-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-1601 JPCERT/CC 2015-04-22 <<< JPCERT/CC WEEKLY REPORT 2015-04-22 >>> ―――――――――――――――――――――――――――――――――――――― ■04/12(日)〜04/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】Windows NTLM が file:// URL へのリダイレクト時に SMB 接続を行いユーザ認証情報を送信する問題 【3】複数の Adobe 製品に脆弱性 【4】2015年4月 Oracle Critical Patch Update について 【5】PHP に複数の脆弱性 【6】Ruby の OpenSSL 拡張ライブラリ に複数の脆弱性 【7】JBoss RichFaces に脆弱性 【8】HP Network Automation に複数の脆弱性 【9】SearchBlox に複数の脆弱性 【10】JAIPA Cloud Conference 2015 開催 【今週のひとくちメモ】Java SE JDK/JRE 7 の公式アップデート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr151601.html https://www.jpcert.or.jp/wr/2015/wr151601.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases April 2015 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2015/04/14/Microsoft-Releases-April-2015-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office - Microsoft サーバー ソフトウェア - プロダクティビティ ソフトウェア - Microsoft .NET Framework この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト株式会社 2015 年 4 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms15-apr JPCERT/CC Alert 2015-04-15 2015年4月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150009.html 【2】Windows NTLM が file:// URL へのリダイレクト時に SMB 接続を行いユーザ認証情報を送信する問題 情報源 CERT/CC Vulnerability Note VU#672268 Microsoft Windows NTLM automatically authenticates via SMB when following a file:// URL https://www.kb.cert.org/vuls/id/672268 概要 いくつかの Windows アプリケーションは、HTTP リクエストが SMB サーバを 示す file:// URL にリダイレクトされた場合に SMB 認証情報を送信します。 結果として、遠隔の第三者が、ユーザに file:// で始まる URL へアクセスさ せることで、認証情報を取得する可能性があります。 対象となる製品およびバージョンは複数存在します。 2015年4月21日現在、更新プログラムは公開されていません。以下のいずれかの 回避策を適用することで、本脆弱性の影響を軽減することが可能です。 - 外部ネットワーク向けの SMB 通信 (139/tcp および 445/tcp) を遮断する - 外部ネットワーク向けの SMB 通信を制限するよう NTLM の設定を変更する - デフォルトの認証機能として NTLM を使用しない 詳細については、マイクロソフト株式会社が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99430390 Windows NTLM が file:// URL へのリダイレクト時にSMB 接続を行いユーザ認証情報を送信する問題 https://jvn.jp/vu/JVNVU99430390/ 関連文書 (英語) マイクロソフト株式会社 Using security policies to restrict NTLM traffic https://technet.microsoft.com/en-us/library/jj865668(v=ws.10).aspx 【3】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player, ColdFusion and Flex https://www.us-cert.gov/ncas/current-activity/2015/04/15/Adobe-Releases-Security-Updates-Flash-Player-ColdFusion-and-Flex 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 17.0.0.134 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 13.0.0.277 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.451 およびそれ以前 (Linux 版) - ColdFusion 11 および 10 - Adobe Flex 4.6 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。 