-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2014-0801
                                                                   JPCERT/CC
                                                                  2014-02-26

            <<< JPCERT/CC WEEKLY REPORT 2014-02-26 >>>

――――――――――――――――――――――――――――――――――――――
■02/16(日)〜02/22(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Microsoft Internet Explorer に脆弱性
【2】Adobe Flash Player に複数の脆弱性
【3】Apple の iOS および Apple TV に SSL/TLS 認証の脆弱性
【4】Cisco の IPS ソフトウエアに複数の脆弱性
【5】Cisco Unified Computing System (UCS) Director に脆弱性
【6】AutoCAD に複数の脆弱性
【7】Blackboard Vista/CE にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】ISC BIND 10 初期開発プロジェクト終了

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2014/wr140801.html
        https://www.jpcert.or.jp/wr/2014/wr140801.xml
============================================================================


【1】Microsoft Internet Explorer に脆弱性

    情報源
      US-CERT Current Activity
      Microsoft Releases Security Advisory for Internet Explorer 9 and 10 Use-After-Free Vulnerability
      http://www.us-cert.gov/ncas/current-activity/2014/02/20/Microsoft-Releases-Security-Advisory-Internet-Explorer

    概要
      Microsoft Internet Explorer には、脆弱性があります。結果として、遠隔の
      第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を実行し
      たりする可能性があります。

      対象となるバージョンは以下の通りです。

      - Internet Explorer 9
      - Internet Explorer 10

      2014年2月25日現在、対策済みのバージョンはありません。

      以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
      - Internet Explorer 11 以降へアップグレードする
      - Fix it 51007 を適用する
      - Enhanced Mitigation Experience Toolkit (EMET) を使用する

    関連文書 (日本語)
      マイクロソフト セキュリティ アドバイザリ (Fix it)
      Internet Explorer の脆弱性により、リモートでコードが実行されます。
      https://support.microsoft.com/kb/2934088

      マイクロソフト セキュリティ アドバイザリ (2934088)
      Internet Explorer の脆弱性により、リモートでコードが実行される
      https://technet.microsoft.com/ja-jp/security/advisory/2934088

      独立行政法人情報処理推進機構 (IPA)
      Internet Explorer の脆弱性対策について(CVE-2014-0322)
      http://www.ipa.go.jp/security/ciadr/vul/20140220-ms.html

      JPCERT/CC Alert 2014-02-20
      2014年2月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
      https://www.jpcert.or.jp/at/2014/at140009.html

      Japan Vulnerability Notes JVNVU#96727848
      Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
      http://jvn.jp/vu/JVNVU96727848/index.html

【2】Adobe Flash Player に複数の脆弱性

    情報源
      US-CERT Current Activity
      Security Updates Available for Adobe Flash Player
      http://www.us-cert.gov/ncas/current-activity/2014/02/20/Security-Updates-Available-Adobe-Flash-Player

    概要
      Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三
      者が、任意のコードを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Adobe Flash Player 12.0.0.44 およびそれ以前 (Windows版、Mac 版)
      - Adobe Flash Player 11.2.202.336 およびそれ以前 (Linux 版)
      - Adobe AIR 4.0.0.1390 およびそれ以前 (Android 版)
      - Adobe AIR 3.9.0.1390 SDK およびそれ以前
      - Adobe AIR 3.9.0.1390 SDK & Compiler およびそれ以前

      この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player
      を更新することで解決します。詳細については、Adobe が提供する情報を参照
      して下さい。

    関連文書 (日本語)
      独立行政法人情報処理推進機構 (IPA)
      Adobe Flash Player の脆弱性対策について(APSB14-07)(CVE-2014-0502等)
      http://www.ipa.go.jp/security/ciadr/vul/20140221-adobeflashplayer.html

      警察庁 @Police
      アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
      http://www.npa.go.jp/cyberpolice/topics/?seq=13084

      JPCERT/CC Alert 2014-02-21
      Adobe Flash Player の脆弱性 (APSB14-07) に関する注意喚起
      https://www.jpcert.or.jp/at/2014/at140010.html

    関連文書 (英語)
      Adobeセキュリティ情報
      Adobe Flash Player用のセキュリティアップデート公開
      http://helpx.adobe.com/jp/security/products/flash-player/apsb14-07.html

      Adobe Security Bulletin
      Security updates available for Adobe Flash Player
      http://helpx.adobe.com/security/products/flash-player/apsb14-07.html

【3】Apple の iOS および Apple TV に SSL/TLS 認証の脆弱性

    情報源
      US-CERT Current Activity
      Apple Releases Security Updates for iOS devices and Apple TV
      http://www.us-cert.gov/ncas/current-activity/2014/02/21/Apple-Releases-Security-Updates-iOS-devices-and-Apple-TV

    概要
      Apple の iOS および Apple TV には、SSL/TLS 認証の脆弱性があります。結果と
      して、遠隔の第三者が、SSL/TLS セッションを復号する可能性があります。

      対策版として、以下のバージョンがリリースされています。

      - iOS 6.1.6 (iPhone 3GS、iPod touch 第4世代)
      - iOS 7.0.6 (iPhone 4 およびそれ以降、iPod touch 第5世代、iPad 2 およびそれ以降)
      - Apple TV 6.0.2 for Apple TV 第2世代およびそれ以降

      この問題は、Apple が提供する修正済みのバージョンに iOS および Apple TV
      を更新することで解決します。詳細については、Apple が提供する情報を参照
      して下さい。

    関連文書 (英語)
      Apple Support
      About the security content of iOS 6.1.6
      http://support.apple.com/kb/HT6146

