-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-1801 JPCERT/CC 2014-05-14 <<< JPCERT/CC WEEKLY REPORT 2014-05-14 >>> ―――――――――――――――――――――――――――――――――――――― ■04/27(日)〜05/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】「Microsoft Internet Explorer に脆弱性」に関する追加情報 【2】Adobe Flash Player にバッファオーバーフローの脆弱性 【3】Mozilla 製品群に複数の脆弱性 【4】BIND 9.10.0 にサービス運用妨害 (DoS) の脆弱性 【5】サイボウズ ガルーンに複数の脆弱性 【6】Cisco の WebEx Player に複数の脆弱性 【7】intra-mart にオープンリダイレクトの脆弱性 【8】Fortinet Fortiweb にクロスサイトリクエストフォージェリの脆弱性 【9】Google 検索アプライアンスのダイナミック ナビゲーションにクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】APCERT Annual Report 2013 公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr141801.html https://www.jpcert.or.jp/wr/2014/wr141801.xml ============================================================================ 【1】「Microsoft Internet Explorer に脆弱性」に関する追加情報 情報源 日本のセキュリティチーム セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開 http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx 概要 JPCERT/CC WEEKLY REPORT 2014-05-01 号【1】で紹介した「Microsoft Internet Explorer に脆弱性」に関する追加情報です。 Microsoft はこの問題に対するセキュリティ更新プログラムを公開しました。 Windows ユーザの方は、速やかに適用することをおすすめします。詳細につい ては、Microsoft が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC WEEKLY REPORT 2014-05-01 号 Microsoft Internet Explorer に脆弱性 https://www.jpcert.or.jp/wr/2014/wr141701.html#1 マイクロソフト マイクロソフト セキュリティ情報 MS14-021 - 緊急 https://technet.microsoft.com/ja-jp/library/security/ms14-021 【2】Adobe Flash Player にバッファオーバーフローの脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player https://www.us-cert.gov/ncas/current-activity/2014/04/28/Adobe-Releases-Security-Updates-Flash-Player 概要 Adobe Flash Player には、バッファオーバーフローの脆弱性があります。 結果として、遠隔の第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 13.0.0.182 およびそれ以前 (Windows版) - Adobe Flash Player 13.0.0.201 およびそれ以前 (Macintosh版) - Adobe Flash Player 11.2.202.350 およびそれ以前 (Linux版) この問題は、Adobe が提供する修正済みのバージョンに Flash Player を更新 することで解決します。詳細については、Adobe が提供する情報を参照して下 さい。 関連文書 (日本語) Adobeセキュリティ情報 Adobe Flash Player用のセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb14-13.html 独立行政法人情報処理推進機構 (IPA) Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515) https://www.ipa.go.jp/security/ciadr/vul/20140430-adobeflashplayer.html 警察庁 @Police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=13598 JPCERT/CC Alert 2014-04-30 Adobe Flash Player の脆弱性 (APSB14-13) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140019.html 【3】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox, Thunderbird, and Seamonkey https://www.us-cert.gov/ncas/current-activity/2014/04/29/Mozilla-Releases-Security-Updates-Firefox-Thunderbird-and-Seamonkey 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - Firefox 29.0 より前のバージョン - Firefox ESR 24.5 より前のバージョン - Thunderbird 24.5 より前のバージョン - Seamonkey 2.26 より前のバージョン なお、5月9日にいくつかの不具合を修正した Firefox 29.0.1 がリリースされ ています。 この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2014年4月29日) http://www.mozilla-japan.org/security/announce/ Mozilla Japan Firefox リリースノート バージョン 29.0.1 - 2014/05/09 リリース http://www.mozilla.jp/firefox/29.0.1/releasenotes/ 【4】BIND 9.10.0 にサービス運用妨害 (DoS) の脆弱性 情報源 JPRS (緊急)BIND 9.10.0の脆弱性(DNSサービスの停止)について(2014年5月9日公開) http://jprs.jp/tech/security/2014-05-09-bind9-vuln-prefetch.html 概要 ISC BIND 9.10.0 には、プリフェッチ機能に実装上の不具合があります。結果 として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があり ます。 対象となるバージョンは以下の通りです。 - BIND 9.10.0 この問題は、ISC が提供する修正済みのバージョンに ISC BIND 9 を更新する ことで解決します。詳細については、ISC が提供する情報を参照して下さい。 関連文書 (英語) ISC Knowledge Base CVE-2014-3214: A Defect in Prefetch Can Cause Recursive Servers to Crash https://kb.isc.org/article/AA-01161/ 【5】サイボウズ ガルーンに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#90519014 サイボウズ ガルーンの電話メモ機能におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN90519014/index.html Japan Vulnerability Notes JVN#31230946 サイボウズ ガルーンの API におけるアクセス制限回避の脆弱性 https://jvn.jp/jp/JVN31230946/index.html 概要 サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第 三者が、サービス運用妨害 (DoS) 攻撃を行ったり、登録情報を削除したりす る可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ ガルーン 2.0.0 から 3.7 Service Pack 3 まで この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ ガルー ンを更新することで解決します。