-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-4901 JPCERT/CC 2014-12-17 <<< JPCERT/CC WEEKLY REPORT 2014-12-17 >>> ―――――――――――――――――――――――――――――――――――――― ■12/07(日)〜12/13(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】複数の DNS 実装にサービス運用妨害 (DoS) の脆弱性 【4】Apple の Safari に複数の脆弱性 【5】複数の VMware 製品に脆弱性 【6】Docker に複数の脆弱性 【7】Honeywell OPOS Suite にスタックバッファオーバーフローの脆弱性 【今週のひとくちメモ】第10回 IPA 「ひろげよう情報モラル・セキュリティコンクール」受賞作品決定 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr144901.html https://www.jpcert.or.jp/wr/2014/wr144901.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases December 2014 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2014/12/09/Microsoft-Releases-December-2014-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Exchange - Microsoft Office - Internet Explorer この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト株式会社 2014 年 12 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms14-Dec JPCERT/CC Alert 2014-12-10 2014年12月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140051.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash, Reader, Acrobat, and ColdFusion https://www.us-cert.gov/ncas/current-activity/2014/12/09/Adobe-Releases-Security-Updates-Reader-and-Acrobat 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 15.0.0.242 およびそれ以前 (Windows版、Macintosh版) - Adobe Flash Player 13.0.0.258 およびそれ以前 (Windows版、Macintosh版) - Adobe Flash Player 11.2.202.424 およびそれ以前 (Linux版) - Adobe Reader XI(11.0.09)およびそれ以前 - Adobe Reader X(10.1.12)およびそれ以前 - Adobe Acrobat XI(11.0.09)およびそれ以前 - Adobe Acrobat X(10.1.12)およびそれ以前 - ColdFusion 11 および 10 この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。 関連文書 (日本語) Adobeセキュリティ情報 Adobe Flash Player用のセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb14-27.html Adobeセキュリティ情報 Adobe ReaderおよびAcrobat用セキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/reader/apsb14-28.html Adobeセキュリティ情報 セキュリティアップデート:ColdFusion用ホットフィックス公開 https://helpx.adobe.com/jp/security/products/coldfusion/apsb14-29.html JPCERT/CC Alert 2014-12-10 Adobe Flash Player の脆弱性 (APSB14-27) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140052.html JPCERT/CC Alert 2014-12-10 Adobe Reader および Acrobat の脆弱性 (APSB14-28) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140053.html 【3】複数の DNS 実装にサービス運用妨害 (DoS) の脆弱性 情報源 CERT/CC Vulnerability Note VU#264212 Recursive DNS resolver implementations may follow referrals infinitely https://www.kb.cert.org/vuls/id/264212 概要 複数の DNS 実装には、ドメインの委任を参照する名前解決を無限に繰り返し てしまう脆弱性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - 再帰的な名前解決を行う DNS リゾルバ ※ 以下に挙げる製品は、本脆弱性の影響を受けることが確認されており、 修正版が提供されています。 - BIND 9 - Unbound - PowerDNS Recursor この問題は、各ベンダが提供する修正済みのバージョンに製品を更新すること で解決します。詳細については、各ベンダが提供する情報を参照して下さい。 関連文書 (日本語) 株式会社日本レジストリサービス (JPRS) (緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費)について(2014年12月9日公開) http://jprs.jp/tech/security/2014-12-09-multiple-impl-vuln-delegation-limit.html JPNIC "複数の"DNS実装におけるサービス不能(DoS)脆弱性について(2014年12月) https://www.nic.ad.jp/ja/topics/2014/20141209-02.html Japan Vulnerability Notes JVNVU#91812636 再帰的名前解決を行う DNS リゾルバの実装に名前解決を無限に繰り返す問題 https://jvn.jp/vu/JVNVU91812636/ JPCERT/CC Alert 2014-12-09 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2014-8500) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140050.html 関連文書 (英語) Internet Systems Consortium, Inc. (ISC) CVE-2014-8500: A Defect in Delegation Handling Can Be Exploited to Crash BIND https://kb.isc.org/article/AA-01216 NLnet Labs The CVE number for this vulnerability is CVE-2014-8602. https://unbound.net/downloads/CVE-2014-8602.txt PowerDNS PowerDNS Security Advisory 2014-02: PowerDNS Recursor 3.6.1 and earlier can be made to provide bad service https://doc.powerdns.com/md/security/powerdns-advisory-2014-02/ 【4】Apple の Safari に複数の脆弱性 情報源 Apple About the security content of Safari 8.0.2, Safari 7.1.2, and Safari 6.2.2 http://support.apple.com/en-us/HT6597 概要 Apple の Safari には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となるバージョンは以下の通りです。 - Safari 8.0.2 より前のバージョン - Safari 7.1.2 より前のバージョン - Safari 6.2.2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Safari を更新するこ とで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92305751 Apple Safari における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU92305751/ 【5】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates for vCenter Server, vCenter Server Appliance, and ESXi https://www.us-cert.gov/ncas/current-activity/2014/12/05/VMware-Releases-Security-Updates-vCenter-Server-vCenter-Server US-CERT Current Activity VMware Releases Updates for vCAC https://www.us-cert.gov/ncas/current-activity/2014/12/09/VMware-Releases-Updates-vCAC 概要 複数の VMware 製品には、脆弱性があります。結果として、管理画面にログイ ン可能なユーザがより高い権限を取得するなどの可能性があります。 対象となる製品は以下の通りです。 - vCenter Server - vCenter Server Appliance - ESXi - vCenter Update Manager - vCloud Automation Center - AirWatch この問題は、VMware が提供する修正済みのバージョンに該当の製品を更新す ることで解決します。詳細については、VMware が提供する情報を参照して下 さい。 関連文書 (英語) VMware Security Advisories VMware vSphere product updates address security vulnerabilities https://www.vmware.com/security/advisories/VMSA-2014-0012.html VMware Security Advisories VMware vCloud Automation Center product updates address a critical remote privilege escalation vulnerability https://www.vmware.com/security/advisories/VMSA-2014-0013.html VMware Security Advisories AirWatch by VMware product update addresses information disclosure vulnerabilities https://www.vmware.com/security/advisories/VMSA-2014-0014.html 【6】Docker に複数の脆弱性 情報源 US-CERT Current Activity Docker Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2014/12/12/Docker-Releases-Security-Updates 概要 Docker には、複数の脆弱性があります。結果として、遠隔の第三者が、細工 したイメージをユーザに読み込ませることで、任意のコードを実行するなどの 可能性があります。 対象となるバージョンは以下の通りです。 - Docker 1.3.3 より前のバージョン この問題は、Docker が提供する修正済みのバージョンに Docker を更新する ことで解決します。詳細については、Docker が提供する情報を参照して下さ い。 関連文書 (英語) Docker Release Notes Version 1.4.0 https://docs.docker.com/release-notes/#version-140 Docker Release Notes Version 1.3.3 https://docs.docker.com/release-notes/#version-133 【7】Honeywell OPOS Suite にスタックバッファオーバーフローの脆弱性 情報源 CERT/CC Vulnerability Note VU#659684 Honeywell OPOS suite Stack Buffer Overflow vulnerability https://www.kb.cert.org/vuls/id/659684 概要 Honeywell OPOS Suite には、スタックバッファオーバーフローの脆弱性があ ります。結果として、遠隔の第三者が、任意のコードを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - Honeywell OPOS Suite 1.13.4.15 より前のバージョン この問題は、Honeywell が提供する修正済みのバージョンに Honeywell OPOS Suite を更新することで解決します。詳細については、Honeywell が提供する 情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98107585 Honeywell OPOS Suite にスタックバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU98107585/ 関連文書 (英語) Honeywell Software Download https://www.honeywellaidc.com/forms/HSMDownloadForm.aspx?df=CatalogDocuments/Honeywell%20OPOS%20Suite_1_13_4_15.zip ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○第10回 IPA 「ひろげよう情報モラル・セキュリティコンクール」受賞作品決定 2014年12月10日、独立行政法人情報処理推進機構 (IPA) は、第10回 IPA「ひ ろげよう情報モラル・セキュリティコンクール」の受賞作品を決定し、公開し ました。 このコンクールは、小学生から高校生、高専生までを対象とし、コンクール作 品の制作による情報セキュリティ意識の向上を目的として、2006年から開催 されています。 受賞作品の掲載ページでは、書写 (硬筆) や標語、ポスター、4コマ漫画など 様々な部門の作品が掲載されています。JPCERT/CC もこのコンクールを後援し ており、優秀賞を選出しています。なかでも、ひとくちメモ担当者のお気に入 りは4コマ漫画部門の優秀賞作品です。 参考文献 (日本語) 独立行政法人情報処理推進機構 (IPA) 「ひろげよう情報モラル・セキュリティコンクール」 第10回受賞作品決定 https://www.ipa.go.jp/about/press/20141210.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUkNrdAAoJEDF9l6Rp7OBI9HIH/1GJe4ai9mFPvcjGMIscDeN/ MJueiod85CqoRL3BSbqg0wIkBuLC26QMD+mRYNVIam1s9Phz+zkUfALC3ucpM/WQ wkgsFQshaiL90kbbSsPp1ilXnzyjt7sHmczR2pQlEXcTomYb9dwrstZPShUqn19g mLQZvRe1qq9kcNH6qXD5pt3P7XcbeEqkkmOBalCbvR+1LLw6kk1Seb4BqaWW+3Ov PZq4cg1kRQ2km8r0F1KrVq7/2vc2Tj1vyT1j3OIvoYNtVIQJRU0Wvu0YDkjvlTx1 5BDz/JCjqk5Fii3YpQOAeF7f2ZoqlMUog1KieeLDtwzr6Z2ZPHk9/YUCpJOVmW0= =l+ky -----END PGP SIGNATURE-----