-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-1601 JPCERT/CC 2014-04-23 <<< JPCERT/CC WEEKLY REPORT 2014-04-23 >>> ―――――――――――――――――――――――――――――――――――――― ■04/13(日)〜04/19(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2014年4月 Oracle Critical Patch Update について 【2】Android 版 Adobe Reader Mobile に脆弱性 【3】Redmine にオープンリダイレクトの脆弱性 【4】サイボウズのリモートサービスマネージャーに複数の脆弱性 【5】複数の XMPP サーバにサービス運用妨害 (DoS) の脆弱性 【6】Android 版 CamiApp にアクセス制限不備の脆弱性 【7】東芝テック製 e-Studio シリーズにクロスサイトリクエストフォージェリの脆弱性 【8】Xangati ソフトウェア製品に複数の脆弱性 【今週のひとくちメモ】担当者ノート: JVN で CVSS 評価を採用 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr141601.html https://www.jpcert.or.jp/wr/2014/wr141601.xml ============================================================================ 【1】2014年4月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Oracle Releases April 2014 Security Advisory https://www.us-cert.gov/ncas/current-activity/2014/04/16/Oracle-Releases-April-2014-Security-Advisory 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細については、Oracle が提供する情報を参照して下さい。 関連文書 (日本語) Oracle Technology Network Critical Patch UpdatesとSecurity Alerts http://www.oracle.com/technetwork/jp/topics/alerts-082677-ja.html 独立行政法人情報処理推進機構 (IPA) Oracle Java の脆弱性対策について(CVE-2014-0429等) https://www.ipa.go.jp/security/ciadr/vul/20140416-jre.html JPCERT/CC Alert 2014-04-16 2014年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2014/at140017.html 【2】Android 版 Adobe Reader Mobile に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Update for Reader Mobile https://www.us-cert.gov/ncas/current-activity/2014/04/17/Adobe-Releases-Security-Update-Reader-Mobile 概要 Android 版 Adobe Reader Mobile には、脆弱性があります。結果として、遠 隔の第三者が、細工した PDF ドキュメントをユーザに閲覧させることで、任 意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Android 版 Adobe Reader Mobile 11.1.3 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Android 版 Adobe Reader Mobile を更新することで解決します。詳細については、Adobe が提供 する情報を参照して下さい。 関連文書 (日本語) Adobeセキュリティ情報 Adobe Reader Mobile用のセキュリティアップデート公開 http://helpx.adobe.com/jp/security/products/reader-mobile/apsb14-12.html 【3】Redmine にオープンリダイレクトの脆弱性 情報源 Japan Vulnerability Notes JVN#93004610 Redmine におけるオープンリダイレクトの脆弱性 https://jvn.jp/jp/JVN93004610/index.html 概要 Redmine には、オープンリダイレクトの脆弱性があります。結果として、 Redmine へのログイン時に、任意のウェブサイトにリダイレクトされたり、 フィッシング詐欺などの被害に遭う可能性があります。 対象となるバージョンは以下の通りです。 - Redmine 2.5.1 より前のバージョン - Redmine 2.4.5 より前のバージョン この問題は、Redmine が提供する修正済みのバージョンに Redmine を更新する ことで解決します。詳細については、Redmine が提供する情報を参照して下さ い。 関連文書 (英語) Redmine Redmine Security Advisories http://www.redmine.org/projects/redmine/wiki/Security_Advisories 【4】サイボウズのリモートサービスマネージャーに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#10319260 サイボウズ リモートサービスマネージャーにおけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN10319260/index.html Japan Vulnerability Notes JVN#00058727 サイボウズ リモートサービスマネージャーにおけるセッション固定の脆弱性 https://jvn.jp/jp/JVN00058727/index.html 概要 サイボウズのリモートサービスマネージャーには、複数の脆弱性があります。 結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を実行したり、 登録ユーザになりすましたりする可能性があります。 対象となるバージョンは以下の通りです。 - リモートサービスマネージャー 2.3.0 およびそれ以前 - リモートサービスマネージャー 3.1.0 およびそれ以前 この問題は、サイボウズが提供する修正済みのバージョンにリモートサービス マネージャーを更新することで解決します。詳細については、サイボウズが提 供する情報を参照して下さい。 