-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-0601 JPCERT/CC 2014-02-13 <<< JPCERT/CC WEEKLY REPORT 2014-02-13 >>> ―――――――――――――――――――――――――――――――――――――― ■02/02(日)〜02/08(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Flash Player に複数の脆弱性 【2】Mozilla 製品群に複数の脆弱性 【3】Android 用 Opera ブラウザに脆弱性 【4】Fortinet の複数の製品にクロスサイトスクリプティングの脆弱性 【5】F5 Networks BIG-IP Edge Client に脆弱性 【6】phpMyFAQ に複数の脆弱性 【今週のひとくちメモ】ISC BIND 9.6-ESV サポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr140601.html https://www.jpcert.or.jp/wr/2014/wr140601.xml ============================================================================ 【1】Adobe Flash Player に複数の脆弱性 情報源 US-CERT Current Activites Security Updates Available for Adobe Flash Player http://www.us-cert.gov/ncas/current-activity/2014/02/04/Security-Updates-Available-Adobe-Flash-Player 概要 Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三 者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 12.0.0.43 およびそれ以前 (Windows版及びMacintosh版) - Adobe Flash Player 11.2.202.335 およびそれ以前 (Linux版) この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供する情報を参照 して下さい。 関連文書 (日本語) Adobe Security Bulletin: APSB14-04 Adobe Flash Player 用セキュリティアップデート公開 http://helpx.adobe.com/jp/flash-player/kb/cq02031643.html 独立行政法人情報処理推進機構 (IPA) Adobe Flash Player の脆弱性対策について(APSB14-04)(CVE-2014-0497) http://www.ipa.go.jp/security/ciadr/vul/20140205-adobeflashplayer.html 警察庁@Police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて http://www.npa.go.jp/cyberpolice/topics/?seq=12958 JPCERT/CC Alert 2014-02-05 Adobe Flash Player の脆弱性 (APSB14-04) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140006.html 関連文書 (英語) Adobe Security Bulletin Security updates available for Adobe Flash Player http://helpx.adobe.com/security/products/flash-player/apsb14-04.html 【2】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activites Mozilla Releases Multiple Updates http://www.us-cert.gov/ncas/current-activity/2014/02/04/Mozilla-Releases-Multiple-Updates 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - Firefox 27 より前のバージョン - Firefox ESR 24.3 より前のバージョン - Thunderbird 24.3 より前のバージョン - Seamonkey 2.24 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ http://www.mozilla-japan.org/security/announce/ 【3】Android 用 Opera ブラウザに脆弱性 情報源 Japan Vulnerability Notes VN#23256725 Opera browser for Android における Intent スキーム URL 処理に関する脆弱性 https://jvn.jp/jp/JVN23256725/index.html 概要 Android 用 Opera ブラウザには、脆弱性があります。結果として、遠隔の第三 者が細工したページをユーザに閲覧させることで Cookie を取得する可能性が あります。 対象となるバージョンは以下の通りです。 - Opera browser for Android 18 より前のバージョン この問題は、Opera が提供する修正済みのバージョンに Android 用 Opera ブ ラウザを更新することで解決します。詳細については、Opera が提供する情報 を参照して下さい。 関連文書 (英語) Opera Security Blog Security changes and features of Opera 19 http://blogs.opera.com/security/2014/01/security-changes-features-opera-19/ 【4】Fortinet の複数の製品にクロスサイトスクリプティングの脆弱性 情報源 CERT/CC Vulnerability Note VU#728638 Fortinet FortiOS 5.0.5 contains a reflected cross-site scripting (XSS) vulnerability http://www.kb.cert.org/vuls/id/728638 CERT/CC Vulnerability Note VU#593118 Fortinet Fortiweb 5.0.3 contains a reflected cross-site scripting vulnerability http://www.kb.cert.org/vuls/id/593118 概要 Fortinet の複数の製品には、クロスサイトスクリプティングの脆弱性がありま す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実 行する可能性があります。 