-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-3801 JPCERT/CC 2014-10-01 <<< JPCERT/CC WEEKLY REPORT 2014-10-01 >>> ―――――――――――――――――――――――――――――――――――――― ■09/21(日)〜09/27(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】GNU bash に任意のコードが実行可能な脆弱性 【2】Mozilla Network Security Services (NSS) に RSA 署名検証不備の脆弱性 【今週のひとくちメモ】PHP 5.4 系最後のリリース ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr143801.html https://www.jpcert.or.jp/wr/2014/wr143801.xml ============================================================================ 【1】GNU bash に任意のコードが実行可能な脆弱性 情報源 US-CERT Current Activity Bourne Again Shell (Bash) Remote Code Execution Vulnerability https://www.us-cert.gov/ncas/current-activity/2014/09/24/Bourne-Again-Shell-Bash-Remote-Code-Execution-Vulnerability 概要 GNU bash には複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行するなどの可能性があります。 対象となるバージョンは複数存在します。 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに GNU bash を更新することで解決します。詳細については、GNU Project が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97219505 GNU Bash に OS コマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU97219505/index.html JPCERT/CC Alert 2014-09-25 GNU bash の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140037.html 関連文書 (英語) GNU Project bug-bash (thread) https://lists.gnu.org/archive/html/bug-bash/2014-09/threads.html GNU Project GNU Project Archives https://ftp.gnu.org/gnu/bash/ US-CERT Alert (TA14-268A) GNU Bourne Again Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271, CVE-2014-7169) https://www.us-cert.gov/ncas/alerts/TA14-268A 【2】Mozilla Network Security Services (NSS) に RSA 署名検証不備の脆弱性 情報源 US-CERT Current Activity Mozilla Network Security Services (NSS) Library Vulnerability https://www.us-cert.gov/ncas/current-activity/2014/09/24/Mozilla-Network-Security-Services-NSS-Library-Vulnerability 概要 Mozilla Network Security Services (NSS) ライブラリには、RSA 署名検証不 備の脆弱性があります。結果として、遠隔の第三者が、正規の Web サイトを 偽造したり、中間者攻撃を実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - NSS 3.16.2.1 より前のバージョン - NSS 3.16.5 より前のバージョン - NSS 3.17.1 より前のバージョン また、上記のライブラリを使用している以下のソフトウエアが、この問題の影 響をうけることが確認されています。 - Firefox 32.0.3 より前のバージョン - Firefox ESR 24.8.1 より前のバージョン - Firefox ESR 31.1.1 より前のバージョン - Thunderbird 31.1.2 より前のバージョン - Thunderbird 24.8.1 より前のバージョン - SeaMonkey 2.29.1 より前のバージョン - Google Chrome 37.0.2062.124 より前のバージョン - Google Chrome OS 37.0.2062.120 (Platform version: 5978.98.1/5978.98.2) より前のバージョン その他のソフトウエアも、この問題の影響を受ける可能性があります。 この問題は、Mozilla が提供する修正済みのバージョンに NSS ライブラリを 更新する、あるいはソフトウエアベンダが提供する修正済みのバージョンにソ フトウエアを更新することで解決します。詳細については、Mozilla および各 ソフトウエアベンダが提供する情報を参照して下さい。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ 2014-73 http://www.mozilla-japan.org/security/announce/2014/mfsa2014-73.html Japan Vulnerability Notes JVNVU#94190107 Mozilla Network Security Services (NSS) に RSA 署名検証不備の脆弱性 https://jvn.jp/vu/JVNVU94190107/index.html 関連文書 (英語) Chrome Releases Stable Channel Update for Chrome OS http://googlechromereleases.blogspot.jp/2014/09/stable-channel-update-for-chrome-os_24.html Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.jp/2014/09/stable-channel-update_24.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○PHP 5.4 系最後のリリース 2014年9月18日、PHP 5.4 系最後のリリースとなる 5.4.33 が公開されました。 これ以降、5.4 系は約 1年間、セキュリティ対応のみのサポートを行う体制と なります。 PHP 5.4 系においてバグが見つかった場合、修正が行われないため、PHP 5.6 系や、PHP 5.5 系への移行を検討しておくことをお勧めします。 参考文献 (日本語) The PHP Group PHP 5.4.x から PHP 5.5.x への移行 https://www.php.net/manual/ja/migration55.php The PHP Group PHP 5.5.x から PHP 5.6.x への移行 https://php.net/manual/ja/migration56.php 参考文献 (英語) The PHP Group PHP 5.4.33 Released https://php.net/archive/2014.php#id2014-09-18-2 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUQHjzAAoJEDF9l6Rp7OBIhagIAKr+E6N6G8nHOcmikz9nwPKY daPYxpztNSD0gGGOlWk4E6D7ztkQUA9kZQg+hbbMg5Ci7xe8gQ4mB3AOIRQkN4A0 SNKmYLmT0U26rgyHQybvafWixoyoxyxVsvOIxSy/20Rw3FA2b0mYItEzSN/vyrr7 r9oTkAsSkyqfGcxFw/C10hhwm9/s0g5jpmqZj/smyMh01XqhbGBmn8VvpmvL2jiJ wHKOT9bMUqiJgTDQKzHVHWVo0AiiQOSXEMoukSpu/UHxonwxu4Srh47f/cMnomS2 ILVIWoTtGokaT/6NZLe1zp0XWnpd10L0Nc5zQSTtEZL7pOXjyPsrWtZVgjVZk4k= =9j2v -----END PGP SIGNATURE-----