詳細については、サイボウズが提供する情報 を参照して下さい。 関連文書 (日本語) サイボウズ株式会社 電話メモに関するサービス運用妨害 (DoS) の脆弱性 https://support.cybozu.com/ja-jp/article/8105 サイボウズ株式会社 KUNAIからアクセスすると、変更権限がない予定を削除できる。 https://support.cybozu.com/ja/article/5264 【6】Cisco の WebEx Player に複数の脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Advisory for WebEx Players https://www.us-cert.gov/ncas/current-activity/2014/05/08/Cisco-Releases-Security-Advisory-WebEx-Players 概要 Cisco の WebEx Player には、複数の脆弱性があります。結果として、遠隔の 第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品は以下のとおりです。 - Cisco WebEx WRF Player - Cisco WebEx ARF Player この問題は、Cisco が提供する修正済みのバージョンに WebEx Player を更新 することで解決します。詳細については、Cisco が提供する情報を参照して下 さい。 関連文書 (英語) Cisco Multiple Vulnerabilities in the Cisco WebEx Recording Format and Advanced Recording Format Players http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140507-webex 【7】intra-mart にオープンリダイレクトの脆弱性 情報源 Japan Vulnerability Notes JVN#68340046 intra-mart におけるオープンリダイレクトの脆弱性 https://jvn.jp/jp/JVN68340046/index.html 概要 intra-mart には、オープンリダイレクトの脆弱性があります。結果として、 遠隔の第三者が、フィッシング詐欺などに悪用する可能性があります。 対象となるバージョンは以下の通りです。 - intra-mart WebPlatform / AppFramework バージョン 6.0 から 7.2 まで この問題は、NTTデータ イントラマートが提供する修正済みのバージョンに intra-mart を更新することで解決します。詳細については、NTTデータ イン トラマートが提供する情報を参照して下さい。 関連文書 (日本語) 株式会社エヌ・ティ・ティ・データ・イントラマート intra-mart におけるオープンリダイレクトの脆弱性 http://www.intra-mart.jp/developer/news/2014/05/JVN68340046.html 【8】Fortinet Fortiweb にクロスサイトリクエストフォージェリの脆弱性 情報源 CERT/CC Vulnerability Note VU#902790 Fortinet Fortiweb 5.1 contains a cross-site request forgery vulnerability https://www.kb.cert.org/vuls/id/902790 概要 Fortinet Fortiweb には、クロスサイトリクエストフォージェリの脆弱性があ ります。結果として、遠隔の第三者が、情報を取得したり、任意のコードを実 行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Fortinet Fortiweb 5.2.0 より前のバージョン この問題は、Fortinet が提供する修正済みのバージョンに Fortiweb を更新 することで解決します。詳細については、Fortinet が提供する情報を参照し て下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99180587 Fortinet Fortiweb におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/vu/JVNVU99180587/index.html 関連文書 (英語) FortiGuard Center FortiWeb Cross-Site Request Forgery Vulnerability http://www.fortiguard.com/advisory/FG-IR-14-013/ 【9】Google 検索アプライアンスのダイナミック ナビゲーションにクロスサイトスクリプティングの脆弱性 情報源 CERT/CC Vulnerability Note VU#673313 Google Search Appliance dynamic navigation cross-site scripting vulnerability https://www.kb.cert.org/vuls/id/673313 概要 Google 検索アプライアンスのダイナミック ナビゲーションには、クロスサイ トスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Google 検索アプライアンス 7.2.0.G.114 より前のバージョン - Google 検索アプライアンス 7.0.14.G.216 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google 検索アプラ イアンスを更新することで解決します。詳細については、Google が提供する 情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94205147 Google 検索アプライアンス ダイナミック ナビゲーションにクロスサイトスクリプティングの脆弱性 https://jvn.jp/vu/JVNVU94205147/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○APCERT Annual Report 2013 公開 アジア太平洋地域のシーサートの集まりである APCERT では、各チームの一年 間の参加報告をまとめた Annual Report を毎年公開しています。2014年5月1日に、 2013年の活動をまとめた Annual Report 2013 が公開されました。 アジア太平洋地域のシーサートがそれぞれどのような活動をしているか、また、 チーム間でどのような連携活動を行っているかを知るための参考資料として、 ご参照下さい。 参考文献 (英語) APCERT APCERT Annual Report 2013 http://www.apcert.org/documents/pdf/APCERT_Annual_Report_2013%28FINAL%29.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTcsOYAAoJEDF9l6Rp7OBI1nwH/2wmUo6mCyqUZMfJBcOiTPxj JzgUYE4fr7WcTvmxi6QBi+DiLlWAnlI/f3W2gXgFKgUMpnf8BFUPIn05egCGKbYU uAJDG+gQaRbLAixCa0BErd701tghY+G6a3nzIGABvVAHR29ehYV1rTjn6t4kPD2a SOLEqwpbgivThogzsGxNHyIS1K1Lx1aDmLnqDQcuWF+k7vTT9rzxBF59D2/+0oPB xtwGb3JnfvfTpaxBgiGi29kmYw5fvmFVPf7TworgvrewRFkgD5Ik3xp87lNd+g+A LHHMVwMsgErUxxFbI6IsN4mVkiKXRH9RH3cTmWR7uCPhZRyel+CfKpdKZBxOK08= =IWui -----END PGP SIGNATURE-----