対象となるバージョンは以下の通りです。 - Fortinet FortiOS 5.0.6 より前のバージョン - Fortinet Fortiweb 5.1.0 より前のバージョン この問題は、Fortinet が提供する修正済みのバージョンにアップデートするこ とで解決します。詳細については、Fortinet が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93422585 Fortinet FortiOS にクロスサイトスクリプティングの脆弱性 https://jvn.jp/vu/JVNVU93422585/index.html Japan Vulnerability Notes JVNVU#98993961 Fortinet Fortiweb にクロスサイトスクリプティングの脆弱性 https://jvn.jp/vu/JVNVU98993961/index.html 【5】F5 Networks BIG-IP Edge Client に脆弱性 情報源 CERT/CC Vulnerability Note VU#146430 F5 Networks BIG-IP Edge Client information leakage vulnerability http://www.kb.cert.org/vuls/id/146430 概要 F5 Networks BIG-IP Edge Client には、脆弱性があります。結果として、 Edge Client の管理する情報が漏えいする可能性があります。 対象となるバージョンは以下の通りです。 - BIG-IP APM 10.0.0 から 10.2.4 および 11.0.0 から 11.4.1 - BIG-IP Edge Gateway 10.1.0 から 10.2.4 および 11.0.0 から 11.4.1 - FirePass 6.0.0 から 6.1.0 および 7.0.0 この問題は、F5 Networks が提供する修正済みのバージョンに BIG-IP Edge Client を更新することで解決します。詳細については、F5 Networks が提供す る情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97826082 BIG IP Edge Client における情報漏えいの脆弱性 https://jvn.jp/vu/JVNVU97826082/index.html 関連文書 (英語) F5 Networks, Inc. SOL14969: BIG-IP Edge Client information leakage vulnerability CVE-2013-6024 http://support.f5.com/kb/en-us/solutions/public/14000/900/sol14969.html 【6】phpMyFAQ に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#30050348 phpMyFAQ におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN30050348/index.html Japan Vulnerability Notes JVN#50943964 phpMyFAQ におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN50943964/index.html 概要 phpMyFAQ には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザの意図しない設定変更を行ったり、ユーザのブラウザ上で任意のスクリプト を実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - phpMyFAQ 2.8.5 およびそれ以前 この問題は、phpMyFAQ が提供する修正済みのバージョンに phpMyFAQ を更新す ることで解決します。詳細については、phpMyFAQ が提供する情報を参照して下 さい。 関連文書 (英語) phpMyFAQ Security Advisory phpMyFAQ vulnerable to XSS and CSRF http://www.phpmyfaq.de/advisory_2014-02-04.php ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ISC BIND 9.6-ESV サポート終了 BIND 9.6-ESV (Extended Support Version) が 2014年1月で End of Life を 迎えました。今後、脆弱性が発見されても、セキュリティパッチは提供されま せん。ISC では、最新版への移行を推奨しています。 ISC のサポートポリシーでは、最新のメジャーバージョン2つをサポートする こととしており、現在は 9.8 と 9.9 がサポート対象となっています。 BIND を使ったシステムを管理している方は、サポートされているバージョン を使用していることを確認しましょう。 参考文献 (英語) Internet Systems Consortium BIND 9.6-ESV-R11 Release Notes https://kb.isc.org/article/AA-01109/0/BIND-9.6-ESV-R11-Release-Notes.html Internet Systems Consortium Software Support Policy https://www.isc.org/downloads/software-support-policy/ Internet Systems Consortium Downloads https://www.isc.org/downloads/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJS/BQ6AAoJEDF9l6Rp7OBIHXkH/Rq5BILbrf9DA5MpTbU5h5ox UGqV9O/pVTG3DZTsgMpldrj3Kth5G7bSZnbUFi/11F9OU/rT4O57paDLii7bbzXl Nmv49JtMKRJlbbtoVEaeW17bVpigQL46L6jaivJAefc8orMtkAJ6OASK1GW8MxC6 YtE5G4Z9+ejCtLl1O21nl/cL9H0yBSaZoJ/dnP1xGO6/nv4vm6wso029eLuitz8n zp215G7SKIfBxAcQ2iTQ59CrSE0JLUol9BPuYXW+VZPyFErNLBdl8he7YJzUnY4V VvHyI48VAzYaKkXTwXGAQRPLsF1aF/EpL5BqBt+TRQnLWPA3ynSNtl3lFDlyoK8= =VqXf -----END PGP SIGNATURE-----