関連文書 (日本語) サイボウズ株式会社 リモートサービスマネージャーのサービス運用妨害 (DoS) の脆弱性 http://cs.cybozu.co.jp/information/20130317notice01.php サイボウズ株式会社 リモートサービスマネージャーの管理画面にセッション固定の脆弱性 http://cs.cybozu.co.jp/information/20130317notice02.php 【5】複数の XMPP サーバにサービス運用妨害 (DoS) の脆弱性 情報源 XMPP Standards Foundation Uncontrolled Resource Consumption with XMPP-Layer Compression http://xmpp.org/resources/security-notices/uncontrolled-resource-consumption-with-highly-compressed-xmpp-stanzas/ 概要 複数の XMPP サーバには、圧縮データの取扱いに関する脆弱性があります。結 果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行なう可能性が あります。 対象となる製品およびバージョンは複数存在します。 詳細については、XMPP Standards Foundation のアドバイザリ、およびベンダ の提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93450631 Openfire にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU93450631/index.html 関連文書 (英語) A blog about Prosody Prosody 0.9.4 released - Prosodical Thoughts http://blog.prosody.im/prosody-0-9-4-released/ Tigase.org Tigase XMPP Server 5.2.1 release http://www.tigase.org/content/tigase-xmpp-server-521-release 【6】Android 版 CamiApp にアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#55438786 Android 版 CamiApp における Content Provider のアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN55438786/index.html 概要 Android 版 CamiApp には、アクセス制限不備の脆弱性があります。結果とし て、遠隔の第三者が、当該製品のデータベース内の情報を取得したり、改ざん したりする可能性があります。 対象となるバージョンは以下の通りです。 - Android 版 CamiApp バージョン 1.21.1 およびそれ以前 この問題は、コクヨS&T株式会社が提供する修正済みのバージョンに Android 版 CamiApp を更新することで解決します。詳細については、コクヨ S&T株式会社が提供する情報を参照して下さい。 関連文書 (日本語) Google Play の Android アプリ CamiApp (キャミアップ) https://play.google.com/store/apps/details?id=jp.co.kokuyost.CamiApp 【7】東芝テック製 e-Studio シリーズにクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#13313061 東芝テック製 e-Studio シリーズにおけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN13313061/index.html 概要 東芝テック製 e-Studio シリーズには、クロスサイトリクエストフォージェリ の脆弱性があります。ウェブ管理ツール (TopAccess) にログインした状態の ユーザに細工したページへのアクセスを行わせることで、遠隔の第三者が、パ スワードを変更したり、スキャンデータなどを取得したりする可能性がありま す。 対象となるバージョンは以下の通りです。 - e-Studio 232/233/282/283 本脆弱性に対するファームウェアアップデートは提供されません。以下の回避 策を適用することで、本脆弱性の影響を軽減することが可能です。 - ウェブ管理ツール (TopAccess) にログインした状態で他のウェブサイトに アクセスしない 関連文書 (日本語) 東芝テック株式会社 複合機のセキュリティ対策について(更新) http://www.toshibatec.co.jp/page.jsp?id=4152 【8】Xangati ソフトウェア製品に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#657622 Xangati software release contains relative path traversal and command injection vulnerabilities http://www.kb.cert.org/vuls/id/657622 概要 Xangati ソフトウェア製品には、複数の脆弱性があります。結果として、遠隔 の第三者が、システムファイルを閲覧したり、任意のシステムコマンドを実行 したりする可能性があります。 対象となる製品およびバージョンは複数存在します。 この問題は、Xangati が提供する修正済みのバージョンに該当製品を更新する ことで解決します。詳細については、Xangati が提供する情報を参照して下さ い。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93935078 Xangati ソフトウェア製品に複数の脆弱性 https://jvn.jp/vu/JVNVU93935078/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○担当者ノート: JVN で CVSS 評価を採用 JVN (Japan Vulnerability Notes) では、これまで JPCERT/CC の独自評価によ る分析値を表示していましたが、共通脆弱性評価システム CVSS (Common Vulnerability Scoring System) の普及に伴い、2014年4月1日から CVSS v2 に よる分析結果の表示に変更しました。 参考文献 (日本語) JVN 共通脆弱性評価システム CVSS による評価値を採用しました https://jvn.jp/nav/info2014040119.html IPA 共通脆弱性評価システムCVSS概説 https://www.ipa.go.jp/security/vuln/CVSS.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTVxqTAAoJEDF9l6Rp7OBIWKcH/1Er3VFq7Y6rt64ho9BLsBws ufXxBOLpdZVSyFVcaL/fw3JVwrn13PypIYQOg5pxrXPskzhm/tIIgUz2+J2wz62T PsIEEvvduRk9m9oZXDq6brdT5Cgw+qryLaZ00QOgsE5Dri+h3UsC2WeH44MOpntl TuFJ4of65c+vk2dXvahGkZFd2VbnwcTmSHL6TknMw4OoFuTupJAbwAyqc0Bas/iS k4+P0D7epEzoY36FdwSNK71x7MvlWT74CMnSOVT9KOviMNBfYV+fgB1iPQK2IkEF pPcC4QLI5BpWcF++9BQUSJo/inr099zq7Z1EZmQKKYDnp21MwV3x2O4qdKKyywc= =OOA3 -----END PGP SIGNATURE-----