-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-3401 JPCERT/CC 2013-08-28 <<< JPCERT/CC WEEKLY REPORT 2013-08-28 >>> ―――――――――――――――――――――――――――――――――――――― ■08/18(日)〜08/24(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】PHP OpenID Library に 脆弱性 【2】McAfee Email Gateway SMTP にサービス運用妨害 (DoS) の脆弱性 【3】HP StoreOnce D2D Backup Systems にサービス運用妨害 (DoS) の脆弱性 【4】ヤフーのスマートフォン向けアプリに SSL サーバ証明書検証不備の脆弱性 【今週のひとくちメモ】マイクロソフトが MD5 ハッシュの利用制限プログラムを公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr133401.html https://www.jpcert.or.jp/wr/2013/wr133401.xml ============================================================================ 【1】PHP OpenID Library に 脆弱性 情報源 Japan Vulnerability Notes JVN#24713981 PHP OpenID Library における XML 外部実体参照に関する脆弱性 https://jvn.jp/jp/JVN24713981/index.html 概要 PHP OpenID Library には、脆弱性があります。結果として、遠隔の第三者が、 サーバ上の情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - PHP OpenID Library バージョン 2.2.2 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに PHP OpenID Library を更新することで解決します。詳細については、開発者が提供する情報を参照 して下さい。 関連文書 (英語) PHP OpenID Library Project disable external XML entities and libxml errors https://github.com/openid/php-openid/commit/625c16bb28bb120d262b3f19f89c2c06cb9b0da9 【2】McAfee Email Gateway SMTP にサービス運用妨害 (DoS) の脆弱性 情報源 JC3 Bulletin V-225: McAfee Email Gateway SMTP Processing Flaw Lets Remote Users Deny Service http://energy.gov/cio/articles/v-225-mcafee-email-gateway-smtp-processing-flaw-lets-remote-users-deny-service 概要 McAfee Email Gateway SMTP には、サービス運用妨害 (DoS) の脆弱性がありま す。結果として、遠隔の第三者が細工したメールを送信することで、サービス 運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - McAfee Email Gateway (MEG) 7.5 この問題は、McAfee が提供する修正済みのパッチを McAfee Email Gateway に 適用することで解決します。詳細については、McAfee が提供する情報を参照し て下さい。 関連文書 (英語) McAfee Technical Articles MEG 7.5 SMTP proxy stops responding when scanning specifically formatted emails http://kc.mcafee.com/corporate/index?page=content&id=KB79117 【3】HP StoreOnce D2D Backup Systems にサービス運用妨害 (DoS) の脆弱性 情報源 JC3 Bulletin V-226: HP StoreOnce D2D Backup Systems Denial of Service Vulnerability http://energy.gov/cio/articles/v-226-hp-storeonce-d2d-backup-systems-denial-service-vulnerability 概要 HP StoreOnce D2D Backup Systems には、サービス運用妨害 (DoS) の脆弱性が あります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う 可能性があります。 対象となるバージョンは以下の通りです。 - HP StoreOnce D2D Backup Systems 1.2.18 以前のバージョン 1.x - HP StoreOnce D2D Backup Systems 2.2.18 以前のバージョン 2.x この問題は、HP が提供する修正済みのバージョンに StoreOnce D2D Backup Systems を更新することで解決します。詳細については、HP が提供する情報を 参照して下さい。 関連文書 (英語) HP SUPPORT COMMUNICATION - SECURITY BULLETIN HPSBST02897 rev.1 - HP StoreOnce D2D Backup System, Remote Denial of Service (DoS) https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03828580 【4】ヤフーのスマートフォン向けアプリに SSL サーバ証明書検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#75084836 Android 版 Yahoo!ショッピングにおける SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN75084836/index.html Japan Vulnerability Notes JVN#68156832 ヤフオク! における SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN68156832/index.html 概要 ヤフー株式会社が提供する複数のスマートフォン向けアプリには、SSL サーバ 証明書検証不備の脆弱性があります。結果として、遠隔の第三者が、暗号通信 を盗聴する可能性があります。 対象となるバージョンは以下の通りです。 - Yahoo!ショッピング ver.1.4 およびそれ以前 (Android 版) - ヤフオク! ver.4.3.0 およびそれ以前 (iOS 版、Android 版) この問題は、ヤフー株式会社が提供する修正済みのバージョンに該当する製品 を更新することで解決します。詳細については、ヤフー株式会社が提供する情 報を参照して下さい。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○マイクロソフトが MD5 ハッシュの利用制限プログラムを公開 マイクロソフトは 8月に MD5 ハッシュの利用制限のセキュリティ更新プログラ ムを公開しました。このプログラムを適用すると、いくつかの条件では MD5 ハッ シュを利用した証明書が利用できなくなります。 現在は、ダウンロードセンターのみで公開されていますが、来年の 2月以降、 WindowsUpdate などによる自動更新が予定されています。使用している環境で 問題が発生しないか、事前に検証し、適用準備をしましょう。 参考文献 (日本語) Microsoft TechNet blog 日本のセキュリティチーム セキュリティ アドバイザリ 2862973 〜 ルート証明書プログラムにおける MD5ハッシュの利用制限 http://blogs.technet.com/b/jpsecurity/archive/2013/08/14/3590346.aspx CRYPTREC 電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト) http://www.cryptrec.go.jp/images/cryptrec_ciphers_list_2013.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJSHUnlAAoJEDF9l6Rp7OBIT34IAKFdB5Oy7wGF8od5WucUeNYC gtxtVI5KG7a9KqpzTLlOVg1gRNvxSiZooFZUhMqeb1CDARTS2SXFJ8Q+cMEtQsjS ttkG+DO55ark+LDjQIZbvXMT6LPLbZRv92wPZweh9Rudsfdgkbjtdgtk8u6AQo3q ePkFHV/rEialFAQCytKpugY6u2g1LEEH4YHewWz/porPH+RomC9uCyj2989zT9g3 IoZXZp61oh4Od1o8aspFdoF2qYXvHmBf5bj7mylulihQhHnc+L5AzWLedEOp5uUA zxB9sJxS3bxVXFeHr7GxGCFRD9jTORqhI2vVQI5+djavF2TYzfr0fEikxtGOzGQ= =FffG -----END PGP SIGNATURE-----