      Apple Support
      About the security content of iOS 7.0.6
      http://support.apple.com/kb/HT6147

      Apple Support
      About the security content of Apple TV 6.0.2
      http://support.apple.com/kb/HT6148

【4】Cisco の IPS ソフトウエアに複数の脆弱性

    情報源
      US-CERT Current Activity
      Multiple Vulnerabilities in Cisco IPS Software
      http://www.us-cert.gov/ncas/current-activity/2014/02/20/Multiple-Vulnerabilities-Cisco-IPS-Software

    概要
      Cisco の IPS ソフトウエアには、複数の脆弱性があります。結果として、遠隔
      の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。

      対象となる製品は以下の通りです。

      - Cisco ASA 5500-X Series IPS Security Services Processor (IPS SSP) software and hardware modules
      - Cisco ASA 5500 Series Advanced Inspection and Prevention Security Services Module (AIP SSM)
      - Cisco IPS 4200 Series Sensors
      - Cisco IPS 4300 Series Sensors
      - Cisco IPS 4500 Series Sensors

      この問題は、Cisco が提供する修正済みのバージョンに IPS ソフトウエアを更
      新することで解決します。詳細については、Cisco が提供する情報を参照して
      下さい。

    関連文書 (英語)
      Cisco Security Advisory
      Multiple Vulnerabilities in Cisco IPS Software
      http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140219-ips

【5】Cisco Unified Computing System (UCS) Director に脆弱性

    情報源
      US-CERT Current Activity
      Cisco UCS Director Default Credentials Vulnerability
      http://www.us-cert.gov/ncas/current-activity/2014/02/21/Cisco-UCS-Director-Default-Credentials-Vulnerability

    概要
      Cisco Unified Computing System (UCS) Director には、root アカウントにデ
      フォルトの認証情報が設定される脆弱性があります。結果として、遠隔の第三
      者が、任意の設定を行う可能性があります。

      対象となるバージョンは以下の通りです。

      - Cisco UCS Director Release 4.0.0.3 HOTFIX より前のバージョン

      この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified
      Computing System (UCS) Director を更新することで解決します。詳細につい
      ては、Cisco が提供する情報を参照して下さい。

    関連文書 (英語)
      Cisco Security Advisory
      Cisco UCS Director Default Credentials Vulnerability
      http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140219-ucsd

【6】AutoCAD に複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#43254599
      AutoCAD における DLL 読み込みに関する脆弱性
      https://jvn.jp/jp/JVN43254599/index.html

      Japan Vulnerability Notes JVN#33382534
      AutoCAD において任意の VBScript が実行可能な脆弱性
      https://jvn.jp/jp/JVN33382534/index.html

    概要
      AutoCAD には、複数の脆弱性があります。結果として、遠隔の第三者が任意の
      コードを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - AutoCAD 2013 およびそれ以前

      この問題は、Autodesk が提供する修正済みのバージョンに AutoCAD を更新す
      ることで解決します。詳細については、Autodesk が提供する情報を参照して下
      さい。

【7】Blackboard Vista/CE にクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#24730765
      Blackboard Vista/CE におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN24730765/index.html

    概要
      Blackboard Vista/CE には、クロスサイトスクリプティングの脆弱性がありま
      す。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを
      実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Blackboard Vista/CE 8.0 Service Pack 6 およびそれ以前

      この問題は、Blackboard, Inc. が提供する修正済みのバージョンに
      Blackboard Vista/CE を更新することで解決します。詳細については、
      Blackboard, Inc. が提供する情報を参照して下さい。


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○ISC BIND 10 初期開発プロジェクト終了

      2014年1月30日、ISC から BIND 10 の初期開発プロジェクトの終了がアナウン
      スされました。BIND 10 初期開発プロジェクトは、各国の TLD レジストリなど
      が協力するプロジェクトとして開発が進められており、日本からも JPRS が参
      画していました。

      BIND 10 は、2013年2月にプロダクションリリースとして BIND 10.1.0.0 がリ
      リースされており、今後 BIND 10 の開発は、利用者からのフィードバックを受
      け付ける形で ISC により継続されるとのことです。

    参考文献 (日本語)
      株式会社日本レジストリサービス (JPRS)
      「BIND 10」の初期開発プロジェクトが終了
      http://jprs.co.jp/topics/2014/140131.html

    参考文献 (英語)
      Internet Systems Consortium
      Completion of BIND 10 Initial Development Program delivers Basis of ISC Next Generation Nameserver Software
      https://www.isc.org/blogs/completion-of-bind-10-initial-development-program-delivers-basis-of-isc-next-generation-nameserver-software/


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2014 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJTDTX2AAoJEDF9l6Rp7OBIAQsH/RnaBKMcTmlqETvN4A+g8GeT
onR81kCTXxXY9weOLYVXDP+r+GQ9Xb3cAnDs+4CYfotVolkyCsAr4IkWlZx7OdDb
PzZhkUPcMCEBU/ySagBYLzFAeTztue/kwLy3MM/NfLROGoYT7LPTIjVC0/YWDccV
yNFVCYlRwuC7il+7GC2ycRgwH5zcZCg0qZVOln7cjQHckDedM5xJB23uz9CrmaZY
EMmHgAGVi7Xx4FZp1WUIOvFSDpT+ObHg862M/wLCsdRuLMugmQVTg/GrjJ2BlxWl
mWqUjZlAZnr45vCFYjbgVCqR4V8Rk3IHULTrMxrx7+mbKAQ1wrRaN9iGCzZAeDg=
=T0AJ
-----END PGP SIGNATURE-----