-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-2401 JPCERT/CC 2014-06-25 <<< JPCERT/CC WEEKLY REPORT 2014-06-25 >>> ―――――――――――――――――――――――――――――――――――――― ■06/15(日)〜06/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Malware Protection Engine にサービス運用妨害 (DoS) の脆弱性 【2】Symantec Web Gateway に 複数の脆弱性 【3】Android 版アプリ「050 plus」に情報管理不備の脆弱性 【4】Webmin にクロスサイトスクリプティングの脆弱性 【5】Usermin に複数の脆弱性 【6】TERASOLUNA Server Framework for Java(Web) に ClassLoader が操作可能な脆弱性 【7】F5 ARX Data Manager に SQL インジェクションの脆弱性 【今週のひとくちメモ】セキュアライフ2020 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr142401.html https://www.jpcert.or.jp/wr/2014/wr142401.xml ============================================================================ 【1】Microsoft Malware Protection Engine にサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Current Activity Microsoft Releases Security Advisory for Microsoft Malware Protection Engine https://www.us-cert.gov/ncas/current-activity/2014/06/17/Microsoft-Releases-Security-Advisory-Microsoft-Malware-Protection 概要 Microsoft Malware Protection Engine には、サービス運用妨害 (DoS) の脆 弱性があります。結果として、当該製品がシステムを監視できなくなる可能性 があります。 対象となるバージョンは以下の通りです。 - Microsoft Malware Protection Engine 1.1.10600.0 およびそれ以前 Microsoft Malware Protection Engine は複数の製品に組み込まれています。 この問題は、Microsoft Malware Protection Engine を更新することで解決し ます。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ 2974294 Microsoft Malware Protection Engine の脆弱性により、サービス拒否が起こる https://technet.microsoft.com/ja-jp/library/security/2974294 日本のセキュリティチーム セキュリティ アドバイザリ 2974294「Microsoft Malware Protection Engine の脆弱性により、サービス拒否が起こる」を公開 http://blogs.technet.com/b/jpsecurity/archive/2014/06/18/2974294-microsoft-malware-protection-engine.aspx 【2】Symantec Web Gateway に 複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#719172 Symantec Web Gateway contains SQL injection and cross-site scripting vulnerabilities https://www.kb.cert.org/vuls/id/719172 概要 Symantec Web Gateway には、SQL インジェクションおよびクロスサイトスク リプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブ ラウザ上で任意のスクリプトを実行したり、当該製品が参照しているデータベ ースに対して任意の SQL コマンドを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Symantec Web Gateway 5.2 およびそれ以前 この問題は、Symantec が提供する修正済みのバージョンに Web Gateway を更 新することで解決します。詳細については、Symantec が提供する情報を参照 して下さい。 関連文書 (日本語) Symantec Symantec Web Gateway におけるセキュリティ問題 (SYM14-010) http://www.symantec.com/ja/jp/security_response/securityupdates/detail.jsp?fid=securit20y_advisory&pvid=security_advisory&year=&suid=20140616_00 Japan Vulnerability Notes JVNVU#92933933 Symantec Web Gateway に複数の脆弱性 https://jvn.jp/vu/JVNVU92933933/index.html 【3】Android 版アプリ「050 plus」に情報管理不備の脆弱性 情報源 Japan Vulnerability Notes JVN#07677464 Android 版アプリ「050 plus」における情報管理不備の脆弱性 https://jvn.jp/jp/JVN07677464/index.html 概要 Android 版アプリ「050 plus」には、情報管理不備の脆弱性があります。結果 として、Android 端末のログ情報を閲覧する権限のあるアプリケーションが、 当該製品が記録している情報の一部を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Android 版 アプリ「050 plus」 4.2.0 およびそれ以前 この問題は、エヌ・ティ・ティ・コミュニケーションズが提供する修正済みの バージョンに 050 plus を更新することで解決します。なお、アップデートし ても既に出力されたログ情報は削除されないため、ログ情報を読み取り可能な アプリケーションを端末にインストールする場合には、注意してください。詳 細については、エヌ・ティ・ティ・コミュニケーションズが提供する情報を参 照して下さい。 【4】Webmin にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#49974594 Webmin におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN49974594/index.html Japan Vulnerability Notes JVN#02213197 Webmin におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN02213197/index.html 概要 Webmin には、複数のクロスサイトスクリプティングの脆弱性があります。