-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-1001 JPCERT/CC 2012-03-14 <<< JPCERT/CC WEEKLY REPORT 2012-03-14 >>> ―――――――――――――――――――――――――――――――――――――― ■03/04(日)〜03/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apple 製品群に複数の脆弱性 【2】Adobe Flash Player に複数の脆弱性 【3】ES ファイルエクスプローラーにアクセス制限不備の脆弱性 【4】「Hewlett-Packard 製のプリンタやスキャナのリモートアップデート機能に脆弱性」に関する追加情報 【5】AjaXplorer に複数の脆弱性 【6】RSA SecurID Software Token Converter にバッファオーバーフローの脆弱性 【7】SquirrelMail 用プラグイン Autocomplete にクロスサイトスクリプティングの脆弱性 【8】Jenkins に複数のクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】マイクロソフト Internet Explorer の自動アップグレード ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr121001.html https://www.jpcert.or.jp/wr/2012/wr121001.xml ============================================================================ 【1】Apple 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases Multiple Security Updates http://www.us-cert.gov/current/archive/2012/03/09/archive.html#apple_releases_multiple_security_updates2 概要 Apple 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 5.1 より前のバージョン - Windows 版 iTunes 10.6 より前のバージョン - Apple TV 5.0 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、該当する製品を更新 することで解決します。詳細については、Apple が提供する情報を参照してく ださい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#479643 Apple iTunes における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU479643/index.html Japan Vulnerability Notes JVNVU#341747 Apple iOS における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU341747/index.html Japan Vulnerability Notes JVNVU#841059 Apple TV における脆弱性に対するアップデート https://jvn.jp/cert/JVNVU841059/index.html 関連文書 (英語) Apple Support HT5191 About the security content of iTunes 10.6 http://support.apple.com/kb/HT5191?viewlocale=en_US Apple Support HT5192 About the security content of iOS 5.1 Software Update http://support.apple.com/kb/HT5192?viewlocale=en_US Apple Support HT5193 About the security content of Apple TV 5.0 software http://support.apple.com/kb/HT5193?viewlocale=en_US 【2】Adobe Flash Player に複数の脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Update for Adobe Flash Player http://www.us-cert.gov/current/archive/2012/03/09/archive.html#adobe_releases_update_for_adobe2 概要 Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三 者が細工したコンテンツをユーザに開かせることで任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player 11.1.102.62 およびそれ以前 - Android 4.x 版 Adobe Flash Player 11.1.115.6 およびそれ以前 - Android 2.x、3.x 版 Adobe Flash Player 11.1.111.6 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに、Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供する情報を参照 してください。 関連文書 (日本語) Adobe セキュリティ情報 APSB12-05: Adobe Flash Player に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/932/cpsid_93265.html @police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=8787 JPCERT/CC Alert 2012-03-06 JPCERT-AT-2012-0007 Adobe Flash Player の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120007.html 関連文書 (英語) Adobe - Security Bulletins APSB12-05: Security update available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb12-05.html 【3】ES ファイルエクスプローラーにアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#08871006 ES ファイルエクスプローラーにおけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN08871006/index.html 概要 ES ファイルエクスプローラーには、アクセス制限不備の脆弱性があります。結 果として、遠隔の第三者が当該製品の権限で閲覧可能な任意のファイルを取得 する可能性があります。 対象となるバージョンは以下の通りです。 - ES ファイルエクスプローラー バージョン 1.6.0.2 から 1.6.1.1 まで この問題は、配布元が提供する修正済みのバージョンに ES ファイルエクスプ ローラーを更新することで解決します。 関連文書 (日本語) Google ES ファイルエクスプローラー https://play.google.com/store/apps/details?id=com.estrongs.android.pop&hl=ja 関連文書 (英語) EStrongs ES File Explorer http://www.estrongs.com/products/es-file-explorer.html 【4】「Hewlett-Packard 製のプリンタやスキャナのリモートアップデート機能に脆弱性」に関する追加情報 情報源 JC3-CIRC Technical Bulletin U-117 Potential security vulnerability has been identified with certain HP printers and HP digital senders. http://circ.jc3.doe.gov/bulletins/u-117.shtml 概要 JPCERT/CC WEEKLY REPORT 2011-12-14 号【3】で紹介した「Hewlett- Packard 製のプリンタやスキャナのリモートアップデート機能に脆弱性」に関する追加 情報です。 HP から、この問題に対する修正済みのバージョンが公開されました。