-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-4501 JPCERT/CC 2014-11-19 <<< JPCERT/CC WEEKLY REPORT 2014-11-19 >>> ―――――――――――――――――――――――――――――――――――――― ■11/09(日)〜11/15(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】Adobe Flash Player および AIR に複数の脆弱性 【3】一太郎シリーズの複数の製品に任意のコードが実行される脆弱性 【4】複数のサイボウズ製品にバッファオーバーフローの脆弱性 【5】PHP に複数の脆弱性 【6】Ruby にサービス運用妨害 (DoS) の脆弱性 【7】iLogScanner にクロスサイトスクリプティングの脆弱性 【8】Direct Web Remoting (DWR) に複数の脆弱性 【9】OpenAM にサービス運用妨害 (DoS) の脆弱性 【10】SecurityDay 2014 開催 【11】CSMS適合性評価制度に関する説明会 【今週のひとくちメモ】DNSSEC で ECDSA アルゴリズムを使うのはまだ早い? ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr144501.html https://www.jpcert.or.jp/wr/2014/wr144501.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases November 2014 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2014/11/11/Microsoft-Releases-November-2014-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft .NET Framework - Microsoft サーバー ソフトウェア - Microsoft Office この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト株式会社 2014 年 11 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms14-Nov Japan Vulnerability Notes JVNVU#99732679 Microsoft Secure Channel (Schannel) に任意のコード実行が可能な脆弱性 https://jvn.jp/vu/JVNVU99732679/index.html Japan Vulnerability Notes JVNVU#96617862 Microsoft Windows OLE ライブラリに任意のコード実行が可能な脆弱性 https://jvn.jp/vu/JVNVU96617862/index.html JPCERT/CC Alert 2014-11-12 2014年11月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140045.html 【2】Adobe Flash Player および AIR に複数の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player https://www.us-cert.gov/ncas/current-activity/2014/11/11/Adobe-Releases-Security-Updates-Flash-Player 概要 Adobe Flash Player および AIR には複数の脆弱性があります。結果として、 遠隔の第三者が、任意のコードを実行したり、情報を取得したりするなどの可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 15.0.0.189 およびそれ以前 (Windows版、Macintosh版) - Adobe Flash Player 13.0.0.250 およびそれ以前 (Windows版、Macintosh版) - Adobe Flash Player 11.2.202.411 およびそれ以前 (Linux版) - Adobe AIR desktop runtime 15.0.0.293 およびそれ以前 (Windows版、Macintosh版) - Adobe AIR SDK 15.0.0.302 およびそれ以前 (Windows版、Macintosh版、Android版、iOS版) - Adobe AIR SDK & Compiler 15.0.0.302 およびそれ以前 (Windows版、Macintosh版、Android版、iOS版) - Adobe AIR 15.0.0.293 およびそれ以前 (Android版) この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player および AIR を更新することで解決します。詳細については、Adobe が提供す る情報を参照して下さい。 関連文書 (日本語) Adobeセキュリティ情報 Adobe Flash Player用のセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb14-24.html JPCERT/CC Alert 2014-11-12 Adobe Flash Player の脆弱性 (APSB14-24) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140046.html 【3】一太郎シリーズの複数の製品に任意のコードが実行される脆弱性 情報源 Japan Vulnerability Notes JVN#16318793 一太郎シリーズにおいて任意のコードが実行される脆弱性 https://jvn.jp/jp/JVN16318793/ 概要 ジャストシステムが提供する一太郎シリーズの複数の製品には、脆弱性があり ます。結果として、遠隔の第三者が、任意のコードを実行する可能性がありま す。 対象となる製品は以下の通りです。 - 一太郎2014 徹 - 一太郎2014 徹 体験版 - 一太郎2013 玄 - 一太郎2012 承 - 一太郎2011 創 / 一太郎2011 - 一太郎Pro 2 - 一太郎Pro 2 体験版 - 一太郎Pro - 一太郎Government 7 - 一太郎Government 6 - 一太郎2010、一太郎ガバメント2010 - 一太郎2009、一太郎ガバメント2009 - 一太郎2008、一太郎ガバメント2008 この問題は、ジャストシステムが提供するセキュリティ更新モジュールを該当 する製品に適用することで解決します。