結 果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - Webmin バージョン 1.690 より前のバージョン この問題は、Webmin が提供する修正済みのバージョンに Webmin を更新する ことで解決します。詳細については、Webmin が提供する情報を参照して下さ い。 関連文書 (英語) Webmin Change Log http://www.webmin.com/changes.html 【5】Usermin に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#48805624 Usermin における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN48805624/index.html Japan Vulnerability Notes JVN#92737498 Usermin におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN92737498/index.html 概要 Usermin には、複数の脆弱性があります。結果として、遠隔の第三者が、サー バ上で任意の OS コマンドを実行したり、ユーザのブラウザ上で任意のスクリ プトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Usermin バージョン 1.600 より前のバージョン この問題は、Webmin が提供する修正済みのバージョンに Usermin を更新する ことで解決します。詳細については、Webmin が提供する情報を参照して下さ い。 関連文書 (英語) Webmin Usermin Change Log http://www.webmin.com/uchanges.html 【6】TERASOLUNA Server Framework for Java(Web) に ClassLoader が操作可能な脆弱性 情報源 Japan Vulnerability Notes JVN#30962312 TERASOLUNA Server Framework for Java(Web) において ClassLoader が操作可能な脆弱性 https://jvn.jp/jp/JVN30962312/index.html 概要 TERASOLUNA Server Framework for Java(Web) には、ClassLoader が操作可能 な脆弱性があります。結果として、遠隔の第三者が、当該製品が動作している サーバ上で情報を取得したり、任意のコードを実行したりする可能性がありま す。 対象となるバージョンは以下の通りです。 - TERASOLUNA Server Framework for Java(Web) 2.0.0.1 から 2.0.5.1 まで この問題は、エヌ・ティ・ティ・データが提供する修正済みのバージョンに TERASOLUNA Server Framework for Java(Web) を更新することで解決します。 詳細については、エヌ・ティ・ティ・データが提供する情報を参照して下さい。 関連文書 (日本語) 株式会社エヌ・ティ・ティ・データ Apache Struts1(アパッチ ストラッツワン)の脆弱性に対応した無償版TERASOLUNAR Server Framework for Javaを公開 http://www.nttdata.com/jp/ja/news/information/2014/2014052301.html 【7】F5 ARX Data Manager に SQL インジェクションの脆弱性 情報源 CERT/CC Vulnerability Note VU#210884 F5 ARX Data Manager contains a SQL injection vulnerability https://www.kb.cert.org/vuls/id/210884 概要 F5 ARX Data Manager には、SQL インジェクションの脆弱性があります。結果 として、遠隔の第三者が、当該製品が参照するデータベースに対して、任意の SQL コマンドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - F5 ARX Data Manager 3.0.0 から 3.1.0 まで 2014年6月24日現在、ARX Data Manager 3.x のサポートは終了しています。F5 Networks が提供する情報をもとに、ARX Data Manager の使用を停止してくだ さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91561766 F5 ARX Data Manager に SQL インジェクションの脆弱性 https://jvn.jp/vu/JVNVU91561766/index.html 関連文書 (英語) F5 Networks SOL15310: Data Manager SQL Injection Remote Code Execution vulnerability CVE-2014-2949 http://support.f5.com/kb/en-us/solutions/public/15000/300/sol15310.html F5 Networks SOL14791: End of Software Development for Data Manager 3.x http://support.f5.com/kb/en-us/solutions/public/14000/700/sol14791.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○セキュアライフ2020 7月4日に重要生活機器連携セキュリティ研究会が主催する、「セキュアライフ 2020」というシンポジウムが開催されます。このシンポジウムでは、2020年の 自動車や家電などの生活機器に対する脅威などを想定し、国や業界が行うべき 対策をとりまとめた提言の紹介や、専門家による講演、パネルディスカッショ ンが行われます。JPCERT/CC もこのシンポジウムに参加予定です。 参考文献 (日本語) 重要生活機器連携セキュリティ研究会 セキュアライフ2020 https://www.ccdssg.org/event/2014/20140704.html 重要生活機器連携セキュリティ研究会 公開資料 https://www.ccdssg.org/public_document.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUQHmwAAoJEDF9l6Rp7OBIy6AH/1lSluhnS5aAqhDXGpPyF7n4 I+E+O3S4BBVylgFnJTGHQb8mzlZSZ244Hepxhu3U6F6FieoI8HeHxwehQIBGNRO6 jEOWAYXRxY6SxaPFH8g9N6r/T6oyVZgDKS2m7WWTWGvE31vG8FOyJAvZksdebyfX Boo5NOhPwi1U/Go0d9dq/yZez7YvDn5eGcy+46RBHz4V/uj29esl8Q3WTD67Ticm 1yGXNSqvXGucmmV/G9bt4lVVuVGNrRPrRloUv3gO219aX97o55PQhp3KGVecVyhO 3OqTSdbl2H0cInwL0IpUgGHsw5+JUx3Akff/Pb8q6ictlDJNS8l1wwevanvjRFU= =J00P -----END PGP SIGNATURE-----