JPCERT コーディネーションセンター

Weekly Report 2015-12-16号

JPCERT-WR-2015-4801
JPCERT/CC
2015-12-16

<<< JPCERT/CC WEEKLY REPORT 2015-12-16 >>>

■12/06(日)〜12/12(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】Adobe Flash Player および Adobe AIR に複数の脆弱性

【3】複数の Apple 製品に脆弱性

【4】WL-330NUL に複数の脆弱性

【5】Uptime Infrastructure Monitor (旧称 up.time) の Windows 向けエージェントに複数の脆弱性

【6】「アクセス解析」にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】内閣サイバーセキュリティセンター (NISC) が重要インフラにおける分野横断的演習を実施

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr154801.txt
https://www.jpcert.or.jp/wr/2015/wr154801.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases December 2015 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2015/12/08/Microsoft-Releases-December-2015-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Microsoft Office
- Internet Explorer
- Microsoft Edge
- Microsoft .NET Framework
- Skype for Business
- Microsoft Lync
- Silverlight

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2015 年 12 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms15-dec

JPCERT/CC Alert 2015-12-09
2015年12月 Microsoft セキュリティ情報 (緊急 8件含) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150041.html

【2】Adobe Flash Player および Adobe AIR に複数の脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Flash Player
https://www.us-cert.gov/ncas/current-activity/2015/12/08/Adobe-Releases-Security-Updates-Flash-Player

概要

Adobe Flash Player および Adobe AIR には複数の脆弱性があります。結果と
して、遠隔の第三者が、任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player デスクトップランタイム 19.0.0.245 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 継続サポートリリース 18.0.0.261 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash PlayerLinux 11.2.202.548 およびそれ以前 (Linux 版)
- Adobe AIR デスクトップランタイム 19.0.0.241 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe AIR SDK 19.0.0.241 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版)
- Adobe AIR SDK & Compiler 19.0.0.241 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版)
- Adobe AIR 19.0.0.241 およびそれ以前 (Android 版)

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb15-32.html

JPCERT/CC Alert 2015-12-09
Adobe Flash Player の脆弱性 (APSB15-32) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150042.html

【3】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Mutliple Security Updates
https://www.us-cert.gov/ncas/current-activity/2015/12/08/Apple-Releases-Multiple-Security-Updates

US-CERT Current Activity
Apple Releases Security Update for iTunes
https://www.us-cert.gov/ncas/current-activity/2015/12/11/Apple-Releases-Security-Update-iTunes

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- iOS 9.2 より前のバージョン
- tvOS 9.1 より前のバージョン
- OS X El Capitan 10.11.2 より前のバージョン
- watchOS 2.1 より前のバージョン
- Safari 9.0.2 より前のバージョン
- Xcode 7.2 より前のバージョン
- iTunes 12.3.2 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#97526033
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU97526033/

関連文書 (英語)

Apple
About the security content of iOS 9.2
https://support.apple.com/HT205635

Apple
About the security content of tvOS 9.1
https://support.apple.com/HT205640

Apple
About the security content of OS X El Capitan 10.11.2, Security Update 2015-005 Yosemite, and Security Update 2015-008 Mavericks
https://support.apple.com/HT205637

Apple
About the security content of watchOS 2.1
https://support.apple.com/HT205641

Apple
About the security content of Safari 9.0.2
https://support.apple.com/HT205639

Apple
About the security content of Xcode 7.2
https://support.apple.com/HT205642

Apple
About the security content of iTunes 12.3.2
https://support.apple.com/HT205636

【4】WL-330NUL に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#89965717
WL-330NUL におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN89965717/

Japan Vulnerability Notes JVN#85359294
WL-330NUL におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN85359294/

Japan Vulnerability Notes JVN#34489380
WL-330NUL において任意のコマンドを実行される脆弱性
https://jvn.jp/jp/JVN34489380/

