-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-4601 JPCERT/CC 2014-11-27 <<< JPCERT/CC WEEKLY REPORT 2014-11-27 >>> ―――――――――――――――――――――――――――――――――――――― ■11/16(日)〜11/22(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Windows の Kerberos KDC に PAC 署名検証不備の脆弱性 【2】複数の Apple 製品に脆弱性 【3】Drupal に複数の脆弱性 【4】WordPress に複数の脆弱性 【5】TCG日本支部(JRF) 第6回公開ワークショップ開催のお知らせ 【今週のひとくちメモ】EMET 5.1 リリース ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr144601.html https://www.jpcert.or.jp/wr/2014/wr144601.xml ============================================================================ 【1】Microsoft Windows の Kerberos KDC に PAC 署名検証不備の脆弱性 情報源 US-CERT Current Activity Microsoft Releases Out-of-Band Security Bulletin for Windows Kerberos Vulnerability https://www.us-cert.gov/ncas/current-activity/2014/11/18/Microsoft-Releases-Patch-MS14-068-Vulnerability 概要 Microsoft Windows の Kerberos KDC には、PAC 署名検証不備の脆弱性があり ます。結果として、ドメインの資格情報を持つユーザが、より高い権限を取得 する可能性があります。 対象となるバージョンは以下の通りです。 - Windows Server 2003 - Windows Server 2008 - Windows Server 2008 R2 - Windows Server 2012 - Windows Server 2012 R2 - Server Core インストールオプション この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト社 Kerberos の脆弱性により特権が昇格される (3011780) https://technet.microsoft.com/ja-JP/library/security/ms14-068.aspx Japan Vulnerability Notes JVNVU#99458129 Microsoft Windows の Kerberos Key Distribution Center (KDC) に Privilege Attribute Certificate (PAC) 署名検証不備の脆弱性 https://jvn.jp/vu/JVNVU99458129/ JPCERT/CC Alert 2014-11-19 2014年11月 Kerberos KDC の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140048.html 関連文書 (英語) US-CERT Alert (TA14-323A) Microsoft Windows Kerberos KDC Remote Privilege Escalation Vulnerability https://www.us-cert.gov/ncas/alerts/TA14-323A 【2】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for iOS, OS X Yosemite, and Apple TV https://www.us-cert.gov/ncas/current-activity/2014/11/17/Apple-Releases-Security-Updates-iOS-OS-X-Yosemite-and-Apple-TV 概要 複数の Apple 製品には脆弱性があります。結果として、遠隔の第三者が、情 報を取得したり、任意のコードを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 8.1.1 より前のバージョン - OS X Yosemite v10.10.1 より前のバージョン - Apple TV 7.0.2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する ことで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (英語) Apple About the security content of iOS 8.1.1 http://support.apple.com/en-us/HT6590 Apple About the security content of OS X Yosemite v10.10.1 http://support.apple.com/en-us/HT6591 Apple About the security content of Apple TV 7.0.2 http://support.apple.com/en-us/HT6592 【3】Drupal に複数の脆弱性 情報源 US-CERT Current Activity Drupal Releases Security Advisory https://www.us-cert.gov/ncas/current-activity/2014/11/20/Drupal-Releases-Security-Advisory 概要 Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行ったり、セッションハイジャック攻撃を行った りする可能性があります。 対象となるバージョンは以下の通りです。 - Drupal 6.34 より前の 6 系のバージョン - Drupal 7.34 より前の 7 系のバージョン この問題は、Drupal が提供する修正済みのバージョンに Drupal を更新する ことで解決します。詳細については、Drupal が提供する情報を参照して下さ い。 関連文書 (英語) Drupal Security advisories Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2014-006 https://www.drupal.org/SA-CORE-2014-006 【4】WordPress に複数の脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2014/11/21/WordPress-Releases-Security-Update 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行したり、ユーザの意図しない設定変 更を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.0 - WordPress 3.9.2 およびそれ以前 - WordPress 3.8.4 およびそれ以前 - WordPress 3.7.4 およびそれ以前 この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細については、Wordpress が提供する情報を参照 して下さい。 関連文書 (英語) WordPress WordPress 4.0.1 Security Release https://wordpress.org/news/2014/11/wordpress-4-0-1/ 【5】TCG日本支部(JRF) 第6回公開ワークショップ開催のお知らせ 情報源 TCG日本支部(JRF) 第6回公開ワークショップ https://www.trustedcomputinggroup.org/jp/jrfworkshop/workshop6 概要 2014年12月3日(水)、秋葉原UDX (千代田区外神田) において、TCG日本支部 (JRF) 主催の第6回公開ワークショップが開催されます。JPCERT/CC は、本ワー クショップに協力し、講演を行います。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○EMET 5.1 リリース 2014年11月10日、Microsoft は、Windows 上で動作するアプリケーションの脆 弱性の影響を緩和するためのツール (Enhanced Mitigation Experience Toolkit: 以下 EMET) の新バージョン EMET 5.1 をリリースしました。 EMET 5.1 では、いくつかのアプリケーションとの間で発生していた互換性に 関する問題の修正や、緩和策実行時のメモリダンプ保存を可能にする機能強化 などが行われています。 参考文献 (日本語) マイクロソフト 日本のセキュリティチーム 脆弱性緩和ツール EMET 5.1 リリースしました http://blogs.technet.com/b/jpsecurity/archive/2014/11/11/emet-51-released.aspx サポート技術情報 3015976 Enhanced Mitigation Experience Toolkit 5.0 の更新プログラムについて (2014 年 11 月 10 日) http://support.microsoft.com/kb/3015976 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEbBAEBCAAGBQJUdnNFAAoJEDF9l6Rp7OBIThMH9jCM6xECBqvBs2j9CbURnIqU hZCFVLkGfkTtwg9WYDhXyzPffLneifX0F64dIQt/+FNTunL/cr5a+J13wZ4eJrIc hzLz7MjhfKLbAXT87BwJdGW3k9h7Op0YGQEJgAeWOIdIBy+V3Ma0o6GOzRMVLokY wJ9xiXr0Fpzw8zA9zoPfV6EHj50uS2jJR/mYDqGI46vOesnecBi17ovum7Kwpq20 wyPnrj3VlEBw33LfwFWGPhcDBO8/17XmBV1oCwgQyAC8uQMOOWU2dlXZ28fdd3cm 1PGfMPkg60kSJ4skxIt8Fm1bGSqfy2Jm1XpJTv1scB0r4AXeamLyAlSFarWWRg== =GzN7 -----END PGP SIGNATURE-----