-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-3001 JPCERT/CC 2013-07-31 <<< JPCERT/CC WEEKLY REPORT 2013-07-31 >>> ―――――――――――――――――――――――――――――――――――――― ■07/21(日)〜07/27(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】ISC BIND にサービス運用妨害 (DoS) の脆弱性 【2】WordPress にクロスサイトスクリプティングの脆弱性 【3】TrustGo Antivirus & Mobile Security にサービス運用妨害 (DoS) の脆弱性 【今週のひとくちメモ】PHP 5.3 系最後のリリース ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr133001.html https://www.jpcert.or.jp/wr/2013/wr133001.xml ============================================================================ 【1】ISC BIND にサービス運用妨害 (DoS) の脆弱性 情報源 ISC Knowledge Base CVE-2013-4854: A specially crafted query can cause BIND to terminate abnormally https://kb.isc.org/article/AA-01015 概要 ISC BIND には、サービス運用妨害 (DoS) の脆弱性があります。結果として、遠隔 の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - オープンソース版 - BIND 9.7.0 から 9.7.7 - BIND 9.8.0 から 9.8.5-P1、9.8.6b1 - BIND 9.9.0 から 9.9.3-P1、9.9.4b1 - サブスクリプション版 - BIND 9.9.3-S1、9.9.4-S1b1 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに BIND を更新することで解決します。詳細については、ISC が提供する情 報を参照して下さい。 関連文書 (日本語) 株式会社日本レジストリサービス(JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2013年7月27日公開) http://jprs.jp/tech/security/2013-07-27-bind9-vuln-malformed-rdata.html 一般社団法人日本ネットワークインフォメーションセンター(JPNIC) ISC BIND 9に関する脆弱性について(2013年7月) https://www.nic.ad.jp/ja/topics/2013/20130729-01.html JPCERT/CC Alert 2013-07-29 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2013-4854) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130034.html 【2】WordPress にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#25280162 WordPress におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN25280162/index.html 概要 WordPress には、クロスサイトスクリプティングの脆弱性があります。結果と して、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは以下の通りです。 - WordPress 3.5.2 より前のバージョン この問題は、WordPress が提供する修正済みのバージョンに WordPress を更新 することで解決します。詳細については、WordPress が提供する情報を参照し て下さい。 関連文書 (英語) WordPress News WordPress 3.5.2 Maintenance and Security Release http://wordpress.org/news/2013/06/wordpress-3-5-2/ 【3】TrustGo Antivirus & Mobile Security にサービス運用妨害 (DoS) の脆弱性 情報源 CERT/CC Vulnerability Note VU#709806 TrustGo Antivirus & Mobile Security contains a denial-of-service vulnerability http://www.kb.cert.org/vuls/id/709806 概要 TrustGo Antivirus & Mobile Security には、サービス運用妨害 (DoS) の 脆弱性があります。結果として、ユーザが不正なアプリケーションを使用した 場合、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。 対象となるバージョンは以下の通りです。 - TrustGo Antivirus & Mobile Security バージョン 1.2.7 から 1.3.5 まで この問題は、TrustGo が提供する修正済みのバージョンに Antivirus & Mobile Security を更新することで解決します。詳細については、TrustGo が 提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99862428 TrustGo Antivirus & Mobile Security にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/cert/JVNVU99862428/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○PHP 5.3 系最後のリリース 2013年7月11日、PHP 5.3 系最後のリリースとなる 5.3.27 が公開されました。 これ以降、5.3 系はセキュリティフィックスのみの対応となります。 5.4 系あるいは 5.5 系への移行が推奨されています。 参考文献 (日本語) The PHP Group PHP 5.3.x から PHP 5.4.x への移行 http://www.php.net/manual/ja/migration54.php The PHP Group PHP 5.4.x から PHP 5.5.x への移行 http://www.php.net/manual/ja/migration55.php 参考文献 (英語) The PHP Group PHP 5.3.27 Released - PHP 5.3 Reaching End of Life http://php.net/archive/2013.php#id2013-07-11-1 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJR+GItAAoJEDF9l6Rp7OBINzIH/0FLtI/y7kOyvJr7ghMO4GRZ aqDzn7NoCDZi6nP444WbaB9r3hoOz+7gQ9ZES7wvKmIS772PflrLlt9ekxVqo22+ pYsWupvugq8EMI3trbq9AYDqT6sMDEKOo7Xi7LVfb1J/kB9/37ypGTi2D5I4fEc7 9jyWei6wc1oAiwt2Hhv/RWb79wr8g9z/73haZNh2uz7LQz3UeeUy8VtZkHIhUJSX +raiAZFR6qzuIvy/hCfQUXm47j403Noh3WdZ+xdiJ/UTsUJRgxaRBWjwKjNmpwqp XpKlx92qWwRx+9iVA2NTmUKCTqZjvwsU5iXqNdF0sXGyPAtWvPr4AhK0xbRw4v4= =T8Hm -----END PGP SIGNATURE-----