-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-2701 JPCERT/CC 2014-07-16 <<< JPCERT/CC WEEKLY REPORT 2014-07-16 >>> ―――――――――――――――――――――――――――――――――――――― ■07/06(日)〜07/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】複数の Cisco 製品に OS コマンドが実行される脆弱性 【4】Becky! Internet Mail にバッファオーバーフローの脆弱性 【5】CENTUM を含む複数の YOKOGAWA 製品にバッファオーバーフローの脆弱性 【6】Liferay Portal PCE に複数のクロスサイトスクリプティングの脆弱性 【7】Raritan PX Power Distribution ソフトウエアに認証回避の脆弱性 【今週のひとくちメモ】JNSA セキュリティ被害調査WG 2012年報告書公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr142701.html https://www.jpcert.or.jp/wr/2014/wr142701.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases July 2014 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2014/07/08/Microsoft-Releases-July-2014-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品は以下の通りです。 - Internet Explorer - Microsoft Windows - Microsoft サーバー ソフトウェア この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト株式会社 2014 年 7 月のセキュリティ情報 https://technet.microsoft.com/library/security/ms14-jul 独立行政法人情報処理推進機構 (IPA) Microsoft 製品の脆弱性対策について(2014年7月) https://www.ipa.go.jp/security/ciadr/vul/20140709-ms.html 警察庁 @Police マイクロソフト社のセキュリティ修正プログラムについて(MS14-037,038,039,040,041,042) https://www.npa.go.jp/cyberpolice/topics/?seq=14094 JPCERT/CC Alert 2014-07-09 2014年7月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140028.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player and Air https://www.us-cert.gov/ncas/current-activity/2014/07/08/Adobe-Releases-Security-Updates-Flash-Player-and-Air 概要 Adobe の Flash Player および Air には、複数の脆弱性があります。結果と して、遠隔の第三者が、任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 14.0.0.125 およびそれ以前 (Windows、Macintosh 版) - Adobe Flash Player 11.2.202.378 およびそれ以前 (Linux 版) - Adobe AIR 14.0.0.110 SDK およびそれ以前 - Adobe AIR 14.0.0.110 SDK & Compiler およびそれ以前 - Adobe AIR 14.0.0.110 およびそれ以前 (Android 版) この問題は、Adobe が提供する修正済みのバージョンに Flash Player および Air を更新することで解決します。詳細については、Adobe が提供する情報を 参照して下さい。 関連文書 (日本語) Adobeセキュリティ情報 Adobe Flash Player用のセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb14-17.html 警察庁 @Police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=14101 独立行政法人情報処理推進機構 (IPA) Adobe Flash Player の脆弱性対策について(APSB14-17)(CVE-2014-4671等) https://www.ipa.go.jp/security/ciadr/vul/20140709-adobeflashplayer.html JPCERT/CC Alert 2014-07-09 Adobe Flash Player の脆弱性 (APSB14-17) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140029.html 【3】複数の Cisco 製品に OS コマンドが実行される脆弱性 情報源 US-CERT Current Activity Cisco Addresses Apache Struts 2 Vulnerability https://www.us-cert.gov/ncas/current-activity/2014/07/09/CISCO-Addresses-Apache-Struts-2-Vulnerability 概要 複数の Cisco 製品に含まれる Apache Struts 2 には、OS コマンドが実行さ れる脆弱性があります。結果として、遠隔の第三者が、管理者権限で任意のコ ードを実行する可能性があります。 対象となる製品は以下の通りです。 - Cisco Business Edition 3000 Series - Cisco Identity Services Engine (ISE) - Cisco Media Experience Engine (MXE) 3500 Series - Cisco Unified Contact Center Enterprise (Cisco Unified CCE) この問題は、Cisco が提供する修正済みのバージョンに該当する製品のソフト ウエアを更新することで解決します。詳細については、Cisco が提供する情報 を参照して下さい。 関連文書 (英語) Cisco Security Advisory Apache Struts 2 Command Execution Vulnerability in Multiple Cisco Products http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140709-struts2 【4】Becky! Internet Mail にバッファオーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVN#35376006 Becky! Internet Mail におけるバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN35376006/index.html 概要 Becky! Internet Mail には、POP3 サーバからのレスポンスの処理に起因する バッファオーバーフローの脆弱性があります。