-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-2501 JPCERT/CC 2014-07-02 <<< JPCERT/CC WEEKLY REPORT 2014-07-02 >>> ―――――――――――――――――――――――――――――――――――――― ■06/22(日)〜06/28(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】SpamTitan にクロスサイトスクリプティングの脆弱性 【2】WordPress 用プラグイン Login rebuilder にクロスサイトリクエストフォージェリの脆弱性 【3】Sophos Disk Encryption に認証不備の脆弱性 【4】Web給金帳に複数の脆弱性 【今週のひとくちメモ】PHP のアップデートを確認しましょう ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr142501.html https://www.jpcert.or.jp/wr/2014/wr142501.xml ============================================================================ 【1】SpamTitan にクロスサイトスクリプティングの脆弱性 情報源 CERT/CC Vulnerability Note VU#849500 SpamTitan contains a reflected cross-site scripting (XSS) vulnerability https://www.kb.cert.org/vuls/id/849500 概要 SpamTitan には、クロスサイトスクリプティングの脆弱性があります。結果と して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可 能性があります。 対象となるバージョンは以下の通りです。 - SpamTitan 6.04 より前のバージョン この問題は、SpamTitan が提供する修正済みのバージョンに SpamTitan を更 新することで解決します。詳細については、SpamTitan が提供する情報を参照 して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98724137 SpamTitan にクロスサイトスクリプティングの脆弱性 https://jvn.jp/vu/JVNVU98724137/index.html 【2】WordPress 用プラグイン Login rebuilder にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#05329568 WordPress 用プラグイン Login rebuilder におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN05329568/index.html 概要 WordPress 用プラグイン Login rebuilder には、クロスサイトリクエストフォー ジェリの脆弱性があります。結果として、Wordpress サイトの管理画面にログ インしているユーザに細工したページへのアクセスを行わせることで、遠隔の 第三者が Login rebuilder の設定情報を書き換える可能性があります。 対象となるバージョンは以下の通りです。 - Login rebuilder 1.2.0 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに Login rebuilder を 更新することで解決します。詳細については、開発者が提供する情報を参照し て下さい。 関連文書 (日本語) 12Net 【重要】WordPressプラグイン「Login rebuilder」におけるCSRFの脆弱性対策について https://12net.jp/news/n20140623_01.html 【3】Sophos Disk Encryption に認証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#63940326 Sophos Disk Encryption における認証不備の脆弱性 https://jvn.jp/jp/JVN63940326/index.html 概要 Sophos Disk Encryption には、認証不備の脆弱性があります。結果として、 第三者がコンピュータを操作する可能性があります。 対象となるバージョンは以下の通りです。 - Sophos Enterprise Console (SEC) Ver. 5.1、5.2、5.2.1、5.2.1R2 で管理 される Sophos Disk Encryption 5.61 この問題は、ソフォス株式会社が提供する修正済みのバージョンに Sophos Enterprise Console (SEC) を更新することで解決します。詳細については、 ソフォス株式会社が提供する情報を参照して下さい。 関連文書 (日本語) ソフォス株式会社 Sophos Disk Encryption バージョン 5.61 において、Sophos Enterprise Console から暗号化ポリシーを適用した場合、スリープ状態から復帰する際にパスワード入力を求められない https://www.sophos.com/ja-jp/support/knowledgebase/121066.aspx 【4】Web給金帳に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#80006084 Web給金帳におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN80006084/index.html Japan Vulnerability Notes JVN#36259412 Web給金帳におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN36259412/index.html 概要 Web給金帳には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザが意図していない操作をさせたり、ユーザのブラウザ上で任意のスクリプト を実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Web給金帳 V3 Version 3.0.030 より前のバージョン この問題は、株式会社インターコムが提供する修正済みのバージョンに Web給 金帳を更新することで解決します。詳細については、株式会社インターコムが 提供する情報を参照して下さい。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○PHP のアップデートを確認しましょう 2014年6月26日と27日に、PHP 5.4 系および 5.5 系それぞれのセキュリティ対 応を含むアップデートがリリースされました。また、5.3 系のアップデートは 2013年7月11日リリースの 5.3.27 を最後に、セキュリティ対応のみのサポー トを行う体制となっており、5.4 系あるいは 5.5 系への移行が推奨されてい ます。 この機会に、お使いの PHP のバージョンや運用体制の確認を行うことをおす すめします。 参考文献 (日本語) JPCERT/CC ひとくちメモ PHP 5.3 系最後のリリース https://www.jpcert.or.jp/tips/2013/wr133001.html 参考文献 (英語) News Archive - 2014 PHP 5.5.14 is released https://php.net/archive/2014.php#id2014-06-27-1 News Archive - 2014 PHP 5.4.30 Released https://php.net/archive/2014.php#id2014-06-26-1 News Archive - 2013 PHP 5.3.27 Released - PHP 5.3 Reaching End of Life https://php.net/archive/2013.php#id2013-07-11-1 News Archive - 2013 PHP 5.3.28 Released https://php.net/archive/2013.php#id2013-12-12-2 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTs1viAAoJEDF9l6Rp7OBIOYoIAJmllINCHSW0z6/ojO4QEC/X rkYc6UoSXMBpFP2ShYqSE0GH7vJg0FuvQCf258I5XQn8+9hIJnFNzSysLzk7zDUX w2qbijcK+uA2SW9bDMorC4fSR5Mtf+uU18ka+PpMPjrNFrAeOZQJE/u4enRjpmpq 42q3ewOP/Kn3pnrfAPBPTCx4qGktfj6YK2AcDpAUgboqXfXNa5VOXT+uScvfBF3D SntIOlUFHKDHpOBmAVo+LqjuxF24UuWyn0gsPzH9zi9hAG4UxSWoSGh93gIbSPGK +dxtYMpRxt3YPjvI9MVv1FOYnckrsjJ3jj5FpVwM4jT9SfaGWpF9i3FmtgY0wfI= =4nss -----END PGP SIGNATURE-----