP Group
PHP 5 ChangeLog Version 5.6.14
https://secure.php.net/ChangeLog-5.php#5.6.14

PHP Group
PHP 5 ChangeLog Version 5.5.30
https://secure.php.net/ChangeLog-5.php#5.5.30

【2】複数の VMware 製品に脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Advisory
https://www.us-cert.gov/ncas/current-activity/2015/10/01/VMware-Releases-Security-Advisory

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- VMware ESXi 5.5 ESXi550-201509101 より前のバージョン
- VMware ESXi 5.1 ESXi510-201510101 より前のバージョン
- VMware ESXi 5.0 ESXi500-201510101 より前のバージョン
- VMware vCenter Server 6.0 update 1 より前のバージョン
- VMware vCenter Server 5.5 update 3 より前のバージョン
- VMware vCenter Server 5.1 update u3b より前のバージョン
- VMware vCenter Server 5.0 update u3e より前のバージョン

この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMware vCenter and ESXi updates address critical security issues.
https://www.vmware.com/security/advisories/VMSA-2015-0007.html

【3】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates for OS X El Capitan, Safari, and iOS
https://www.us-cert.gov/ncas/current-activity/2015/09/30/Apple-Releases-Security-Updates-OS-X-El-Capitan-Safari-and-iOS

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、情報を取得したりするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- OS X El Capitan v10.11 より前のバージョン
- Safari 9 より前のバージョン
- iOS 9.0.2 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#97220341
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU97220341/

関連文書 (英語)

Apple
About the security content of OS X El Capitan v10.11
https://support.apple.com/ja-jp/HT205267

Apple
About the security content of Safari 9
https://support.apple.com/ja-jp/HT205265

Apple
About the security content of iOS 9.0.2
https://support.apple.com/ja-jp/HT205284

【4】Apache Cordova プラグイン cordova-plugin-file-transfer に HTTP ヘッダインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#21612597
Apache Cordova プラグイン cordova-plugin-file-transfer における HTTP ヘッダインジェクションの脆弱性
https://jvn.jp/jp/JVN21612597/

概要

Apache Cordova のプラグイン cordova-plugin-file-transfer を使用した
Android アプリケーションには、HTTP ヘッダインジェクションの脆弱性があ
ります。結果として、遠隔の第三者が、細工したファイルを処理させることで、
任意のスクリプトを実行したり、ユーザのブラウザ上に任意の情報を表示した
りするなどの可能性があります。

対象となるバージョンは以下の通りです。

- cordova-plugin-file-transfer 1.2.1 およびそれ以前

この問題は、The Apache Software Foundation が提供する修正済みのバー
ジョンに cordova-plugin-file-transfer を更新し、アプリケーションをリビ
ルドすることで解決します。詳細は、The Apache Software Foundation が提
供する情報を参照してください。

関連文書 (英語)

Apache Cordova
cordova-plugin-file-transfer release: September 21, 2015
http://cordova.apache.org/news/2015/09/21/file-transfer-release.html

【5】Windows 版 Python に任意の DLL 読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#49503705
Windows 版 Python における任意の DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN49503705/

概要

Windows 版 Python には、実行の際に特定の DLL ファイルを読み込む脆弱性
があります。結果として、遠隔の第三者が、readline.pyd という名の DLL 
ファイルを作成することで、任意のコードを実行する可能性があります。

対象となる製品は以下の通りです。

- Windows 版 Python

2015年10月5日現在、対策済みのバージョンは公開されていません。以下の回
避策を適用することで、本脆弱性の影響を軽減することが可能です。

- python.exe を実行する際、カレントディレクトリ内に readline.pyd という名の DLL ファイルが存在しないことを確認する

詳細は、開発者や配布元が提供する情報を参照してください。

【6】オムロン製 PLC および CX-Programmer に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#99817917
オムロン製 PLC および CX-Programmer に複数の脆弱性
https://jvn.jp/vu/JVNVU99817917/

概要

オムロン製 PLC および CX-Programmer には、複数の脆弱性があります。結果
として、遠隔の第三者が、パスワードを取得する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- CJ2M ユニット Ver. 2.1 より前のバージョン
- CJ2H ユニット Ver. 1.5 より前のバージョン
- CX-Programmer Ver. 9.6 より前のバージョン

この問題は、オムロン株式会社が提供する修正済みのバージョンに該当する製
品を更新することで解決します。詳細は、オムロン株式会社が提供する情報を
参照してください。

関連文書 (日本語)

オムロン株式会社
【お知らせ】弊社プログラマブルコントローラ CJシリーズの「UM読出プロテクト機能」に使用しているパスワード保護機能の強化について
http://www.fa.omron.co.jp/product/special/security_plc/index.html

関連文書 (英語)

ICS-CERT Advisory (ICSA-15-274-01)
Omron Multiple Product Vulnerabilities
https://ics-cert.us-cert.gov/advisories/ICSA-15-274-01

【7】baserCMS に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#79633796
baserCMS における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN79633796/

Japan Vulnerability Notes JVN#04855224
baserCMS におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN04855224/

概要

baserCMS には、複数の脆弱性があります。結果として、ログイン済みのユー
ザが、任意の SQL コマンドを実行したり、他のユーザの設定を変更したりす
る可能性があります。

対象となるバージョンは以下の通りです。

- baserCMS 3.0.7 およびそれ以前

この問題は、baserCMS ユーザー会が提供する修正済みのバージョンに baserCMS
を更新することで解決します。詳細は、baserCMS ユーザー会が提供する情報
を参照してください。

関連文書 (日本語)

baserCMSユーザー会
SQL インジェクションの脆弱性
http://basercms.net/security/JVN79633796

baserCMSユーザー会
アクセス制限不備の脆弱性
http://basercms.net/security/JVN04855224

【8】「フィッシング対策セミナー 2015」開催のお知らせ

情報源

フィッシング対策協議会
フィッシング対策セミナー 2015 開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2015.html

概要

フィッシング対策協議会では、「フィッシング対策セミナー 2015」を開催い
たします。本セミナーでは、サイバー犯罪の動向、フィッシング詐欺の現状に
加え、実際の金融機関におけるフィッシング対応策・取組みなどをご紹介いた
します。

参加費は無料ですが、事前に参加申込みが必要となります。満席になり次第、
受付終了とさせていただきますので、ご了承ください。

日時および場所:
    2015年11月20日(金) 13:00 - 18:00 (受付開始 12:15)
    大崎ブライトコア (JR 大崎駅 新東口)
    〒141-0001 東京都品川区北品川5丁目5番15号 大崎ブライトコア3階
    http://www.osaki-hall.jp/home/contact.html

■今週のひとくちメモ

○10月は「サイバーセキュリティ国際キャンペーン」

10月1日、内閣サイバーセキュリティセンター (NISC) は「サイバーセキュリ
ティ国際キャンペーン」を開始しました。このキャンペーンは、毎年2月に開
催している「情報セキュリティ月間」に加えて、国際連携推進や情報セキュリ
ティの普及啓発活動を行うために、2012年から毎年10月に実施されています。
キャンペーン中は、様々な関連行事が開催される予定です。

参考文献 (日本語)

内閣サイバーセキュリティセンター (NISC)
サイバーセキュリティ国際キャンペーン
http://www.nisc.go.jp/security-site/campaign/

内閣サイバーセキュリティセンター (NISC)
「サイバーセキュリティ国際キャンペーン」の実施について
http://www.nisc.go.jp/press/pdf/campaign2015.pdf

警察庁 サイバー犯罪対策
サイバーセキュリティ国際キャンペーン特集
https://www.npa.go.jp/cyber/international/index.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter