JPCERT-WR-2014-4601
2014-11-27
2014-11-16
2014-11-22
Microsoft Windows の Kerberos KDC に PAC 署名検証不備の脆弱性
Microsoft Windows の Kerberos KDC には、PAC 署名検証不備の脆弱性があり
ます。結果として、ドメインの資格情報を持つユーザが、より高い権限を取得
する可能性があります。
対象となるバージョンは以下の通りです。
- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Server Core インストールオプション
この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細については、Microsoft が提供する情報を参照して下さい。
マイクロソフト社
Kerberos の脆弱性により特権が昇格される (3011780)
https://technet.microsoft.com/ja-JP/library/security/ms14-068.aspx
Japan Vulnerability Notes JVNVU#99458129
Microsoft Windows の Kerberos Key Distribution Center (KDC) に Privilege Attribute Certificate (PAC) 署名検証不備の脆弱性
https://jvn.jp/vu/JVNVU99458129/
JPCERT/CC Alert 2014-11-19
2014年11月 Kerberos KDC の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140048.html
US-CERT Alert (TA14-323A)
Microsoft Windows Kerberos KDC Remote Privilege Escalation Vulnerability
https://www.us-cert.gov/ncas/alerts/TA14-323A
複数の Apple 製品に脆弱性
複数の Apple 製品には脆弱性があります。結果として、遠隔の第三者が、情
報を取得したり、任意のコードを実行したりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- iOS 8.1.1 より前のバージョン
- OS X Yosemite v10.10.1 より前のバージョン
- Apple TV 7.0.2 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する
ことで解決します。詳細については、Apple が提供する情報を参照して下さい。
Apple
About the security content of iOS 8.1.1
http://support.apple.com/en-us/HT6590
Apple
About the security content of OS X Yosemite v10.10.1
http://support.apple.com/en-us/HT6591
Apple
About the security content of Apple TV 7.0.2
http://support.apple.com/en-us/HT6592
Drupal に複数の脆弱性
Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行ったり、セッションハイジャック攻撃を行った
りする可能性があります。
対象となるバージョンは以下の通りです。
- Drupal 6.34 より前の 6 系のバージョン
- Drupal 7.34 より前の 7 系のバージョン
この問題は、Drupal が提供する修正済みのバージョンに Drupal を更新する
ことで解決します。詳細については、Drupal が提供する情報を参照して下さ
い。
Drupal Security advisories
Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2014-006
https://www.drupal.org/SA-CORE-2014-006
WordPress に複数の脆弱性
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザのブラウザ上で任意のスクリプトを実行したり、ユーザの意図しない設定変
更を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- WordPress 4.0
- WordPress 3.9.2 およびそれ以前
- WordPress 3.8.4 およびそれ以前
- WordPress 3.7.4 およびそれ以前
この問題は、WordPress が提供する修正済みのバージョンに WordPress を更
新することで解決します。詳細については、Wordpress が提供する情報を参照
して下さい。
WordPress
WordPress 4.0.1 Security Release
https://wordpress.org/news/2014/11/wordpress-4-0-1/
TCG日本支部(JRF) 第6回公開ワークショップ開催のお知らせ
2014年12月3日(水)、秋葉原UDX (千代田区外神田) において、TCG日本支部
(JRF) 主催の第6回公開ワークショップが開催されます。JPCERT/CC は、本ワー
クショップに協力し、講演を行います。
EMET 5.1 リリース
2014年11月10日、Microsoft は、Windows 上で動作するアプリケーションの脆
弱性の影響を緩和するためのツール (Enhanced Mitigation Experience
Toolkit: 以下 EMET) の新バージョン EMET 5.1 をリリースしました。
EMET 5.1 では、いくつかのアプリケーションとの間で発生していた互換性に
関する問題の修正や、緩和策実行時のメモリダンプ保存を可能にする機能強化
などが行われています。
マイクロソフト 日本のセキュリティチーム
脆弱性緩和ツール EMET 5.1 リリースしました
http://blogs.technet.com/b/jpsecurity/archive/2014/11/11/emet-51-released.aspx
サポート技術情報 3015976
Enhanced Mitigation Experience Toolkit 5.0 の更新プログラムについて (2014 年 11 月 10 日)
http://support.microsoft.com/kb/3015976