JPCERT-WR-2014-2201
2014-06-11
2014-06-01
2014-06-07
OpenSSL に複数の脆弱性
OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
のコードを実行したり、中間者攻撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- OpenSSL 1.0.1g およびそれ以前
- OpenSSL 1.0.0l およびそれ以前
- OpenSSL 0.9.8y およびそれ以前
この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに OpenSSL を更新することで解決します。詳細については、開発者が提供
する情報を参照して下さい。
Japan Vulnerability Notes JVN#61247051
OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
https://jvn.jp/jp/JVN61247051/index.html
SOY CMS におけるクロスサイトスクリプティングの脆弱性
SOY CMS には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。
対象となるバージョンは以下の通りです。
- SOY CMS Ver.1.4.0c およびそれ以前
この問題は、株式会社日本情報化農業研究所が提供する修正済みのバージョン
に SOY CMS を更新することで解決します。詳細については、株式会社日本情
報化農業研究所が提供する情報を参照して下さい。
SOY CMS
SOY CMSのXSS脆弱性(JVN#54650130)の対策について
http://www.soycms.net/topics/article/SOY_CMS%E3%81%AEXSS%E8%84%86%E5%BC%B1%E6%80%A7%EF%BC%88JVN_54650130%EF%BC%89%E3%81%AE%E5%AF%BE%E7%AD%96%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6
名前衝突問題 (Name Collision)
JPNIC や JPRS は、名前衝突問題とその対策を周知し、対策の適用を呼びかけ
ています。
近年、gTLD が大量に導入されていますが、「既存の gTLD と衝突しない」と
して組織内で利用していた名前が新しく gTLD として追加されることで、様々
な問題が発生する懸念が高まっています。
例えば、内部ネットワークに閉じていた通信が意図せずに外部向けに行われた
り、またはその逆の通信が行われたりして、「サービスが利用できない」「情
報が漏えいする」といった混乱が想定されます。
本問題は多くのユーザに多様な影響が出る可能性があります。参考文献に挙げ
たドキュメントをお読みいただき、本問題の影響について確認と対策を行うこ
とをお勧めします。
JPNIC
名前衝突(Name Collision)問題
https://www.nic.ad.jp/ja/dom/new-gtld/name-collision/
JPNIC
名前衝突(Name Collision)問題の周知と対策実施のお願い
https://www.nic.ad.jp/ja/topics/2014/20140609-01.html
ICANN
Name Collision Resources & Information
https://www.icann.org/resources/pages/name-collision-2013-12-06-en
JPRS
IT専門家のための名前衝突の確認および抑止方法ガイド
http://jprs.jp/tech/material/name-collision-mitigation-05dec13-ja-1.0.pdf