Japan Vulnerability Notes JVN#69462495
WL-330NUL における情報管理不備の脆弱性
https://jvn.jp/jp/JVN69462495/

概要

WL-330NUL には、複数の脆弱性があります。結果として、遠隔の第三者が、任
意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユー
ザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。

対象となるバージョンは以下の通りです。

- WL-330NUL Firmware version 3.0.0.42 より前のバージョン

この問題は、ASUS JAPAN株式会社が提供する修正済みのバージョンに WL-330NUL
のファームウェアを更新することで解決します。詳細は、ASUS JAPAN株式会社
が提供する情報を参照してください。

関連文書 (日本語)

ASUS JAPAN株式会社
無線 LAN ポータブルルータWL-330NULの脆弱性に対する対策済みファームウェア適用のお願い
https://www.asus.com/jp/News/FX04LE8HN0qBoqFI

【5】Uptime Infrastructure Monitor (旧称 up.time) の Windows 向けエージェントに複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#377260
Up.time agent for Windows contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/377260

概要

Uptime Infrastructure Monitor (旧称 up.time) には、複数の脆弱性があり
ます。結果として、遠隔の第三者が、任意のコードを実行したり、システム情
報を取得したりするなどの可能性があります。

対象となる製品は以下の通りです。

- Uptime Infrastructure Monitor の Windows 向けエージェント

この問題の一部は、Idera が提供する修正済みのバージョンに Uptime Infrastructure
Monitor の Windows 向けエージェントを更新することで解決します。また、
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

- データ読み取り専用で動作させる
- パスワードを設定する
- 通信を SSL により暗号化するなど、適切に設定する
- 使用する予定のないコマンドを無効にする

詳細は、Idera が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99135508
Uptime Infrastructure Monitor (旧称 up.time) の Windows 向けエージェントに複数の脆弱性
https://jvn.jp/vu/JVNVU99135508/

関連文書 (英語)

Idera
Securing the Linux agent (tcpwrappers and ssl)
http://docs.uptimesoftware.com/pages/viewpage.action?pageId=4555083

Idera
Securing the Windows Agent with SSL
http://docs.uptimesoftware.com/display/KB/Securing+the+Windows+Agent+with+SSL

【6】「アクセス解析」にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#70083512
「アクセス解析」におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN70083512/

概要

「アクセス解析」には、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。

対象となる製品は以下の通りです。

- 「アクセス解析」サービスを利用するための JavaScript

2015年12月16日現在、「アクセス解析」のサービスは終了しています。「アク
セス解析」サービスを利用するための JavaScript を削除してください。

関連文書 (日本語)

株式会社NTTデータ・スマートソーシング
旧・株式会社NTTデータキュビットがご提供していた「アクセス解析」旧ご利用者様への脆弱性に関するお知らせ
http://www.nttdata-smart.co.jp/information/2015/000040.html

■今週のひとくちメモ

○内閣サイバーセキュリティセンター (NISC) が重要インフラにおける分野横断的演習を実施

2015年12月7日、内閣サイバーセキュリティセンター (NISC) は、重要インフ
ラにおける分野横断的演習を実施しました。この演習は、サイバー攻撃を想定
した、情報通信、金融、電力、医療などの重要インフラ 13分野の事業者など
が参加する共同演習です。10回目を迎える今回は、302組織 1,168名が参加し、
標的型攻撃や DDoS 攻撃などのサイバー攻撃により IT 障害が発生した際の対
処の手順や役割分担の検証などを行いました。

参考文献 (日本語)

内閣サイバーセキュリティセンター (NISC)
重要インフラにおける分野横断的演習の実施概要について 〜【2015 年度分野横断的演習】〜
http://www.nisc.go.jp/active/infra/pdf/bunya_enshu2015gaiyou.pdf

内閣サイバーセキュリティセンター (NISC)
2015年度 分野横断的演習について
http://www.nisc.go.jp/conference/cs/ciip/dai02/pdf/02shiryou03.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter