-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-2001 JPCERT/CC 2013-05-22 <<< JPCERT/CC WEEKLY REPORT 2013-05-22 >>> ―――――――――――――――――――――――――――――――――――――― ■05/12(日)〜05/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft の複数の製品に脆弱性 【2】Adobe の複数の製品に脆弱性 【3】Linux カーネルに権限昇格の脆弱性 【4】Wi-Fiスポット設定用ソフトウェアの接続処理に脆弱性 【5】OpenPNE にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】Adobe 製品のサポート期限について ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr132001.html https://www.jpcert.or.jp/wr/2013/wr132001.xml ============================================================================ 【1】Microsoft の複数の製品に脆弱性 情報源 US-CERT Alert (TA13-134A) Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/ncas/alerts/TA13-134A 概要 Microsoft 製品には複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft .NET Framework - Microsoft Lync - Microsoft Office - Microsoft Windows Essentials この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適 用することで解決します。詳細については、Microsoft が提供する情報を参照 して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNTA13-134A Microsoft 製品の複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA13-134A/index.html マイクロソフト株式会社 2013 年 5 月のセキュリティ情報 http://technet.microsoft.com/ja-jp/security/bulletin/ms13-May 警察庁 @Police マイクロソフト社のセキュリティ修正プログラムについて(MS13-037,038,039,040,041,042,043,044,045,046) http://www.npa.go.jp/cyberpolice/topics/?seq=11482 独立行政法人情報処理推進機構(IPA) Microsoft 製品の脆弱性対策について(5月) http://www.ipa.go.jp/security/ciadr/vul/20130515-ms.html 【2】Adobe の複数の製品に脆弱性 情報源 Adobe Security Bulletin Security update: Hotfix available for ColdFusion http://www.adobe.com/support/security/bulletins/apsb13-13.html Adobe Security Bulletin Security updates available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb13-14.html Adobe Security Bulletin Security updates available for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb13-15.html 概要 Adobe の複数の製品には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - ColdFusion - Adobe Flash Player - Adobe Reader - Adobe Acrobat この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。 関連文書 (日本語) Adobe APSB13-13 : ColdFusion に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/coldfusion/kb/cq05140117.html Japan Vulnerability Notes JVNVU#91064079 ColdFusion に任意のコードが実行される脆弱性 https://jvn.jp/cert/JVNVU91064079/index.html Adobe APSB13-14 : Adobe Flash Player に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/flash-player/kb/cq05140122.html JPCERT/CC Alert 2013-05-15 Adobe Flash Player の脆弱性 (APSB13-14) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130025.html Adobe APSB13-15: Adobe Reader および Acrobat に関するセキュリティ情報 http://helpx.adobe.com/jp/acrobat/kb/cq05131839.html 独立行政法人情報処理推進機構 (IPA) Adobe Reader および Acrobat の脆弱性対策について(APSB13-15)(CVE-2013-2549等) http://www.ipa.go.jp/security/ciadr/vul/20130515-adobereader.html 警察庁 @Police アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて http://www.npa.go.jp/cyberpolice/topics/?seq=11480 JPCERT/CC Alert 2013-05-15 Adobe Reader 及び Acrobat の脆弱性 (APSB13-15) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130024.html 関連文書 (英語) CERT/CC Vulnerability Note VU#113732 Adobe ColdFusion 9 & 10 code injection vulnerability http://www.kb.cert.org/vuls/id/113732 【3】Linux カーネルに権限昇格の脆弱性 情報源 CERT/CC Vulnerability Note VU#774103 Linux kernel perf_swevent_enabled array out-of-bound access privilege escalation vulnerability http://www.kb.cert.org/vuls/id/774103 概要 Linux カーネルには、権限昇格の脆弱性があります。