-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-3901 JPCERT/CC 2014-10-08 <<< JPCERT/CC WEEKLY REPORT 2014-10-08 >>> ―――――――――――――――――――――――――――――――――――――― ■09/28(日)〜10/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】「GNU bash に任意のコードが実行可能な脆弱性」に関する追加情報 【2】Xen にサービス運用妨害 (DoS) の脆弱性 【3】HP システム マネジメント ホームページにクロスサイトスクリプティングの脆弱性 【4】Brocade Vyatta 5400 vRouter に複数の脆弱性 【5】Joomla! に複数の脆弱性 【今週のひとくちメモ】10月は「情報セキュリティ国際キャンペーン」 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr143901.html https://www.jpcert.or.jp/wr/2014/wr143901.xml ============================================================================ 【1】「GNU bash に任意のコードが実行可能な脆弱性」に関する追加情報 情報源 JPCERT/CC Alert 2014-09-25 GNU bash の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140037.html 概要 JPCERT/CC WEEKLY REPORT 2014-10-01 号【1】で紹介した「GNU bash に任意の コードが実行可能な脆弱性」に関する追加情報です。 GNU Project から脆弱性を修正したバージョンの GNU bash が公開されました。 修正済みの最新バージョンは以下の通りです。 - Bash 4.3 Patch 30 - Bash 4.2 Patch 53 - Bash 4.1 Patch 17 - Bash 4.0 Patch 44 - Bash 3.2 Patch 57 - Bash 3.1 Patch 23 - Bash 3.0 Patch 22 - Bash 2.05b Patch 13 詳細については、使用している OS のベンダや配布元、または GNU Project が提供する情報を参照して下さい。 関連文書 (日本語) 警察庁 Bashの脆弱性を標的としたアクセスの観測について https://www.npa.go.jp/cyberpolice/detect/pdf/20140925-2.pdf JPCERT/CC WEEKLY REPORT 2014-10-01 GNU bash に任意のコードが実行可能な脆弱性 https://www.jpcert.or.jp/wr/2014/wr143801.html#1 Japan Vulnerability Notes JVNVU#97219505 GNU Bash に OS コマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU97219505/index.html 関連文書 (英語) GNU Project bug-bash (thread) https://lists.gnu.org/archive/html/bug-bash/2014-10/threads.html Apple security updates About OS X bash Update 1.0 http://support.apple.com/kb/HT6495 QNAP QNAP Releases New QTS for Turbo NAS with Official GNU Bash Patch Update http://www.qnap.com/jp/index.php?lang=jp&sn=727&c=3042&sc=&n=22478 【2】Xen にサービス運用妨害 (DoS) の脆弱性 情報源 Amazon Web Services ブログ EC2メンテナンスアップデートに関して http://aws.typepad.com/aws_japan/2014/09/ec2mente.html Amazon Web Services ブログ EC2メンテナンスについての続報 http://aws.typepad.com/aws_japan/2014/10/ec2ment-update.html 概要 Xen には、サービス運用妨害 (DoS) の脆弱性があります。結果として、ゲスト OS のユーザが、ホスト OS に対してサービス運用妨害 (DoS) 攻撃を行ったり、 他のゲスト OS のデータを読み取ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Xen 4.1.x - Xen 4.2.x - Xen 4.3.x - Xen 4.4.x この問題は、Xen Project が提供するパッチを Xen に適用することで解決しま す。詳細については、Xen Project が提供する情報を参照して下さい。 関連文書 (英語) Xen Security Advisory XSA-108 Improper MSR range used for x2APIC emulation http://xenbits.xen.org/xsa/advisory-108.html Xen Project Blog XSA-108: Additional Information from the Xen Project https://blog.xenproject.org/2014/10/02/xsa-108-additional-information-from-the-xen-project-2/ 【3】HP システム マネジメント ホームページにクロスサイトスクリプティングの脆弱性 情報源 CERT/CC Vulnerability Note VU#125228 HP System Management Homepage vulnerable to cross-site scripting https://www.kb.cert.org/vuls/id/125228 概要 HP システム マネジメント ホームページには、クロスサイトスクリプティン グの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で 任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - HP システム マネジメント ホームページ 7.2.3 - HP システム マネジメント ホームページ 7.3.2.1 この問題は、HP が提供する修正済みのバージョンに HP システム マネジメン ト ホームページを更新することで解決します。