-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-0901 JPCERT/CC 2014-03-05 <<< JPCERT/CC WEEKLY REPORT 2014-03-05 >>> ―――――――――――――――――――――――――――――――――――――― ■02/23(日)〜03/01(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apple の複数の製品に脆弱性 【2】libpng にサービス運用妨害 (DoS) の脆弱性 【3】サイボウズ ガルーンに複数の脆弱性 【4】XooNIps にクロスサイトスクリプティングの脆弱性 【5】Norman Security Suite に権限昇格の脆弱性 【6】Blue Coat ProxySG に脆弱性 【今週のひとくちメモ】Hong Kong Security Watch Report ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr130901.html https://www.jpcert.or.jp/wr/2013/wr130901.xml ============================================================================ 【1】Apple の複数の製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for Safari 6.1.2 and Safari 7.0.2 http://www.us-cert.gov/ncas/current-activity/2014/02/27/Apple-Releases-Security-Updates-Safari-612-and-Safari-702 US-CERT Current Activity Apple Releases OS X Mavericks v10.9.2 and Security Update 2014-001 http://www.us-cert.gov/ncas/current-activity/2014/02/27/Apple-Releases-Security-Updates-OSX-Mavericks-v1092-and-Security US-CERT Current Activity Apple Releases QuickTime 7.7.5 http://www.us-cert.gov/ncas/current-activity/2014/02/27/Apple-Releases-Secutiy-Update-QuickTime-775 概要 Apple の複数の製品には脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品は以下の通りです。 - Safari - OS X Lion、Lion Server、Mountain Lion、Mavericks - QuickTime (Windows版) この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Apple が提供する情報を参照して下さ い。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98302748 Apple Safari における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU98302748/index.html Japan Vulnerability Notes JVNVU#95868425 Apple OS X における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU95868425/index.html Japan Vulnerability Notes JVNVU#95788297 Apple QuickTime における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU95788297/index.html 関連文書 (英語) Apple Support About the security content of Safari 6.1.2 and Safari 7.0.2 http://support.apple.com/kb/HT6145 Apple Support About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001 http://support.apple.com/kb/HT6150 Apple Support About the security content of QuickTime 7.7.5 http://support.apple.com/kb/HT6151 【2】libpng にサービス運用妨害 (DoS) の脆弱性 情報源 CERT/CC Vulnerability Note VU#684412 libpng denial-of-service vulnerability http://www.kb.cert.org/vuls/id/684412 概要 libpng には、サービス運用妨害 (DoS) の脆弱性があります。結果として、遠 隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - libpng バージョン 1.6.0 から 1.6.9 この問題は、PNG Development Group が提供する修正済みのバージョンに libpng を更新することで解決します。詳細については、PNG Development Group が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98404231 libpng におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU98404231/ 関連文書 (英語) LIBPNG: PNG reference library ANNOUNCE http://sourceforge.net/p/libpng/code/ci/libpng16/tree/ANNOUNCE 【3】サイボウズ ガルーンに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#24035499 サイボウズ ガルーンにおけるセッション管理不備の脆弱性 https://jvn.jp/jp/JVN24035499/index.html Japan Vulnerability Notes JVN#26393529 サイボウズ ガルーンにおけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN26393529/index.html Japan Vulnerability Notes JVN#71045461 サイボウズ ガルーンにおける SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN71045461/index.html 概要 サイボウズ ガルーンには、複数の脆弱性があります。