-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-2101 JPCERT/CC 2015-06-03 <<< JPCERT/CC WEEKLY REPORT 2015-06-03 >>> ―――――――――――――――――――――――――――――――――――――― ■05/24(日)〜05/30(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Zenphoto および ZenPhoto20 にクロスサイトスクリプティングの脆弱性 【2】Apache Sling の Sling API コンポーネントおよび Servlets Post コンポーネントにクロスサイトスクリプティングの脆弱性 【3】Blue Coat SSL Visibility Appliance に複数の脆弱性 【4】Synology の OS X 向け Cloud Station Client ユーティリティに一般ユーザによるシステムファイルの所有者変更が可能になる問題 【5】「Interop Tokyo 2015」展示会場内セミナー開催 【今週のひとくちメモ】IPA「サイバー情報共有イニシアティブ(J-CSIP) 2014年度 活動レポート」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr152101.html https://www.jpcert.or.jp/wr/2015/wr152101.xml ============================================================================ 【1】Zenphoto および ZenPhoto20 にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#68452022 Zenphoto におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN68452022/ Japan Vulnerability Notes JVN#51176150 ZenPhoto20 におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN51176150/ 概要 Zenphoto および ZenPhoto20 には、クロスサイトスクリプティングの脆弱性が あります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプ トを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Zenphoto 1.4.7 およびそれ以前 - ZenPhoto20 1.1.3 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに該当する製品を更新する ことで解決します。詳細については、開発者が提供する情報を参照してください。 関連文書 (英語) Zenphoto Zenphoto 1.4.8 https://www.zenphoto.org/news/zenphoto-1.4.8 GitHub ZenPhoto20/ZenPhoto20 https://github.com/ZenPhoto20/ZenPhoto20 【2】Apache Sling の Sling API コンポーネントおよび Servlets Post コンポーネントにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#61328139 Apache Sling の Sling API コンポーネントおよび Servlets Post コンポーネントにおけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN61328139/ 概要 Apache Sling の Sling API コンポーネントおよび Servlets Post コンポーネ ントには、クロスサイトスクリプティングの脆弱性があります。結果として、遠 隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - Apache Sling API バージョン 2.2.0 およびそれ以前 - Apache Sling Servlets Post バージョン 2.1.0 およびそれ以前 この問題は、The Apache Software Foundation が提供する修正済みのバージョン に該当する製品を更新することで解決します。詳細については、The Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) The Apache Software Foundation XSS vulnerability: HtmlResponse output does not escape URLs in HTML https://issues.apache.org/jira/browse/SLING-2082 【3】Blue Coat SSL Visibility Appliance に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#498348 Blue Coat SSL Visibility Appliance contains multiple vulnerabilities http://www.kb.cert.org/vuls/id/498348 概要 Blue Coat SSL Visibility Appliance には、複数の脆弱性があります。結果と して、遠隔の第三者が、任意の操作を行ったり、情報を取得したりするなどの可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - Blue Coat SSL Visibility Appliance ファミリー (SV800、SV1800、SV2800、SV3800) バージョン 3.6.x から 3.8.3 まで この問題は、Blue Coat Systems が提供する修正済みのバージョンに該当する製 品を更新することで解決します。詳細については、Blue Coat Systems が提供す る情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVN#97084421 Blue Coat SSL Visibility Appliance に複数の脆弱性 https://jvn.jp/vu/JVNVU97084421/ 関連文書 (英語) Blue Coat Systems SSL Visibility v3.8.4 Released https://bto.bluecoat.com/news/ssl-visibility-v3.8.4-released 【4】Synology の OS X 向け Cloud Station Client ユーティリティに一般ユーザによるシステムファイルの所有者変更が可能になる問題 情報源 CERT/CC Vulnerability Note VU#551972 Synology Cloud Station sync client for OS X allows regular users to claim ownership of system files http://www.kb.cert.org/vuls/id/551972 概要 OS X 向け Cloud Station Client ユーティリティには、一般ユーザが任意のシ ステムファイルの所有者を変更できる問題があります。結果として、ユーザが root 権限を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Cloud Station Client バージョン 1.1-2291 から 3.1-3320 まで この問題は、Synology が提供する修正済みのバージョンに Cloud Station Client を更新することで解決します。詳細については、Synology が提供する情 報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98783868 Synology の OS X 向け Cloud Station Client ユーティリティに一般ユーザによるシステムファイルの所有者変更が可能になる問題 https://jvn.jp/vu/JVNVU98783868/ 【5】「Interop Tokyo 2015」展示会場内セミナー開催 情報源 Interop Tokyo 2015 展示会場内セミナー https://reg.f2ff.jp/public/application/add/392 概要 2015年4月30日号のひとくちメモで Interop Tokyo 2015 カンファレンスをご紹 介しました。カンファレンスの翌日からは幕張メッセにおいて展示会が開催され ます。この展示会においてもセミナーが企画されています。6月11日(木) には、 JPCERT/CC も講演します。こちらもお楽しみください。 6月11日(木) のプログラム: EB-08 企業における情報セキュリティ緊急対応体制 講演者: 満永 拓邦 https://reg.f2ff.jp/public/session/view/3182 関連文書 (日本語) JPCERT/CC ひとくちメモ 「Interop Tokyo 2015」開催 https://www.jpcert.or.jp/tips/2015/wr151701.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA「サイバー情報共有イニシアティブ(J-CSIP) 2014年度 活動レポート」を公開 2015年5月27日、情報処理推進機構 (IPA) は、国内重要産業における標的型攻 撃の情報共有の枠組みである「サイバー情報共有イニシアティブ」(J-CSIP) の2014年度の活動レポートを公開しました。2014年度の年間報告に加え、これ までの J-CSIP の活動で得られた情報をもとに、標的型攻撃に使用されたメー ルの類型一覧や、攻撃内容の分析結果を別冊で報告しています。 参考文献 (日本語) 独立行政法人情報処理推進機構 (IPA) プレス発表 サイバー情報共有イニシアティブ(J-CSIP)2014年度 活動レポートの公開 https://www.ipa.go.jp/about/press/20150527.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVblBAAAoJEDF9l6Rp7OBIs60IAKnkLsxr+oo8Rzy/kGIaz/8O LP+pSCAdruqjvySw3Ow4VRbwrFpPSjnZK3l/B9QlmtMAdOPoKUVmEDjzeXuBnMwr /NQunyy/8eU8kDVOcDd7IA7YBuzrozCMsGbXFl5Galo/WEPY35uaFn7mE9RFj6HM szPa41PTnRFPrsldlxUkdGPyXNfwpVEPs0ePOLu5XxGpvwE5KLMsVVAcBJ3pe+x8 HxU/cF6fcBpIXKm3CNEMKWPgJKiNnZhJH3+AnfS3LCgeM63CU0HLd9W/KbtpRQks l92YUiZ0AHwJEppCQp1HtAToBQSI60flL21Qr3o76jBxCpe8C8VPV4Fs+njySPA= =UtPA -----END PGP SIGNATURE-----