JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2014 > Weekly Report 2014-07-16号

最終更新: 2014-07-16

Weekly Report 2014-07-16号


JPCERT-WR-2014-2701
JPCERT/CC
2014-07-16

<<< JPCERT/CC WEEKLY REPORT 2014-07-16 >>>

■07/06(日)〜07/12(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】複数の Cisco 製品に OS コマンドが実行される脆弱性

【4】Becky! Internet Mail にバッファオーバーフローの脆弱性

【5】CENTUM を含む複数の YOKOGAWA 製品にバッファオーバーフローの脆弱性

【6】Liferay Portal PCE に複数のクロスサイトスクリプティングの脆弱性

【7】Raritan PX Power Distribution ソフトウエアに認証回避の脆弱性

【今週のひとくちメモ】JNSA セキュリティ被害調査WG 2012年報告書公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr142701.txt
https://www.jpcert.or.jp/wr/2014/wr142701.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases July 2014 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2014/07/08/Microsoft-Releases-July-2014-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品は以下の通りです。

- Internet Explorer
- Microsoft Windows
- Microsoft サーバー ソフトウェア

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細については、Microsoft が提供する情報を参照して下さい。

関連文書 (日本語)

マイクロソフト株式会社
2014 年 7 月のセキュリティ情報
https://technet.microsoft.com/library/security/ms14-jul

独立行政法人情報処理推進機構 (IPA)
Microsoft 製品の脆弱性対策について(2014年7月)
https://www.ipa.go.jp/security/ciadr/vul/20140709-ms.html

警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS14-037,038,039,040,041,042)
https://www.npa.go.jp/cyberpolice/topics/?seq=14094

JPCERT/CC Alert 2014-07-09
2014年7月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140028.html

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Flash Player and Air
https://www.us-cert.gov/ncas/current-activity/2014/07/08/Adobe-Releases-Security-Updates-Flash-Player-and-Air

概要

Adobe の Flash Player および Air には、複数の脆弱性があります。結果と
して、遠隔の第三者が、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player 14.0.0.125 およびそれ以前 (Windows、Macintosh 版)
- Adobe Flash Player 11.2.202.378 およびそれ以前 (Linux 版)
- Adobe AIR 14.0.0.110 SDK およびそれ以前
- Adobe AIR 14.0.0.110 SDK & Compiler およびそれ以前
- Adobe AIR 14.0.0.110 およびそれ以前 (Android 版)

この問題は、Adobe が提供する修正済みのバージョンに Flash Player および
Air を更新することで解決します。詳細については、Adobe が提供する情報を
参照して下さい。

関連文書 (日本語)

Adobeセキュリティ情報
Adobe Flash Player用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb14-17.html

警察庁 @Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=14101

独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性対策について(APSB14-17)(CVE-2014-4671等)
https://www.ipa.go.jp/security/ciadr/vul/20140709-adobeflashplayer.html

JPCERT/CC Alert 2014-07-09
Adobe Flash Player の脆弱性 (APSB14-17) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140029.html

【3】複数の Cisco 製品に OS コマンドが実行される脆弱性

情報源

US-CERT Current Activity
Cisco Addresses Apache Struts 2 Vulnerability
https://www.us-cert.gov/ncas/current-activity/2014/07/09/CISCO-Addresses-Apache-Struts-2-Vulnerability

概要

複数の Cisco 製品に含まれる Apache Struts 2 には、OS コマンドが実行さ
れる脆弱性があります。結果として、遠隔の第三者が、管理者権限で任意のコ
ードを実行する可能性があります。

対象となる製品は以下の通りです。

- Cisco Business Edition 3000 Series
- Cisco Identity Services Engine (ISE)
- Cisco Media Experience Engine (MXE) 3500 Series
- Cisco Unified Contact Center Enterprise (Cisco Unified CCE)

この問題は、Cisco が提供する修正済みのバージョンに該当する製品のソフト
ウエアを更新することで解決します。詳細については、Cisco が提供する情報
を参照して下さい。

関連文書 (英語)

Cisco Security Advisory
Apache Struts 2 Command Execution Vulnerability in Multiple Cisco Products
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140709-struts2

【4】Becky! Internet Mail にバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#35376006
Becky! Internet Mail におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN35376006/index.html

