JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2014 > Weekly Report 2014-07-02号

最終更新: 2014-07-02

Weekly Report 2014-07-02号


JPCERT-WR-2014-2501
JPCERT/CC
2014-07-02

<<< JPCERT/CC WEEKLY REPORT 2014-07-02 >>>

■06/22(日)〜06/28(土) のセキュリティ関連情報

目 次

【1】SpamTitan にクロスサイトスクリプティングの脆弱性

【2】WordPress 用プラグイン Login rebuilder にクロスサイトリクエストフォージェリの脆弱性

【3】Sophos Disk Encryption に認証不備の脆弱性

【4】Web給金帳に複数の脆弱性

【今週のひとくちメモ】PHP のアップデートを確認しましょう

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr142501.txt
https://www.jpcert.or.jp/wr/2014/wr142501.xml

【1】SpamTitan にクロスサイトスクリプティングの脆弱性

情報源

CERT/CC Vulnerability Note VU#849500
SpamTitan contains a reflected cross-site scripting (XSS) vulnerability
https://www.kb.cert.org/vuls/id/849500

概要

SpamTitan には、クロスサイトスクリプティングの脆弱性があります。結果と
して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可
能性があります。

対象となるバージョンは以下の通りです。

- SpamTitan 6.04 より前のバージョン

この問題は、SpamTitan が提供する修正済みのバージョンに SpamTitan を更
新することで解決します。詳細については、SpamTitan が提供する情報を参照
して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98724137
SpamTitan にクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU98724137/index.html

【2】WordPress 用プラグイン Login rebuilder にクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#05329568
WordPress 用プラグイン Login rebuilder におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN05329568/index.html

概要

WordPress 用プラグイン Login rebuilder には、クロスサイトリクエストフォー
ジェリの脆弱性があります。結果として、Wordpress サイトの管理画面にログ
インしているユーザに細工したページへのアクセスを行わせることで、遠隔の
第三者が Login rebuilder の設定情報を書き換える可能性があります。

対象となるバージョンは以下の通りです。

- Login rebuilder 1.2.0 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに Login rebuilder を
更新することで解決します。詳細については、開発者が提供する情報を参照し
て下さい。

関連文書 (日本語)

12Net
【重要】WordPressプラグイン「Login rebuilder」におけるCSRFの脆弱性対策について
https://12net.jp/news/n20140623_01.html

【3】Sophos Disk Encryption に認証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#63940326
Sophos Disk Encryption における認証不備の脆弱性
https://jvn.jp/jp/JVN63940326/index.html

概要

Sophos Disk Encryption には、認証不備の脆弱性があります。結果として、
第三者がコンピュータを操作する可能性があります。

対象となるバージョンは以下の通りです。

- Sophos Enterprise Console (SEC) Ver. 5.1、5.2、5.2.1、5.2.1R2 で管理
  される Sophos Disk Encryption 5.61

この問題は、ソフォス株式会社が提供する修正済みのバージョンに Sophos
Enterprise Console (SEC) を更新することで解決します。詳細については、
ソフォス株式会社が提供する情報を参照して下さい。

関連文書 (日本語)

ソフォス株式会社
Sophos Disk Encryption バージョン 5.61 において、Sophos Enterprise Console から暗号化ポリシーを適用した場合、スリープ状態から復帰する際にパスワード入力を求められない
https://www.sophos.com/ja-jp/support/knowledgebase/121066.aspx

【4】Web給金帳に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#80006084
Web給金帳におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN80006084/index.html

Japan Vulnerability Notes JVN#36259412
Web給金帳におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN36259412/index.html

概要

Web給金帳には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザが意図していない操作をさせたり、ユーザのブラウザ上で任意のスクリプト
を実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Web給金帳 V3 Version 3.0.030 より前のバージョン

この問題は、株式会社インターコムが提供する修正済みのバージョンに Web給
金帳を更新することで解決します。詳細については、株式会社インターコムが
提供する情報を参照して下さい。

■今週のひとくちメモ

○PHP のアップデートを確認しましょう

2014年6月26日と27日に、PHP 5.4 系および 5.5 系それぞれのセキュリティ対
応を含むアップデートがリリースされました。また、5.3 系のアップデートは 
2013年7月11日リリースの 5.3.27 を最後に、セキュリティ対応のみのサポー
トを行う体制となっており、5.4 系あるいは 5.5 系への移行が推奨されてい
ます。

この機会に、お使いの PHP のバージョンや運用体制の確認を行うことをおす
すめします。

参考文献 (日本語)

JPCERT/CC ひとくちメモ
PHP 5.3 系最後のリリース
https://www.jpcert.or.jp/tips/2013/wr133001.html

参考文献 (英語)

News Archive - 2014
PHP 5.5.14 is released
https://php.net/archive/2014.php#id2014-06-27-1

News Archive - 2014
PHP 5.4.30 Released
https://php.net/archive/2014.php#id2014-06-26-1

News Archive - 2013
PHP 5.3.27 Released - PHP 5.3 Reaching End of Life
https://php.net/archive/2013.php#id2013-07-11-1

News Archive - 2013
PHP 5.3.28 Released
https://php.net/archive/2013.php#id2013-12-12-2

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