詳細につ いては、HP が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC WEEKLY REPORT 2011-12-14 JPCERT-WR-2011-4801 【3】Hewlett-Packard 製のプリンタやスキャナのリモートアップデート機能に脆弱性 https://www.jpcert.or.jp/wr/2011/wr114801.html#3 関連文書 (英語) HP SUPPORT COMMUNICATION - SECURITY BULLETIN c03102449 HPSBPI02728 SSRT100692 rev.4 - Certain HP Printers and HP Digital Senders, Remote Firmware Update Enabled by Default http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03102449 【5】AjaXplorer に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#504019 AjaXplorer contains multiple vulnerabilities http://www.kb.cert.org/vuls/id/504019 概要 AjaXplorer には、複数の脆弱性があります。結果として、遠隔の第三者が、 AjaXplorer が動作しているサーバ上の任意のファイルを閲覧するなどの可能性 があります。 対象となるバージョンは以下の通りです。 - AjaXplorer 4.0.3 およびそれ以前 - AjaXplorer 3.2.4 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに AjaXplorer を更新す ることで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#504019 AjaXplorer に複数の脆弱性 https://jvn.jp/cert/JVNVU504019/index.html 関連文書 (英語) AjaXplorer Important Security Upgrade : AjaXplorer 4.0.4 & 3.2.5 http://ajaxplorer.info/ajaxplorer-4-0-4/ 【6】RSA SecurID Software Token Converter にバッファオーバーフローの脆弱性 情報源 JC3-CIRC Technical Bulletin U-120 RSA SecurID Software Token Converter Unspecified Buffer Overflow Vulnerability http://circ.jc3.doe.gov/bulletins/U-120.shtml 概要 RSA SecurID Software Token Converter には、バッファオーバーフロー 脆弱性があります。結果として、遠隔の第三者が任意のコードを実行す る可能性があります。 対象となる製品およびバージョンは以下の通りです。 - RSA SecurID Software Token Converter 2.6.1 より前のバージョン この問題は、EMC が提供する修正済みのバージョンに RSA SecurID Software Token Converter を更新することで解決します。 関連文書 (日本語) EMC RSA SecurID http://japan.rsa.com/node.aspx?id=1156 関連文書 (英語) EMC RSA Worldwide Customer Support https://knowledge.rsasecurity.com/ 【7】SquirrelMail 用プラグイン Autocomplete にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#56653852 SquirrelMail 用プラグイン Autocomplete におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN56653852/index.html 概要 SquirrelMail 用プラグイン Autocomplete には、クロスサイトスクリプティン グの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任 意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Autocomplete バージョン 3.0 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに Autocomplete を更新 することで解決します。 関連文書 (英語) SquirrelMail Plugins - Autocomplete http://squirrelmail.org/plugin_view.php?id=32 【8】Jenkins に複数のクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#14791558 Jenkins におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN14791558/index.html Japan Vulnerability Notes JVN#79950061 Jenkins におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN79950061/index.html 概要 Jenkins には、複数のクロスサイトスクリプティングの脆弱性があります。結 果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する 可能性があります。 対象となるバージョンは以下の通りです。 - Jenkins 1.452 およびそれ以前 - Jenkins Enterprise by CloudBees 1.424.3 およびそれ以前 - Jenkins Enterprise by CloudBees 1.400.0.12 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに Jenkins を更新するこ とで解決します。 関連文書 (日本語) Jenkins CI Jenkins https://wiki.jenkins-ci.org/display/JA/Jenkins 関連文書 (英語) Jenkins CI Jenkins Security Advisory 2012-03-05 https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2012-03-05 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○マイクロソフト Internet Explorer の自動アップグレード マイクロソフトは、日本国内における Internet Explorer (IE) の自動アップ グレードを 3月中旬より始めることを発表しました。これまで IE の更新につ いては、インストーラが起動される形で提供されていました。今回の自動アッ プグレードでは、自動更新設定になっていた場合 Windows Update を通じ、最 新版の IE が導入されます。 マイクロソフトからは、対象となる OS バージョンや、自動アップグレードを 一時的にブロックするための方法などの情報も提供されています。事前に対応 を検討しておくことをおすすめします。 参考文献 (日本語) Microsoft Internet Explorer の自動アップグレードについて http://technet.microsoft.com/ja-jp/ie/hh859701 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJPX+20AAoJEDF9l6Rp7OBIQ0EH/3Kzz8TR0ZXagbi5jsiaxIJT W2Qlk0Ha9GgzICEaQHU3+NegeF0RigXOf8KB1+cEnAuzKlqmBD3HJxiU1rxdGHG5 dQ+/i/94BgrSA6/UDoCqVSXv/bsXIMdEu82OJIwXK0CDIDGlkatilmGKFid1r6mO dLN3RzGRZr3lIMxvADHAQHedoQjlomZrekRSpQlJZResdCMlcIe3SEBI+H/v+hK7 ekiJXOkzt+ot4NpyARY2gmZ8DEY/5kvb5utIMTApOAm721xYM8nVv5jLgHnXk+jg MgS47dZhNTQeEd8qKlsXv0+U+/X46kCSjYqvnUwBIsbg4dCd5lXDCOEOfO+5YcI= =w0Dg -----END PGP SIGNATURE-----