JPCERT-WR-2014-4301
2014-11-06
2014-10-26
2014-11-01
GNU Wget にシンボリックリンクの扱いに関する問題
GNU Wget には、シンボリックリンクの扱いに関する問題があります。結果と
して、遠隔の第三者が、細工した FTP サーバから再帰的にファイルのダウン
ロードを行わせることで、ユーザのローカルシステム上に任意のファイルを
作成したり上書きしたりする可能性があります。
対象となるバージョンは以下の通りです。
- GNU Wget 1.16 より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みのバージ
ョンに GNU Wget を更新することで解決します。また、以下の回避策を適用す
ることで、本問題の影響を軽減することが可能です。
- retr-symlinks オプションを使用する
詳細については、使用している OS のベンダや配布元が提供する情報を参照し
て下さい。
Japan Vulnerability Notes JVNVU#98581917
GNU Wget にシンボリックリンクの扱いに関する問題
https://jvn.jp/vu/JVNVU98581917/
GNU Project
GNU Wget - News : GNU wget 1.16 released
https://savannah.gnu.org/forum/forum.php?forum_id=8133
Rapid7
R7-2014-15: GNU Wget FTP Symlink Arbitrary Filesystem Access
https://community.rapid7.com/community/metasploit/blog/2014/10/28/r7-2014-15-gnu-wget-ftp-symlink-arbitrary-filesystem-access
Ruby に複数の脆弱性
Ruby には、複数の脆弱性があります。結果として、遠隔の第三者が、サービ
ス運用妨害 (DoS) 攻撃を行ったり、中間者攻撃により暗号化された通信内容
の一部を解読したりする可能性があります。
対象となるバージョンは以下の通りです。
- Ruby 1.9.3 patchlevel 550 より前の Ruby 1.9 系列のバージョン
- Ruby 2.0.0 patchlevel 594 より前の Ruby 2.0 系列のバージョン
- Ruby 2.1.4 より前の Ruby 2.1 系列のバージョン
- revision 48616 より前の開発版 (trunk)
この問題は、開発者や配布元が提供する修正済みのバージョンに Ruby を更新
することで解決します。詳細については、開発者や配布元が提供する情報を参
照して下さい。
Ruby
Ruby 1.9.3-p550 リリース
https://www.ruby-lang.org/ja/news/2014/10/27/ruby-1-9-3-p550-is-released/
Ruby
Ruby 2.0.0-p594 リリース
https://www.ruby-lang.org/ja/news/2014/10/27/ruby-2-0-0-p594-is-released/
Ruby
Ruby 2.1.4 リリース
https://www.ruby-lang.org/ja/news/2014/10/27/ruby-2-1-4-released/
Linksys SMART WiFi 対応ファームウェアに複数の脆弱性
Linksys EA シリーズで使用する Linksys SMART WiFi 対応ファームウェアに
は複数の脆弱性が存在します。結果として、遠隔の第三者が、ルータ内の機微
な情報を取得したり、改ざんしたりする可能性があります。
影響を受ける製品は以下の通りです。
- EA2700
- EA3500
- E4200v2
- EA4500
- EA6200
- EA6300
- EA6400
- EA6500
- EA6700
- EA6900
この問題は、ベンダが提供する修正済みのバージョンに、当該製品のファーム
ウェアを更新することで解決します。詳細については、ベンダが提供する情報
を参照して下さい。
Japan Vulnerability Notes JVNVU#96488651
Linksys SMART WiFi 対応ファームウェアに複数の脆弱性
https://jvn.jp/vu/JVNVU96488651/
tnftp クライアントプログラムに OS コマンドインジェクションの脆弱性
tnftp クライアントプログラムには OS コマンドインジェクションの脆弱性が
あります。結果として、遠隔の第三者が、ユーザのシステム上で任意のコマン
ドを実行する可能性があります。
影響を受ける製品は以下のとおりです。
- tnftp クライアントプログラム
この問題は、開発者や配布元が提供する修正済みのバージョンに tnftp クラ
イアントプログラムを更新することで解決します。詳細については、開発者や
配布元が提供する情報を参照して下さい。
NetBSD FTP Site
Index of pub/NetBSD/misc/tnftp/index.html
http://ftp.netbsd.org/pub/NetBSD/misc/tnftp/
「情報ネットワークの強さと弱さ 大規模自然災害からサイバー空間まで」シンポジウム開催
2014年11月12日(水)、明治大学において、国際総合研究所 情報ネットワーク
の脆弱性問題研究会主催のシンポジウムが開催されます。JPCERT/CC は、本シ
ンポジウムに協力しており、講師も務めています。
申込みの締め切りは 11月7日(金) までです。
明治大学 国際総合研究所
「情報ネットワークの強さと弱さ 大規模自然災害からサイバー空間まで」シンポジウム開催案内
https://www.meiji.ac.jp/miga/news/2014/6t5h7p00000hz9b4.html