結果として、ログイン 可能なユーザが、他のユーザになりすましたり、データの取得や改ざんを行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ ガルーン 2.5.4 およびそれ以前 - サイボウズ ガルーン 3.7 Service Pack 3 およびそれ以前 この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ ガルー ンを更新することで解決します。詳細については、サイボウズが提供する情報 を参照して下さい。 関連文書 (日本語) サイボウズ株式会社 セッション管理不備の脆弱性【CY14-002-002】 http://cs.cybozu.co.jp/information/gr20140225up03.php サイボウズ株式会社 ファイルダウンロード処理に関するSQLインジェクションの脆弱性【CY14-002-003】 http://cs.cybozu.co.jp/information/gr20140225up04.php サイボウズ株式会社 ファイルダウンロード処理に関するディレクトリトラバーサルの脆弱性【CY14-002-004】 http://cs.cybozu.co.jp/information/gr20140225up05.php 【4】XooNIps にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#87797318 XooNIps におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN87797318/index.html 概要 XooNIps には、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは以下の通りです。 - XooNIps 3.47 およびそれ以前 この問題は、理化学研究所 脳科学総合研究センター 神経情報基盤センターが 提供する修正済みのバージョンに XooNIps を更新することで解決します。詳 細については、理化学研究所 脳科学総合研究センター 神経情報基盤センター が提供する情報を参照して下さい。 関連文書 (日本語) XooNIps official site XooNIps 3.48 をリリースしました (2014/1/31) http://xoonips.sourceforge.jp/modules/news/index.php?page=article&storyid=11&ml_lang=ja 【5】Norman Security Suite に権限昇格の脆弱性 情報源 Japan Vulnerability Notes JVN#02017463 Norman Security Suite における権限昇格の脆弱性 https://jvn.jp/jp/JVN02017463/index.html 概要 Norman Security Suite には、権限昇格の脆弱性があります。結果として、当 該製品がインストールされた PC にログイン可能なユーザによって、権限が昇 格され、任意のコードが実行される可能性があります。 対象となるバージョンは以下の通りです。 - Norman Security Suite 10.1 およびそれ以前 この問題は、Norman Safeground AS が提供する修正済みのバージョンに Norman Security Suite を更新することで解決します。詳細については、 Norman Safeground AS が提供する情報を参照して下さい。 【6】Blue Coat ProxySG に脆弱性 情報源 CERT/CC Vulnerability Note VU#221620 Blue Coat ProxySG local user changes contain a time and state vulnerability http://www.kb.cert.org/vuls/id/221620 概要 Blue Coat ProxySG には認証情報の更新機能に脆弱性があります。結果として、 アカウントを削除されたユーザが、システムにアクセスする可能性があります。 対象となるシステムは以下の通りです。 - SGOS 6.5.4 より前のバージョン この問題は、Blue Coat Systems が提供する修正済みのバージョンに Blue Coat ProxySG を更新することで解決します。詳細については、Blue Coat Systems が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93097036 Blue Coat ProxySG に脆弱性 https://jvn.jp/vu/JVNVU93097036/index.html 関連文書 (英語) Security Advisories February 18, 2014 - Changes to ProxySG local users are delayed https://kb.bluecoat.com/index?page=content&id=SA77 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Hong Kong Security Watch Report 香港の CSIRT である HKCERT が、Hong Kong Security Watch Report の公開 を開始しました。これは、香港で起こっているインシデントなど、セキュリティ 関連情報をまとめているもので、四半期ごとにリリースされる予定です。 参考文献 (英語) HKCERT Security Blog Hong Kong Security Watch Report (Q4 2013) https://www.hkcert.org/my_url/en/blog/14022601 HKCERT Hong Kong Security Watch Report https://www.hkcert.org/hkswr ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTFnlKAAoJEDF9l6Rp7OBIU34IAK7OnUdTn/HRrTehjGf3Tp/o Y9gVYKIWEqAYF00vOXy10aR1GuyjJCX3M3LL8x1JIr178yZRQGYGahXVxUugX4Wo D64bdeJVEgzt/J8OYATRij2HQoIo1Y3MdBJnYLR51jrxUaBMyQm7IdvDGU4As5ag ZfWTiO2bo/ci6b5oL7uwE3o2GnoBtSvk+zFTgJCl27PX5STiw3EX1TZtSQzYaPMe 46IhDDSz/mABT4Ub9Lj3bg/zrREcWO5fAArrj5WUjzl0e9nw8ATpYqJO/+AJthTT bwRQyS0p8rnxtVpM+rCH9je0z8sMVZA+LSGq+jFuEhFKhSbOZerXTdBaGlywrhs= =3Ec3 -----END PGP SIGNATURE-----