-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-1701 JPCERT/CC 2015-04-30 <<< JPCERT/CC WEEKLY REPORT 2015-04-30 >>> ―――――――――――――――――――――――――――――――――――――― ■04/19(日)〜04/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Firefox に解放済みメモリ使用の脆弱性 【2】WordPress に複数の脆弱性 【3】PowerDNS に脆弱性 【4】Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題 【5】TransmitMail に複数の脆弱性 【今週のひとくちメモ】「Interop Tokyo 2015」開催 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr151701.html https://www.jpcert.or.jp/wr/2015/wr151701.xml ============================================================================ 【1】Firefox に解放済みメモリ使用の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Update for Firefox https://www.us-cert.gov/ncas/current-activity/2015/04/21/Mozilla-Releases-Security-Update-Firefox 概要 Firefox には、解放済みメモリ使用の脆弱性があります。結果として、遠隔の 第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 37.0.2 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新する ことで解決します。詳細は、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2015 年 4 月 20 日) http://www.mozilla-japan.org/security/announce/ 【2】WordPress に複数の脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2015/04/23/WordPress-Releases-Security-Update 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行したり、当該製品が参照するデータ ベースに対して、任意の SQL コマンドを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.1.1 およびそれ以前 この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細については、WordPress が提供する情報を参照 してください。 関連文書 (日本語) WordPress WordPress 4.1.2 セキュリティリリース https://ja.wordpress.org/2015/04/22/wordpress-4-1-2/ 【3】PowerDNS に脆弱性 情報源 株式会社日本レジストリサービス(JPRS) PowerDNS Authoritative Server及びPowerDNS Recursorの脆弱性 http://jprs.jp/tech/security/2015-04-27-powerdns-vuln-decompression.html 概要 PowerDNS には、脆弱性があります。結果として、遠隔の第三者が、サービ ス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - PowerDNS Authoritative Server 3.4.4より前のバージョン - PowerDNS Recursor 3.6.3より前のバージョン - PowerDNS Recursor 3.7.2より前のバージョン この問題は、開発者が提供する修正済みのバージョンに PowerDNS を更新する ことで解決します。詳細については、開発者が提供する情報を参照してくださ い。 関連文書 (英語) PowerDNS Security Advisory 2015-01 Label decompression bug can cause crashes on specific platforms https://doc.powerdns.com/md/security/powerdns-advisory-2015-01/ 【4】Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題 情報源 CERT/CC Vulnerability Note VU#260780 NetNanny uses a shared private key and root CA http://www.kb.cert.org/vuls/id/260780 概要 Net Nanny は共有の秘密鍵とルート CA 証明書を使用します。この証明書の生 成に用いられる秘密鍵は、直接平文で取得できる形でプログラムに含まれてい ます。攻撃者は、この秘密鍵を用いることで Net Nanny によって信頼される 証明書を生成することが可能です。 問題が確認されたバージョンは以下の通りですが、他のバージョンも影響を受 ける可能性があります。 - Net Nanny 7.2.4.2 2015年4月28日現在、対策済みのバージョンは公開されていません。以下のいず れかの回避策を適用することで、影響を軽減することが可能です。 - SSL フィルタリングを無効にし、Net Nanny がインストールした証明書を削 除する - Net Nanny をアンインストールする 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90912447 Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題 https://jvn.jp/vu/JVNVU90912447/ 関連文書 (英語) CERT/CC Blog The Risks of SSL Inspection https://www.cert.org/blogs/certcc/post.cfm?EntryID=221 【5】TransmitMail に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#41653647 TransmitMail におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN41653647/ Japan Vulnerability Notes JVN#26860747 TransmitMail におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN26860747/ 概要 TransmitMail には、複数の脆弱性があります。結果として、遠隔の第三者が、 サーバ上の任意のファイルを閲覧したり、ユーザのブラウザ上で任意のスクリ プトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - TransmitMail 1.0.11 から 1.5.8 まで この問題は、開発者が提供する修正済みのバージョンに TransmitMail を更新 することで解決します。詳細については、開発者が提供する情報を参照してく ださい。 関連文書 (日本語) どうのこうの TransmitMail の脆弱性について http://dounokouno.com/2015/04/20/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「Interop Tokyo 2015」開催 「Interop Tokyo 2015」が、2015年6月8日から 12日にかけて開催されます。 6月8日から 9日にはカンファレンス、6月10日から 12日には展示会が開催され ます。JPCERT/CC は、カンファレンスの企画・運営の協力と後援をしており、 CSIRT 構築・運用の事例を紹介する以下のプログラムでは、スピーカーも務め ます。ふるってご参加ください。 6月8日のプログラム: C3-3 CSIRT構築のすすめ Building CSIRT by Example https://reg.f2ff.jp/public/session/view/3094 参考文献 (日本語) Interop Tokyo 2015 Interop Tokyo 2015 カンファレンスサイト http://www.interop.jp/2015/conf/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVQYLAAAoJEDF9l6Rp7OBIr9gH/jdkomzzDAzfBZARUq2aliWV FSv2SQdEuZiJHv2uxL8dIbdKYhWF9yxyKbICfgVEr4bThTZ7kYFuVh+vlTPkYD1Y 1+C65BT0HVG9K4MJErajMBUaJcq+ThnadyMkpG6TpyqJ0K0/S7oVRbPpokvtL6PD 8nQRkoROWDJNEjD9H8B+f6pgO+PVuqTyfqdO4kZJ0w4Neu9kw2xu52168P/jpNsi BhlH1P3LcSf0+GbnbtrHUressg4GkQbNdXyhd0fJAnG2t830fEl4UxIvUL1LGzHx y0xT5mEr1ZgdUpyMK2VdroEqfZvG5klIcz2W0q/bUTRsPHKspvA1U4qog2lQPFw= =1tQ/ -----END PGP SIGNATURE-----