概要

Becky! Internet Mail には、POP3 サーバからのレスポンスの処理に起因する
バッファオーバーフローの脆弱性があります。結果として、遠隔の第三者が、
細工したレスポンスを当該製品で受信させることにより、任意のコードを実行
する可能性があります。

対象となるバージョンは以下の通りです。

- Becky! Internet Mail Ver.2.67 およびそれ以前

この問題は、有限会社リムアーツが提供する修正済みのバージョンに Becky!
Internet Mail を更新することで解決します。詳細については、有限会社リム
アーツが提供する情報を参照して下さい。

関連文書 (日本語)

有限会社リムアーツ
セキュリティアップデート(2014/07/07)
http://www.rimarts.co.jp/index-j.html

【5】CENTUM を含む複数の YOKOGAWA 製品にバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVNVU#95045914
CENTUM を含む複数の YOKOGAWA 製品にバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU95045914/index.html

概要

CENTUM を含む複数の YOKOGAWA 製品には、バッファオーバーフローの脆弱性
があります。結果として、遠隔の第三者が、プロセスを停止させたり、当該製
品を実行しているユーザの権限で任意のコードを実行する可能性があります。

対象となる製品は以下の通りです。

- CENTUM CS 1000
- CENTUM CS 3000
- CENTUM CS 3000 Small
- CENTUM VP
- CENTUM VP Small
- CENTUM VP Basic
- Exaopc
- B/M9000CS
- B/M9000 VP

この問題は、横河電機株式会社が提供する更新プログラムを該当する製品に適
用することで解決します。詳細については、横河電機株式会社が提供する情報
を参照して下さい。

関連文書 (日本語)

横河電機株式会社
YSAR-14-0002: CENTUM と Exaopc にバッファオーバーフローの脆弱性
https://www.yokogawa.co.jp/dcs/security/ysar/YSAR-14-0002.pdf

【6】Liferay Portal PCE に複数のクロスサイトスクリプティングの脆弱性

情報源

CERT/CC Vulnerability Note VU#100972
Liferay Portal PCE contains multiple cross-site scripting vulnerabilities
https://www.kb.cert.org/vuls/id/100972

概要

Liferay Portal PCE には、複数のクロスサイトスクリプティングの脆弱性が
あります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリ
プトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Liferay Portal 6.1.2 CE GA3
- Liferay Portal 6.1.X EE
- Liferay Portal 6.2.X EE

この問題は、Liferay が提供する修正済みのバージョンに Liferay Portal
PCE を更新することで解決します。詳細については、Liferay が提供する情報
を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98939460
Liferay Portal に複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU98939460/index.html

【7】Raritan PX Power Distribution ソフトウエアに認証回避の脆弱性

情報源

CERT/CC Vulnerability Note VU#712660
Raritian PX power distribution software is vulnerable to the cipher zero attack
https://www.kb.cert.org/vuls/id/712660

概要

Raritan PX Power Distribution ソフトウエアには、認証回避の脆弱性があり
ます。結果として、遠隔の第三者が、ログインしたアカウントの権限で当該製
品を操作する可能性があります。

対象となるバージョンは以下の通りです。

- Raritan PX Power Distribution ソフトウエアバージョン 01.05.08 および
  それ以前

この問題は、Raritan が提供する修正済みのバージョンに Raritan PX Power
Distribution ソフトウエアを更新することで解決します。詳細については、
Raritan が提供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#94415561
Raritan PX Power Distribution ソフトウェアに cipher zero 攻撃を受ける脆弱性
https://jvn.jp/vu/JVNVU94415561/index.html

■今週のひとくちメモ

○JNSA セキュリティ被害調査WG 2012年報告書公開

2014年7月7日、JNSA セキュリティ被害調査WG は、2012年に新聞やインターネッ
トニュースなどで報道された個人情報漏えい事件・事故の情報を集計し、分析
を行った報告書を公開しました。

この報告書では、漏えいした組織の種類や漏えい経路などの評価を行い、独自
の算定式による想定損害賠償額を算出しています。また、2005年から 2012年
までの 8年間のデータを使用した分析なども行われています。

参考文献 (日本語)

日本ネットワークセキュリティ協会 (JNSA)
「2012年 情報セキュリティインシデントに関する調査報告書」
http://www.jnsa.org/result/incident/index.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english