結果として、ログイン可 能なユーザが root 権限を取得する可能性があります。 この問題は、各 Linux ディストリビューションが提供する修正済みのバージョ ンに Linux カーネルを更新することで解決します。詳細については、各ディス トリビューションが提供する情報を参照して下さい。 関連文書 (英語) RedHat Customer Portal Important: kernel security update https://rhn.redhat.com/errata/RHSA-2013-0830.html Debian Security Advisory DSA-2669-1 linux -- privilege escalation/denial of service/information leak http://www.debian.org/security/2013/dsa-2669 CentOS CESA-2013:0830 Important CentOS 6 kernel Update http://lists.centos.org/pipermail/centos-announce/2013-May/019733.html Ubuntu CVE-2013-2094 http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-2094.html 【4】Wi-Fiスポット設定用ソフトウェアの接続処理に脆弱性 情報源 Japan Vulnerability Notes JVN#85371480 Wi-Fiスポット設定用ソフトウェアにおける接続処理に関する脆弱性 https://jvn.jp/jp/JVN85371480/index.html 概要 SoftBank が提供する Wi-Fiスポット設定用ソフトウェアには、Wi-Fi アクセス ポイントへの接続処理に脆弱性があります。結果として、Wi-Fi アクセスポイ ントへ接続する際、遠隔の第三者がユーザの情報を取得する可能性があります。 対象となる製品は以下の通りです。 - Wi-Fiスポット設定用ソフトウェア この問題は、SoftBank が提供する修正済みのバージョンに Wi-Fiスポット設定 用ソフトウェアを更新することで解決します。詳細については、SoftBank が提 供する情報を参照して下さい。 【5】OpenPNE にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#18501376 OpenPNE におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN18501376/index.html 概要 OpenPNE の管理画面には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、管理者としてログインしているユーザのブラウ ザ上で、任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - OpenPNE 3.4.21 およびそれ以前 - OpenPNE 3.6.9 およびそれ以前 - OpenPNE 3.8.5 およびそれ以前 この問題は、OpenPNE プロジェクトが提供する修正済みのバージョンに OpenPNE を更新することで解決します。詳細については、OpenPNE プロジェク トが提供する情報を参照して下さい。 関連文書 (日本語) OpenPNE プロジェクト OpenPNE 3.4.21, 3.6.9, 3.8.5 以下の管理画面に存在する XSS 脆弱性対応のお知らせ (OPSA-2013-002) http://www.openpne.jp/archives/11096/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Adobe 製品のサポート期限について Adobe Reader 9 および Acrobat 9 は、2013年6月にサポート終了となることが アナウンスされています。また、Adobe Flash Player 10 は 2013年7月にサポー ト終了となることがアナウンスされています。 Adobe Reader 9 および Acrobat 9 を利用している方、また、Flash Player 10 を利用している方は、速やかに最新バージョンへ移行することをおすすめし ます。 参考文献 (英語) Adobe Systems: Adobe Reader Blog One Year from Now: Adobe Reader and Acrobat 9 EOL https://blogs.adobe.com/adobereader/2012/06/one-year-from-now-adobe-reader-and-acrobat-9-eol.html Adobe Systems: Adobe Reader Blog Adobe Reader and Acrobat XI (11.0.03), X (10.1.7) and 9.5.5 https://blogs.adobe.com/adobereader/2013/05/adobe-reader-and-acrobat-xi-11-0-03-x-10-1-7-and-9-5-5.html Adobe Systems: Adobe AIR and Adobe Flash Player Team Blog Extended Support Release Updated to Flash Player 11.7! http://blogs.adobe.com/flashplayer/2013/05/extended-support-release-updated-to-flash-player-11-7.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJRnBi9AAoJEDF9l6Rp7OBI9j4H/RCJ4r+3DZsrTyogZqvST7xR Y2432zNz5dP0NfbHvkdVO26/+/HZCnVMGlWdHwo9vJ87fe164opXVK/H+9SA0qqX QbMs5Rn9zbol9KurjiiVVK/i+6Tv2g1n3/A5Xzrve5toNvMq0J1l7xDLutvet53B uFaEYbY4uu+JTQQ8/1uE79bEsiLKK+cqJ6bzQRMFoGLyxS7fFUtjK+IafPixNfdR 84zs7YgyUsnnSA8O+nIP6bb9s1hEyUP5mrrVqX2WU1ptukv7iEwUcJ7bPYFYTysO Hm2eaqdzV4L/imf87cMpORpGy/lMbes2niyAfvPHi8akh7ezKyLdFxCgWgsEWWw= =aF/Y -----END PGP SIGNATURE-----