詳細については、HP が提供す る情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94561812 HP System Management Homepage (SMH) にクロスサイトスクリプティングの脆弱性 https://jvn.jp/vu/JVNVU94561812/ 関連文書 (英語) HP SECURITY BULLETIN HPSBMU03112 rev.1 - HP System Management Homepage (SMH) on Linux and Windows, Multiple Vulnerabilities https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04463322 【4】Brocade Vyatta 5400 vRouter に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#111588 Brocade Vyatta 5400 vRouter contains multiple vulnerabilities https://www.kb.cert.org/vuls/id/111588 概要 Brocade Vyatta 5400 vRouter には、複数の脆弱性があります。結果として、 遠隔の第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Brocade Vyatta 5400 vRouter versions 6.4R(x) - Brocade Vyatta 5400 vRouter versions 6.6R(x) - Brocade Vyatta 5400 vRouter versions 6.7R1 2014年10月6日現在、対策済みのバージョンは公開されていません。以下の回避 策を適用することで、本脆弱性の影響を軽減することが可能です。 - デフォルトのシステムユーザ名およびパスワードを変更する - Brocade Vyatta 5400 vRouter へのアクセスに関して組織内ポリシーを設け る - Brocade Vyatta 5400 vRouter におけるルールベースアクセス制御 (RBAC) を見直し、root アクセスを削除する 関連文書 (日本語) Brocade Brocade Vyatta 5400 vRouter http://www.brocadejapan.com/products/network-functions-virtualization/5400-vrouter/overview Japan Vulnerability Notes JVNVU#98637322 Brocade Vyatta 5400 vRouter に複数の脆弱性 https://jvn.jp/vu/JVNVU98637322/ 【5】Joomla! に複数の脆弱性 情報源 Joomla! Developer Network [20140903] - Core - Remote File Inclusion http://developer.joomla.org/security/595-20140903-core-remote-file-inclusion.html Joomla! Developer Network [20140904] - Core - Denial of Service http://developer.joomla.org/security/596-20140904-core-denial-of-service.html 概要 Joomla! には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Joomla! 2.5.4 から 2.5.25 まで - Joomla! 3.2.5 およびそれ以前 - Joomla! 3.3.0 から 3.3.4 まで この問題は、Joomla! が提供する修正済みのバージョンに更新することで解決 します。詳細については、Joomla! が提供する情報を参照して下さい。 関連文書 (日本語) Joomla! JAPAN Joomla! 3.3.5リリース http://joomla.jp/news/release-news/241-release-joomla-335.html Joomla! JAPAN Joomla! 2.5.26 リリース http://joomla.jp/news/release-news/242-release-joomla-2526.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○10月は「情報セキュリティ国際キャンペーン」 内閣官房情報セキュリティセンター (NISC) は 10月1日、「情報セキュリティ 国際キャンペーン」を開始しました。このキャンペーンは、毎年 2月に開催し ている「情報セキュリティ月間」に加えて、国際連携推進や情報セキュリティ の普及啓発活動を行うために、2012年から毎年 10月に実施されています。キャ ンペーン中は、様々な関連行事が開催される予定です。 また、10月は米国において National Cyber Security Awareness Month、欧 州において European Cyber Security Month (ECSM) として同様の普及啓発活 動が行われています。 参考文献 (日本語) 内閣官房情報セキュリティセンター 情報セキュリティ国際キャンペーン http://www.nisc.go.jp/security-site/campaign/index.html 内閣官房情報セキュリティセンター 情報セキュリティ国際キャンペーン ASEANにおける取組 http://www.nisc.go.jp/security-site/campaign/asean.html 参考文献 (英語) Homeland Security National Cyber Security Awareness Month 2014 https://www.dhs.gov/national-cyber-security-awareness-month-2014 European Network and Information Security Agency Countries aligned for the deployment of the European Cyber Security Month https://www.enisa.europa.eu/media/press-releases/countries-aligned-for-the-deployment-of-the-european-cyber-security-month ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUQHijAAoJEDF9l6Rp7OBIm7IH/3ip40ppR5zGqoTmQwsuWkDq FWItc4sFW9YdrGPzceNzFdacY1yeGtKBVO0pyuchhhJfRzZtHCxKvXLfG127WZW4 5FvMV/k6g1EDeZucNwcTwZhfejdxG9u/3uVh7TiqoRN2PDFcl1PGAzqmqyvoc/49 wTACSecIVyWVEhkSEJkEcS8GyuX9JCYzr192sAWhXwMwfaNxmxR8senOoQ0mmWN1 kMLp7RtSwUvVv/++BxpJkT11UIy/6bq0BBnUsm9Ji5D6adjBzTKnhRw5AJBQ4NNT 1paXqgoNIPTZwMW+cjKSA2evl8icwIzqaeXhbAuvC0y5VKAOR3wLJEpEvNohpY4= =iiPI -----END PGP SIGNATURE-----