-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-4701 JPCERT/CC 2014-12-03 <<< JPCERT/CC WEEKLY REPORT 2014-12-03 >>> ―――――――――――――――――――――――――――――――――――――― ■11/23(日)〜11/29(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Flash Player に任意のコードが実行される脆弱性 【2】Docker に複数の脆弱性 【3】FAST/TOOLS に脆弱性 【今週のひとくちメモ】「SECCON CTF 2014 online 予選」開催 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr144701.html https://www.jpcert.or.jp/wr/2014/wr144701.xml ============================================================================ 【1】Adobe Flash Player に任意のコードが実行される脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player https://www.us-cert.gov/ncas/current-activity/2014/11/25/Adobe-Releases-Security-Updates-Flash-Player 概要 Adobe Flash Player には、ポインタの取り扱いに関する脆弱性があります。 結果として、遠隔の第三者が、細工したコンテンツをユーザに開かせることで 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 15.0.0.223 およびそれ以前 - Adobe Flash Player 13.0.0.252 およびそれ以前の 13.x のバージョン - Adobe Flash Player 11.2.202.418 およびそれ以前 (Linux版) 2014年10月14日のリリース (APSB14-22) において本脆弱性に対する緩和策が すでに導入されていますが、今回の更新により、さらに保護が強化されました。 詳細については、Adobe が提供する情報を参照して下さい。 関連文書 (日本語) JPCERT/CC Alert 2014-11-26 Adobe Flash Player の脆弱性 (APSB14-26) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140049.html 関連文書 (英語) Adobe Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsb14-26.html 【2】Docker に複数の脆弱性 情報源 US-CERT Current Activity Docker Releases Security Advisory https://www.us-cert.gov/ncas/current-activity/2014/11/24/Docker-Releases-Security-Advisory 概要 Docker には、複数の脆弱性があります。結果として、遠隔の第三者が、細工 したイメージをユーザに読み込ませることで、任意のコードを実行したり、本 来アクセスできない領域にアクセスしたりする可能性があります。 対象となるバージョンは以下の通りです。 - Docker 1.3.2 より前のバージョン この問題は、Docker が提供する修正済みのバージョンに Docker を更新する ことで解決します。詳細については、Docker が提供する情報を参照して下さ い。 関連文書 (英語) Openwall Docker 1.3.2 - Security Advisory [24 Nov 2014] http://www.openwall.com/lists/oss-security/2014/11/24/5 Docker Release Notes Docker 1.3.2 https://docs.docker.com/release-notes/#version-132 【3】FAST/TOOLS に脆弱性 情報源 Japan Vulnerability Notes JVN#54775800 FAST/TOOLS における XML 外部実体参照処理の脆弱性 https://jvn.jp/jp/JVN54775800/ 概要 横河電機株式会社が提供する FAST/TOOLS には XML の処理に脆弱性がありま す。結果として、第三者が、サーバ上の情報を取得したり、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - FAST/TOOLS R9.01 から R9.05 まで この問題は、横河電機株式会社が提供する修正済みのバージョンに FAST/TOOLS を更新することで解決します。詳細については、横河電機株式会社が提供する 情報を参照して下さい。 関連文書 (日本語) 横河電機株式会社 YSAR-14-0004: FAST/TOOLS に XML 外部実体参照処理の脆弱性 https://www.yokogawa.co.jp/dcs/security/ysar/YSAR-14-0004.pdf ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「SECCON CTF 2014 online 予選」開催 セキュリティ技術を競う CTF イベント「SECCON CTF 2014」のオンライン予選 が 2014年12月6日から翌 7日にかけて 32時間にわたり開催されます。 このオンライン予選は、国内に限らず海外からも参加することが可能で、日本 語と英語による説明が用意されています。 これまで地方予選や夏のオンライン予選によって、すでに 12チームの出場が 決定しており、今回の予選で 24チームが出そろう予定です。競技の詳細や参 加登録については、同イベントのページをご参照ください。 参考文献 (日本語) SECCON Security Contest 2014 http://2014.seccon.jp/winter2014quals.html SECCON SECCON CTF 2014 Online Qualifications (32 Hours) http://ctf.seccon.jp/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUfmBYAAoJEDF9l6Rp7OBIjsgIAKHm1Cu3zKu4kfDLiRjvEbRT 9Zv0kbfVIfVxKTw8p4vBrvvr8lVKIdzI5s/8IteNHb/yfAGy/JDZ5CfC3oZ9+6wv PuPTNbMGiS35AvSDWP1H7mBR6p6LqiLhodI+BgsogGu+g5je54j1bQ8lhjUWGZko HBWk23vIlug2cTX7P22Z57b1xQrdA1dOC6c/zhLPHnzZgp4Jffe3BaOUN3DBMqMB +Rww/aoe0+CJQHzjyA/4zbk+wBdISJkJxcweHrQCnXSIjFKFoyv/U1nt01uKLLrW SZJ4+55ctn2/vhZFjHic0gMNl5SlXmI5XqaEJFNZor+6iho7B1R6QCsvwzmUFLY= =LrBi -----END PGP SIGNATURE-----