また、体験版については最新版をイン トールし直してください。詳細については、ジャストシステムが提供する情報 を参照して下さい。 関連文書 (日本語) ジャストシステム株式会社 [JS14003] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について https://www.justsystems.com/jp/info/js14003.html JPCERT/CC Alert 2014-11-13 2014年11月一太郎シリーズの脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140047.html 【4】複数のサイボウズ製品にバッファオーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVN#14691234 複数のサイボウズ製品におけるバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN14691234/ 概要 複数のサイボウズ製品には、バッファオーバーフローの脆弱性があります。結 果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - サイボウズ Office 10.0.2 およびそれ以前 - サイボウズ メールワイズ 5.1.3 およびそれ以前 - サイボウズ デヂエ 8.1.0 およびそれ以前 この問題は、サイボウズが提供する修正済みのバージョンに該当する製品を更 新することで解決します。詳細については、サイボウズが提供する情報を参照 して下さい。 関連文書 (日本語) サイボウズ株式会社 メール送受信動作でバッファオーバーフローの可能性【CyVDB-461】 https://cs.cybozu.co.jp/2014/1110-2.html 【5】PHP に複数の脆弱性 情報源 PHP Group PHP 5.6.3 is available https://php.net/archive/2014.php#id2014-11-13-2 PHP Group PHP 5.5.19 is available https://php.net/archive/2014.php#id2014-11-13-1 PHP Group PHP 5.4.35 Released https://php.net/index.php#id2014-11-13-3 概要 PHP には複数の脆弱性があります。結果として、遠隔の第三者が、サービス運 用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - PHP 5.6.3 より前のバージョン - PHP 5.5.19 より前のバージョン - PHP 5.4.35 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細については、開発者や配布元が提供する情報を参 照して下さい。 関連文書 (英語) PHP Group PHP 5 ChangeLog Version 5.6.3 https://php.net/ChangeLog-5.php#5.6.3 PHP Group PHP 5 ChangeLog Version 5.5.19 https://php.net/ChangeLog-5.php#5.5.19 PHP Group PHP 5 ChangeLog Version 5.4.35 https://php.net/ChangeLog-5.php#5.4.35 【6】Ruby にサービス運用妨害 (DoS) の脆弱性 情報源 Ruby CVE-2014-8090: REXML における XML 展開に伴う新たなサービス不能攻撃について https://www.ruby-lang.org/ja/news/2014/11/13/rexml-dos-cve-2014-8090/ 概要 Ruby の XML の処理には脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Ruby 1.9.3 p551 より前のバージョン - Ruby 2.0.0 p598 より前のバージョン - Ruby 2.1.5 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに Ruby を更新 することで解決します。詳細については、開発者や配布元が提供する情報を参 照して下さい。 関連文書 (日本語) Ruby Ruby 1.9.3-p551 リリース https://www.ruby-lang.org/ja/news/2014/11/13/ruby-1-9-3-p551-is-released/ Ruby Ruby 2.0.0-p598 リリース https://www.ruby-lang.org/ja/news/2014/11/13/ruby-2-0-0-p598-is-released/ Ruby Ruby 2.1.5 リリース https://www.ruby-lang.org/ja/news/2014/11/13/ruby-2-1-5-is-released/ 【7】iLogScanner にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#89852154 iLogScanner におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN89852154/ 概要 iLogScanner には、解析結果を HTML ページに出力する際の処理にクロスサイ トスクリプティングの脆弱性が存在します。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - iLogScanner V4.0 この問題は、独立行政法人情報処理推進機構 (IPA) が提供する修正済みのバー ジョンに iLogScanner を更新することで解決します。詳細については、独立 行政法人情報処理推進機構 (IPA) が提供する情報を参照して下さい。 関連文書 (日本語) 独立行政法人情報処理推進機構 (IPA) ウェブサイトの攻撃兆候検出ツール iLogScanner https://www.ipa.go.jp/security/vuln/iLogScanner/ 【8】Direct Web Remoting (DWR) に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#52422792 Direct Web Remoting (DWR) におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN52422792/ Japan Vulnerability Notes JVN#91502163 Direct Web Remoting (DWR) における XML 外部実体参照 (XXE) に関する脆弱性 https://jvn.jp/jp/JVN91502163/ 概要 Direct Web Remoting (DWR) には、複数の脆弱性があります。