JPCERT-WR-2015-1001
2015-03-11
2015-03-01
2015-03-07
SSL/TLS の複数の実装に弱い RSA 鍵を受け入れる問題
SSL/TLS の実装の中には、意図して設定しなくても、弱い (512 ビット以下の)
RSA 鍵を受け入れるものが存在します。結果として、遠隔の第三者が、中間者
攻撃により暗号化された情報を復号する可能性があります。
影響を受ける製品は複数あります。詳細については、各ベンダや配布元が提供
する情報を参照して下さい。
マイクロソフト セキュリティ アドバイザリ 3046015
Schannel の脆弱性により、セキュリティ機能のバイパスが起こる
https://technet.microsoft.com/ja-jp/library/security/3046015.aspx
Japan Vulnerability Notes JVNVU#99125992
SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)
https://jvn.jp/vu/JVNVU99125992/
WordPress 用プラグイン All In One WP Security & Firewall に複数の脆弱性
WordPress 用プラグイン All In One WP Security & Firewall には、複数の
脆弱性があります。結果として、遠隔の第三者が、ログインしているユーザに
細工したページを開かせることで、当該製品のアクセスログを削除したり、ロ
グインしている管理者に細工したページを開かせることで、任意の SQL コマ
ンドを実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- All In One WP Security & Firewall v3.8.9 およびそれ以前
この問題は、開発者が提供する修正済みのバージョンに All In One WP
Security & Firewall を更新することで解決します。詳細については、開発者
が提供する情報を参照して下さい。
WordPress Plugin Directory
All In One WP Security & Firewall
https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
BestWebSoft 社が提供する複数の製品に脆弱性
BestWebSoft 社が提供する複数の WordPress 用プラグインには、脆弱性があ
ります。結果として、遠隔の第三者が、CAPTCHA 保護メカニズムを回避する可
能性があります。
対象となる製品およびバージョンは以下の通りです。
- Google Captcha (reCAPTCHA) by BestWebSoft V1.12 およびそれ以前
- Captcha V4.0.6 およびそれ以前
この問題は、開発者が提供する修正済みのバージョンに当該製品を更新するこ
とで解決します。詳細については、開発者が提供する情報を参照して下さい。
WordPress Plugin Directory
Google Captcha (reCAPTCHA) by BestWebSoft
https://wordpress.org/plugins/google-captcha/
WordPress Plugin Directory
Captcha
https://wordpress.org/plugins/captcha/
ShareLaTeX に複数の脆弱性
ShareLaTeX には、複数の脆弱性があります。結果として、ログイン可能なユー
ザが、任意のコードを実行したり、サーバ上の情報を取得したりする可能性が
あります。
対象となるバージョンは以下の通りです。
- ShareLaTeX 0.1.3 より前のバージョン (OS コマンドインジェクション)
- ShareLaTeX 0.1.3 およびそれ以前 (ディレクトリトラバーサル)
OS コマンドインジェクションの問題は、ShareLaTeX 0.1.3 で修正済みです。
ディレクトリトラバーサルの問題は、2015年3月10日現在、対策済みのバージョ
ンは公開されていません。以下の回避策を適用することで、本脆弱性の影響を
軽減することが可能です。
- ShareLaTeX がインストールされたサーバ上で LaTeX の設定ファイルを変更する
詳細については、開発者が提供する情報を参照して下さい。
Japan Vulnerability Notes JVNVU#98923085
ShareLaTeX に複数の脆弱性
https://jvn.jp/vu/JVNVU98923085/
ShareLaTeX
Production Installation Instructions
https://github.com/sharelatex/sharelatex/wiki/Production-Installation-Instructions#user-content-securing-latex
日本シーサート協議会「SSH サーバセキュリティ設定ガイド Ver 1.0」を公開
2015年3月6日、日本シーサート協議会の SSH サーバセキュリティ設定検討 WG
は「SSH サーバセキュリティ設定ガイド Ver 1.0」を公開しました。
このガイドでは、SSH サーバのセキュリティ設定について、実際の設定ファイ
ルや動作確認方法とともに解説しています。
日本シーサート協議会
SSH サーバセキュリティ設定検討 WG の活動概要
http://www.nca.gr.jp/activity/sshconfig-wg.html