-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-3301 JPCERT/CC 2014-08-27 <<< JPCERT/CC WEEKLY REPORT 2014-08-27 >>> ―――――――――――――――――――――――――――――――――――――― ■08/17(日)〜08/23(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】PHP に複数の脆弱性 【2】Ruby 1.9.2 に脆弱性 【3】WordPress 用テーマ Cakifo にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】SECCON 2014 開催 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr143301.html https://www.jpcert.or.jp/wr/2014/wr143301.xml ============================================================================ 【1】PHP に複数の脆弱性 情報源 PHP Group PHP 5.5.16 is released https://php.net/archive/2014.php#id2014-08-22-1 PHP Group PHP 5.4.32 Released https://php.net/archive/2014.php#id2014-08-21-1 概要 PHP には複数の脆弱性があります。結果として、遠隔の第三者が任意のコード を実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - PHP 5.5.16 より前のバージョン - PHP 5.4.32 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細については、開発者や配布元が提供する情報を参 照して下さい。 関連文書 (英語) PHP Group PHP 5 ChangeLog Version 5.5.16 https://php.net/ChangeLog-5.php#5.5.16 PHP Group PHP 5 ChangeLog Version 5.4.32 https://php.net/ChangeLog-5.php#5.4.32 【2】Ruby 1.9.2 に脆弱性 情報源 Ruby Ruby 1.9.2-p330 リリース https://www.ruby-lang.org/ja/news/2014/08/19/ruby-1.9.2-p330-released/ 概要 Ruby 1.9.2 には脆弱性があります。結果として、遠隔の第三者が、サービス 運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Ruby 1.9.2 系列の p330 より前のバージョン Ruby 1.9.2 は、2014年7月31日でサポート終了とされていましたが、今回、セ キュリティ上致命的な問題があるとして、新たなリリースがなされたものです。 Ruby 1.9.3 については、リリース前に問題が修正されていたため、1.9.3-p0 以降には影響はありません。 この問題は、開発者や配布元が提供する修正済みのバージョンに Ruby 1.9.2 を更新することで解決します。詳細については、開発者や配布元が提供する情 報を参照して下さい。 関連文書 (日本語) Ruby Ruby 1.8.7 および 1.9.2 のサポート終了について https://www.ruby-lang.org/ja/news/2014/07/01/eol-for-1-8-7-and-1-9-2/ 【3】WordPress 用テーマ Cakifo にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#27531188 WordPress 用テーマ Cakifo におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN27531188/index.html 概要 WordPress 用テーマの Cakifo には、クロスサイトスクリプティングの脆弱性 があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスク リプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Cakifo 1.0 から 1.6.1 まで この問題は、開発者が提供する修正済みのバージョンに Cakifo を更新すること で解決します。詳細については、開発者が提供する情報を参照して下さい。 関連文書 (英語) Jayj.dk Cross-site Scripting vulnerability in Cakifo http://jayj.dk/security/JVN27531188.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○SECCON 2014 開催 情報システムに対する攻撃技術や解析能力などのセキュリティ技術を競う大会 SECCON 2014 が開催されます。今年は、9月の横浜大会を皮切りに、その後各地 で地方大会が開催されます。来年2月には、東京で全国大会が開催される予定で す。 このイベントは、所属や年齢を問わず、学生から社会人まで参加することがで きます。興味のある方は、Web サイトの募集要項を参考に応募してみてはいか がでしょうか。 参考文献 (日本語) Security Contest 2014 SECCON 2014 開催大会スケジュール http://2014.seccon.jp/ NPO日本ネットワークセキュリティ協会 日本国内最大のセキュリティコンテスト「SECCON 2014」を実施 http://www.jnsa.org/seccon/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUQHlZAAoJEDF9l6Rp7OBIuS0H/iKd8Zh2Qw+2e1/IXUe0iNDZ xjiHFvrmHLIDwCgehVwDdG2IxNS/eSW273ffguijmzJej1Vsjlmzlu+ksBvUOYBr yewY0neMVkASYjWXKVV5NDMYw5tpysiFjamGrUsTxHIhH+/R0EeJBMTh3YDCFzOA mQNKK+mS5biZfM+Kn9f4HmnJ4Hmn6AKLzQkC/1i8MxM5RTYpyq8US/C8xFUGQga7 3Sb466wH9LzotWCu8xnPUQdkPPN7KyaWsOr8yG66RipYX2S3b5p8zc0O+jrhcHSq 6zDHCmC9LWTqve0JiYGWShSt8NYhkTQn3oZ3ufxYjTDzMeusETlCBLEcaJ14xjo= =98M7 -----END PGP SIGNATURE-----