関連文書 (日本語) Adobeセキュリティ情報 Adobe Flash Player に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb15-06.html Adobeセキュリティ情報 セキュリティアップデート:ColdFusion用ホットフィックス公開 https://helpx.adobe.com/jp/security/products/coldfusion/apsb15-07.html Adobeセキュリティ情報 Adobe Flex ASdoc ツールの出力のセキュリティ脆弱性 https://helpx.adobe.com/jp/security/products/flex/apsb15-08.html JPCERT/CC Alert 2015-04-15 Adobe Flash Player の脆弱性 (APSB15-06) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150011.html 【4】2015年4月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Oracle Releases April 2015 Security Advisory https://www.us-cert.gov/ncas/current-activity/2015/04/15/Oracle-Releases-April-2015-Security-Advisory 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update が公開されました。詳細については、Oracle が提供する情報を参照して下さい。 関連文書 (日本語) Oracle Oracle Critical Patch Update Advisory - April 2015 http://www.oracle.com/technetwork/jp/topics/ojkbcpuapr2015-2518565-ja.html JPCERT/CC Alert 2015-04-15 2015年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2015/at150010.html 【5】PHP に複数の脆弱性 情報源 PHP Group PHP 5.6.8 is available https://php.net/index.php#id2015-04-16-2 PHP Group PHP 5.5.24 is available https://php.net/index.php#id2015-04-16-1 PHP Group PHP 5.4.40 Released https://php.net/index.php#id2015-04-16-3 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - PHP 5.6.8 より前のバージョン - PHP 5.5.24 より前のバージョン - PHP 5.4.40 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細については、開発者や配布元が提供する情報を参 照して下さい。 関連文書 (英語) PHP Group PHP 5 ChangeLog Version 5.6.8 https://php.net/ChangeLog-5.php#5.6.8 PHP Group PHP 5 ChangeLog Version 5.5.24 https://php.net/ChangeLog-5.php#5.5.24 PHP Group PHP 5 ChangeLog Version 5.4.40 https://php.net/ChangeLog-5.php#5.4.40 【6】Ruby の OpenSSL 拡張ライブラリ に複数の脆弱性 情報源 Ruby CVE-2015-1855: Ruby OpenSSL ホスト名検証の脆弱性 https://www.ruby-lang.org/ja/news/2015/04/13/ruby-openssl-hostname-matching-vulnerability/ 概要 Ruby の OpenSSL 拡張ライブラリが提供している X.509 証明書のホスト名検 証機能は、RFC で規定されている仕様に違反しています。結果として、ホスト 名の検証が適切に行われない可能性があります。 対象となるバージョンは以下の通りです。 - Ruby 2.0.0 patchlevel 645 より前の Ruby 2.0 系列のバージョン - Ruby 2.1.6 より前の Ruby 2.1 系列のバージョン - Ruby 2.2.2 より前の Ruby 2.2 系列のバージョン - revision 50292 より前の開発版 (trunk) この問題は、開発者や配布元が提供する修正済みのバージョンに Ruby を更新 することで解決します。詳細については、開発者や配布元が提供する情報を参 照して下さい。 関連文書 (日本語) Ruby Ruby 2.0.0-p645 リリース https://www.ruby-lang.org/ja/news/2015/04/13/ruby-2-0-0-p645-released/ Ruby Ruby 2.1.6 リリース https://www.ruby-lang.org/ja/news/2015/04/13/ruby-2-1-6-released/ Ruby Ruby 2.2.2 リリース https://www.ruby-lang.org/ja/news/2015/04/13/ruby-2-2-2-released/ 【7】JBoss RichFaces に脆弱性 情報源 Japan Vulnerability Notes JVN#56297719 JBoss RichFaces において任意の Java コードが実行される脆弱性 https://jvn.jp/jp/JVN56297719/ 概要 JBoss RichFaces のパラメータの処理には、脆弱性があります。結果として、 遠隔の第三者が、細工した入力を処理させることで、任意の Java コードを実 行する可能性があります。 対象となるバージョンは以下の通りです。 - JBoss RichFaces 4.5.4 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに JBoss RichFaces を 更新することで解決します。詳細については、開発者が提供する情報を参照し て下さい。 関連文書 (日本語) 独立行政法人情報処理推進機構 (IPA) 「JBoss RichFaces」において任意の Java コードが実行される脆弱性対策について(JVN#56297719) https://www.ipa.go.jp/security/ciadr/vul/20150414-jvn.html 関連文書 (英語) JBossDeveloper RichFaces 4.5.4.Final Release Announcement https://developer.jboss.org/people/michpetrov/blog/2015/04/01/richfaces-453final-release-announcement 【8】HP Network Automation に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#750060 Hewlett-Packard Network Automation contains multiple vulnerabilities https://www.kb.cert.org/vuls/id/750060 概要 HP Network Automation には、複数の脆弱性があります。