結果として、遠隔の第三者が、 細工したレスポンスを当該製品で受信させることにより、任意のコードを実行 する可能性があります。 対象となるバージョンは以下の通りです。 - Becky! Internet Mail Ver.2.67 およびそれ以前 この問題は、有限会社リムアーツが提供する修正済みのバージョンに Becky! Internet Mail を更新することで解決します。詳細については、有限会社リム アーツが提供する情報を参照して下さい。 関連文書 (日本語) 有限会社リムアーツ セキュリティアップデート(2014/07/07) http://www.rimarts.co.jp/index-j.html 【5】CENTUM を含む複数の YOKOGAWA 製品にバッファオーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVNVU#95045914 CENTUM を含む複数の YOKOGAWA 製品にバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU95045914/index.html 概要 CENTUM を含む複数の YOKOGAWA 製品には、バッファオーバーフローの脆弱性 があります。結果として、遠隔の第三者が、プロセスを停止させたり、当該製 品を実行しているユーザの権限で任意のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - CENTUM CS 1000 - CENTUM CS 3000 - CENTUM CS 3000 Small - CENTUM VP - CENTUM VP Small - CENTUM VP Basic - Exaopc - B/M9000CS - B/M9000 VP この問題は、横河電機株式会社が提供する更新プログラムを該当する製品に適 用することで解決します。詳細については、横河電機株式会社が提供する情報 を参照して下さい。 関連文書 (日本語) 横河電機株式会社 YSAR-14-0002: CENTUM と Exaopc にバッファオーバーフローの脆弱性 https://www.yokogawa.co.jp/dcs/security/ysar/YSAR-14-0002.pdf 【6】Liferay Portal PCE に複数のクロスサイトスクリプティングの脆弱性 情報源 CERT/CC Vulnerability Note VU#100972 Liferay Portal PCE contains multiple cross-site scripting vulnerabilities https://www.kb.cert.org/vuls/id/100972 概要 Liferay Portal PCE には、複数のクロスサイトスクリプティングの脆弱性が あります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリ プトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Liferay Portal 6.1.2 CE GA3 - Liferay Portal 6.1.X EE - Liferay Portal 6.2.X EE この問題は、Liferay が提供する修正済みのバージョンに Liferay Portal PCE を更新することで解決します。詳細については、Liferay が提供する情報 を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98939460 Liferay Portal に複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/vu/JVNVU98939460/index.html 【7】Raritan PX Power Distribution ソフトウエアに認証回避の脆弱性 情報源 CERT/CC Vulnerability Note VU#712660 Raritian PX power distribution software is vulnerable to the cipher zero attack https://www.kb.cert.org/vuls/id/712660 概要 Raritan PX Power Distribution ソフトウエアには、認証回避の脆弱性があり ます。結果として、遠隔の第三者が、ログインしたアカウントの権限で当該製 品を操作する可能性があります。 対象となるバージョンは以下の通りです。 - Raritan PX Power Distribution ソフトウエアバージョン 01.05.08 および それ以前 この問題は、Raritan が提供する修正済みのバージョンに Raritan PX Power Distribution ソフトウエアを更新することで解決します。詳細については、 Raritan が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94415561 Raritan PX Power Distribution ソフトウェアに cipher zero 攻撃を受ける脆弱性 https://jvn.jp/vu/JVNVU94415561/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JNSA セキュリティ被害調査WG 2012年報告書公開 2014年7月7日、JNSA セキュリティ被害調査WG は、2012年に新聞やインターネッ トニュースなどで報道された個人情報漏えい事件・事故の情報を集計し、分析 を行った報告書を公開しました。 この報告書では、漏えいした組織の種類や漏えい経路などの評価を行い、独自 の算定式による想定損害賠償額を算出しています。また、2005年から 2012年 までの 8年間のデータを使用した分析なども行われています。 参考文献 (日本語) 日本ネットワークセキュリティ協会 (JNSA) 「2012年 情報セキュリティインシデントに関する調査報告書」 http://www.jnsa.org/result/incident/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTxdK0AAoJEDF9l6Rp7OBIb3IH/3k5hPDaBsex8jCdreRGJwWD Gs3kTv0m62HR/Aggkyp2nq+A7cDX2xFTdhCX0apKj5Nj8wAR4Pu/i1NsAj8Y01Tn OrXTqrH9UmIPy2wwaPyUlpynzkN6iazVz8aBz3xqi8UuIG333T7tAgYHnoAhnLYA e2GkTwxpkzMhlLjWLpN1iLBdv6GYKg1qucDllFW6mRM1shaVQJoHgniUzwq4FOPV wuOU+t7kJaqbAzr08DeiW9pt3xykURYQu4lXahtHKslbxS+Hze02eni8xg5dlyoC LQjrcd0N/mYWbmq6p9MWtOXV4aU2hN9DBLXtDYwofJ3tP6R7ootu0tP9OsTca0A= =0cb3 -----END PGP SIGNATURE-----