-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-3401 JPCERT/CC 2014-09-03 <<< JPCERT/CC WEEKLY REPORT 2014-09-03 >>> ―――――――――――――――――――――――――――――――――――――― ■08/24(日)〜08/30(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】「複数の Microsoft 製品に脆弱性」に関する追加情報 【2】WordPress 用プラグイン MailPoet Newsletters にクロスサイトリクエストフォージェリの脆弱性 【3】Android 版 Kindle に SSL サーバ証明書の検証不備の脆弱性 【今週のひとくちメモ】IPA テクニカルウォッチ「ウェブサイト改ざんの脅威と対策」が公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr143401.html https://www.jpcert.or.jp/wr/2014/wr143401.xml ============================================================================ 【1】「複数の Microsoft 製品に脆弱性」に関する追加情報 情報源 マイクロソフト 日本のセキュリティチーム [MS14-045] 更新プログラム 2982791 の問題を解決する更新プログラム 2993651 を公開 http://blogs.technet.com/b/jpsecurity/archive/2014/08/28/ms14-045-re-released-2993651.aspx 概要 JPCERT/CC WEEKLY REPORT 2014-08-20 号【1】で紹介した「複数の Microsoft 製品に脆弱性」に関する追加情報です。 Microsoft は2014年8月13日にセキュリティ更新プログラムを公開しましたが、 一部の環境において問題が報告されていたため、その問題を修正した新たなセ キュリティ更新プログラムを公開しました。詳細については、Microsoft が提 供する情報を参照して下さい。 関連文書 (日本語) JPCERT/CC WEEKLY REPORT 2014-08-20 複数の Microsoft 製品に脆弱性 https://www.jpcert.or.jp/wr/2014/wr143201.html#1 【2】WordPress 用プラグイン MailPoet Newsletters にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#94409737 WordPress 用プラグイン MailPoet Newsletters におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN94409737/index.html 概要 WordPress 用プラグイン MailPoet Newsletters には、クロスサイトリクエス トフォージェリの脆弱性があります。結果として、遠隔の第三者が、 Wordpress サイトの管理画面にログインしているユーザに、細工したページへ のアクセスを行わせることで、ユーザが意図していない操作をさせる可能性が あります。 対象となるバージョンは以下の通りです。 - MailPoet Newsletters 2.6.10 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに MailPoet Newsletters を更新することで解決します。詳細については、開発者が提供す る情報を参照して下さい。 関連文書 (英語) MailPoet MailPoet Newsletters Changelog https://wordpress.org/plugins/wysija-newsletters/changelog/ 【3】Android 版 Kindle に SSL サーバ証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#17637243 Android 版アプリ Kindle における SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN17637243/index.html 概要 Android 版 Kindle には、SSL サーバ証明書の検証不備の脆弱性があります。 結果として、遠隔の第三者が、中間者攻撃を行なうことによって、暗号通信を 盗聴する可能性があります。 対象となるバージョンは以下の通りです。 - Android 版 Kindle 4.5.0 より前のバージョン この問題は、Amazon.com, Inc. が提供する修正済みのバージョンに Android 版 Kindle を更新することで解決します。詳細については、Amazon.com, Inc. が提供する情報を参照して下さい。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA テクニカルウォッチ「ウェブサイト改ざんの脅威と対策」が公開 2014年8月29日、IPA (独立行政法人情報処理推進機構) から、IPA テクニカル ウォッチ「ウェブサイト改ざんの脅威と対策」が公開されました。この文書で は、最近確認されている改ざんの手口を 4つに分類し、それぞれに対してウェ ブサイト運営者や組織の経営者などが、各工程で行うべき対策を解説していま す。また、自組織がどこまでウェブサイトのセキュリティ対策を行っているの かを確認するためのチェックリストも掲載しています。 ウェブサイトを運営されている方は、一度確認されてみてはいかがでしょうか。 参考文献 (日本語) 独立行政法人情報処理推進機構 (IPA) IPAテクニカルウォッチ「ウェブサイト改ざんの脅威と対策」 https://www.ipa.go.jp/security/technicalwatch/20140829.html 独立行政法人情報処理推進機構 (IPA) プレス発表 注意喚起「ウェブサイトの改ざん回避のために早急な対策を」 https://www.ipa.go.jp/about/press/20140813.html JPCERT/CC からのお知らせ 注意喚起「ウェブサイトの改ざん回避のために早急な対策を」 https://www.jpcert.or.jp/pr/2014/pr140003.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUQHlIAAoJEDF9l6Rp7OBIzxwH/3WtccSzJ5WfAjtOLNo2KBnZ sUP6R4YZkSxgCQm0UxjUpFjHPCfZLhL5CByWqh7DLdHMpWMcBztrQtafdK0SY/hP k1X01m1UsIEkFPxIH2AutjIxhbcQHqFHbi0HOuXinFUVOSkxtzMpr+7QyFU+TTDW PhPQtrlccccEADCvDUUEl+H9vOietZaC8+rEffV7OdzFwHQZ4ZGxNcj0+uVzd/C3 M2hpVZ2+yi+oGzpqcYrLzSWQlvbuIIBvXAOScx3pIIMTLbJwS3pcu27eSXklFeOe s/Yz4KJDwgnbgfth3psBcm0fQoXForjNCsjAIiLlZUxXfHuhhhf39z4cabBZoTg= =giKE -----END PGP SIGNATURE-----