結果として、遠隔の 第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った りするなどの可能性があります。 対象となるバージョンは以下の通りです。 - HP Network Automation v9.0X - HP Network Automation v9.1X - HP Network Automation v9.2X - HP Network Automation v10.X この問題は、HP が提供する修正済みのバージョンに HP Network Automation を更新することで解決します。詳細については、HP が提供する情報を参照し て下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90341582 HP Network Automation に複数の脆弱性 https://jvn.jp/vu/JVNVU90341582/ 関連文書 (英語) HP Support Center HPSBMU03264 rev.2 - HP Network Automation, Multiple Remote Vulnerabilities https://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04574207 【9】SearchBlox に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#697316 SearchBlox contains multiple vulnerabilities https://www.kb.cert.org/vuls/id/697316 概要 SearchBlox には、複数の脆弱性があります。結果として、遠隔の第三者が、 ログイン可能なユーザの権限で任意の操作をさせたり、ユーザのブラウザ上で 任意のスクリプトを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - SearchBlox 8.2 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに SearchBlox を更新する ことで解決します。詳細については、開発者が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98215813 SearchBlox に複数の脆弱性 https://jvn.jp/vu/JVNVU98215813/ 関連文書 (英語) SearchBlox Software, Inc. SearchBlox Version 8.2 http://www.searchblox.com/downloads 【10】JAIPA Cloud Conference 2015 開催 情報源 一般社団法人 日本インターネットプロバイダー協会 クラウド部会 JAIPA Cloud Conference 2015 https://cloudconference.jaipa.or.jp/ 概要 2015年5月27日、日本インターネットプロバイダー協会 (JAIPA) クラウド部会 は、クラウド事業者向けのイベントとして、JAIPA Cloud Conference 2015 を 開催します。このイベントでは、省庁の ICT 関連施策に関する講演やクラウ ドに関する法的諸問題に関する講演などが予定されています。JPCERT/CC もこ のイベントを後援しています。 参加は無料ですが、事前申し込みが必要となります。参加を希望する方はお早 めにお申し込み下さい。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Java SE JDK/JRE 7 の公式アップデート終了 2015年4月14日、Oracle Java SE の Critical Patch Update が公開され、こ れをもって Java SE JDK/JRE 7 の公式アップデートは終了しました。 今後、セキュリティ上の脅威が高まることが懸念されるため、Java SE JDK/JRE 7 をお使いの方は、Java SE JDK/JRE 8 への移行を検討して下さい。 参考文献 (日本語) Oracle Java SE 7の公式アップデート終了のお知らせ http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html#Java6-end-public-updates 独立行政法人情報処理推進機構 (IPA) 公式サポートが終了する Java SE 7 の利用者に向けた注意喚起 https://www.ipa.go.jp/security/announce/java7_eol.html JPCERT/CC Alert 2015-04-15 2015年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2015/at150010.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVNv/VAAoJEDF9l6Rp7OBIe14H/2yC3DMc14JXyg7QrIuhWPU3 dt1ns78X/Vn2mW3zR/SKm0OmEpgilb484EXuf2b/RS9WzR8WZt6jJM5nWuQkmbvJ 10tDo5yT2m6S0son9tYmprxx+mVQbftOz8TKuel8C0h4Sn8pHw2i0Nm9t/SUaiu9 4okifq/yQBcYofcejhhOf0NwfOmuU9t8lR1U/mz3AMhMeh1Uo42Ycp/N9/c3bck2 zrmYRqPPcuMLXjoqar/cDp+GTNSMFDffvGrhXsULrygh2qZsFS+4J4R5FYtqj27q hrcfEBmGioNYuw3pK6CNo2kb7AB3LLoXYdQtQrSPaZjYj1QxMZCbDynkTErLpxA= =T3PW -----END PGP SIGNATURE-----