結果として、遠 隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、サーバ 上の任意のファイルを読み取ったりする可能性があります。 対象となるバージョンは以下の通りです。 - DWR Version 2.0.10 およびそれ以前 - DWR Version 3.0.RC2 およびそれ以前 この問題は、Direct Web Remoting が提供する修正済みのバージョンに DWR を 更新し、DWR を利用して開発したアプリケーションの JAR ファイルを置き換え ることで解決します。詳細については、Direct Web Remoting が提供する情報 を参照して下さい。 関連文書 (英語) Direct Web Remoting Vulnerability when letting users exchange unsanitized HTML https://directwebremoting.atlassian.net/browse/DWR-619 Direct Web Remoting Vulnerability when using DOM converters https://directwebremoting.atlassian.net/browse/DWR-620 【9】OpenAM にサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVN#65559247 OpenAM におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN65559247/ 概要 OpenAM には、サービス運用妨害 (DoS) の脆弱性があります。結果として、 OpenAM で認証可能なユーザが、サービス運用妨害 (DoS) 攻撃を行う可能性が あります。 対象となるバージョンは以下の通りです。 - OpenAM 9.5.3 から 9.5.5 まで - OpenAM 10.0.0 から 10.0.2 まで - OpenAM 10.1.0-Xpress - OpenAM 11.0.0 から 11.0.2 まで この問題は、ForgeRock が提供するパッチを OpenAM に適用することで解決し ます。詳細については、ForgeRock が提供する情報を参照して下さい。 関連文書 (英語) ForgeRock 5th Nov 2014: OpenAM Security Advisory #201404 https://forgerock.org/2014/11/openam-security-advisory-201404/ 【10】SecurityDay 2014 開催 情報源 SecurityDay 2014 開催概要 http://www.securityday.jp/home 概要 2014年12月17日(水)、連合会館 (千代田区神田駿河台) において、 SecurityDay 2014 が開催されます。JPCERT/CC は、本セミナーの実行委員と して参加するとともに、講師も務めています。 関連文書 (日本語) こくちーず SecurityDay 2014 http://kokucheese.com/event/index/235584/ 【11】CSMS適合性評価制度に関する説明会 情報源 一般財団法人日本情報経済社会推進協会(JIPDEC) CSMS適合性評価制度に関する説明会のご案内 http://www.isms.jipdec.or.jp/seminar/csms/CSMS20141128.html 概要 2014年11月28日(金)、グランパーク 401 ホール (港区芝浦) において、一般 財団法人日本情報経済社会推進協会 (JIPDEC) 主催の CSMS 適合性評価制度に 関する説明会が開催されます。JPCERT/CC は、本説明会を後援しています。 関連文書 (日本語) 一般財団法人日本情報経済社会推進協会 (JIPDEC) 制御システムセキュリティにおけるサイバーセキュリティマネジメントシステム(CSMS)適合性評価制度に関する文書の公表について http://www.isms.jipdec.or.jp/csms/csmspublish-2.html 一般財団法人日本情報経済社会推進協会 (JIPDEC) サイバーセキュリティマネジメントシステム適合性評価制度の概要 http://www.isms.jipdec.or.jp/csms/doc/JIP-CSMS120-10.pdf ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○DNSSEC で ECDSA アルゴリズムを使うのはまだ早い? APNIC ブログで、DNSSEC における ECDSA の使用について調査した結果が紹介 されています。 ECDSA アルゴリズムでは、RSA よりも短い鍵長で RSA と同等の強度を実現で き、DNSSEC でやりとりするデータも短くなることが期待されます。そこで APNIC Labs では、現状どの程度のリゾルバが ECDSA アルゴリズムに対応して いるかを約 1ヶ月間に渡って調査し、その結果を紹介しています。 参考文献 (英語) APNIC Blog ECDSA and DNSSEC http://blog.apnic.net/2014/10/23/ecdsa-and-dnssec/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUa/kqAAoJEDF9l6Rp7OBIj1oH/j7wa2GBz1THfcjItqsZzFiD 2347+VRyZ5apdjKrVLs2jINFzWM668MrHgrUkq2izrkExkZjr0mjsKT1qQR67Ikr sJgoR7uOaRYOOBtEMelBn4Amjq6kmXzMi+WEdQIukMEYwcW8ra+mg83GX9ba9kGD neeblH9l77msknittkVNCvBOACabGvHmQq6eRCfdGHg1PIrlTMXHDSjxIKFhw/Ye f5/3+PjXeXOySBeMvB/5zjUJquwkGND04r9AlblOLHm47XpjP4RsoXPIDaUI8wVj WBXaa2xc+9ZrGwD+onPvWyhefs7dA8kDKmJBFfG4I22yFT//Ienu1Fu4rYLJJXE= =lbcA -----END PGP SIGNATURE-----