JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2015 > Weekly Report 2015-06-17号

最終更新: 2015-06-17

Weekly Report 2015-06-17号


JPCERT-WR-2015-2301
JPCERT/CC
2015-06-17

<<< JPCERT/CC WEEKLY REPORT 2015-06-17 >>>

■06/07(日)〜06/13(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】Adobe Flash Player および Adobe Air に複数の脆弱性

【3】OpenSSL に複数の脆弱性

【4】PHP に複数の脆弱性

【5】複数の VMware 製品に脆弱性

【6】Cisco IOS XR にサービス運用妨害 (DoS) の脆弱性

【7】CUPS (Common Unix Printing System) に複数の脆弱性

【8】Toshiba CHEC に AES 共通鍵がハードコードされている問題

【9】Toshiba 4690 OS に情報漏えいの脆弱性

【10】MilkyStep に複数の脆弱性

【11】Avigilon Control Center (ACC) にディレクトリトラバーサルの脆弱性

【12】BloBee に任意のファイルを作成される脆弱性

【今週のひとくちメモ】総務省、2つの注意喚起を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr152301.txt
https://www.jpcert.or.jp/wr/2015/wr152301.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases June 2015 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2015/06/09/Microsoft-Releases-June-2015-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office
- Microsoft Exchange Server

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2015 年 6 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms15-Jun

JPCERT/CC Alert 2015-06-10
2015年6月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150016.html

Japan Vulnerability Notes JVN#18146081
Microsoft Windows の LoadLibrary 関数における入力を適切に検証しない脆弱性
https://jvn.jp/jp/JVN18146081/

【2】Adobe Flash Player および Adobe Air に複数の脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Flash Player
https://www.us-cert.gov/ncas/current-activity/2015/06/09/Adobe-Releases-Security-Updates-Flash-Player

概要

Adobe Flash Player および Adobe Air には、複数の脆弱性があります。結果
として、遠隔の第三者が、任意のコードを実行したり、情報を取得したりする
可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player 17.0.0.188 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 継続サポートリリース 13.0.0.289 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 11.2.202.460 およびそれ以前 (Linux 版) 
- Adobe AIR デスクトップランタイム 17.0.0.172 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe AIR SDK および SDK & Compiler 17.0.0.172 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe AIR for Android 17.0.0.144 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb15-11.html

JPCERT/CC Alert 2015-06-10
Adobe Flash Player の脆弱性 (APSB15-11) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150017.html

【3】OpenSSL に複数の脆弱性

情報源

OpenSSL Project
OpenSSL Security Advisory [11 Jun 2015]
https://www.openssl.org/news/secadv_20150611.txt

概要

OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、中間
者攻撃を行ったり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能
性があります。

対象となるバージョンは以下の通りです。

- OpenSSL 1.0.2b より前のバージョン
- OpenSSL 1.0.1n より前のバージョン
- OpenSSL 1.0.0s より前のバージョン
- OpenSSL 0.9.8zg より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みのバー
ジョンに OpenSSL を更新することで解決します。なお、OpenSSL 1.0.2b と
OpenSSL 1.0.1n には、JPCERT/CC WEEKLY REPORT 2015-05-27号【1】で紹介し
た「TLS プロトコルに弱い鍵を受け入れる問題」の修正も含まれています。
詳細は、使用している OS のベンダや配布元が提供する情報を参照してくださ
い。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#91445763
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU91445763/

JPCERT/CC WEEKLY REPORT 2015-05-27
TLS プロトコルに弱い鍵を受け入れる問題
https://www.jpcert.or.jp/wr/2015/wr152001.html#1

【4】PHP に複数の脆弱性

情報源

PHP Group
PHP 5.6.10 is available
https://php.net/archive/2015.php#id2015-06-11-2

PHP Group
PHP 5.5.26 is available
https://php.net/archive/2015.php#id2015-06-11-1

PHP Group
PHP 5.4.42 Released
https://php.net/archive/2015.php#id2015-06-11-4

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。

対象となるバージョンは以下の通りです。

- PHP 5.6.10 より前のバージョン
- PHP 5.5.26 より前のバージョン
- PHP 5.4.42 より前のバージョン

この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細については、開発者や配布元が提供する情報を参
照してください。

関連文書 (英語)

PHP Group
PHP 5 ChangeLog Version 5.6.10
https://php.net/ChangeLog-5.php#5.6.10

PHP Group
PHP 5 ChangeLog Version 5.5.26
https://php.net/ChangeLog-5.php#5.5.26

PHP Group
PHP 5 ChangeLog Version 5.4.42
https://php.net/ChangeLog-5.php#5.4.42

【5】複数の VMware 製品に脆弱性

情報源

US-CERT Current Activity
VMWare Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2015/06/09/VMWare-Releases-Security-Updates-Multiple-Products

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- VMware Workstation 11.1.1 より前のバージョン
- VMware Workstation 10.0.6 より前のバージョン
- VMware Player 7.1.1 より前のバージョン
- VMware Player 6.0.6 より前のバージョン
- VMware Fusion 7.0.1 より前のバージョン
- VMware Fusion 6.0.6 より前のバージョン
- VMware Horizon Client for Windows 3.4.0 より前のバージョン
- VMware Horizon Client for Windows 3.2.1 より前のバージョン
- VMware Horizon Client for Windows (with local mode) 5.4.1 より前のバージョン

この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細は、VMware が提供する情報を参照してください。

関連文書 (英語)

VMware Security Advisories
VMware Workstation, Fusion and Horizon View Client updates address critical security issues
https://www.vmware.com/security/advisories/VMSA-2015-0004.html

【6】Cisco IOS XR にサービス運用妨害 (DoS) の脆弱性

情報源

US-CERT Current Activity
Cisco IOS XR Denial-of-Service Vulnerability
https://www.us-cert.gov/ncas/current-activity/2015/06/11/Cisco-IOS-XR-Denial-Service-Vulnerability

概要

Cisco IOS XR には、脆弱性があります。結果として、遠隔の第三者が、細工
した IPv6 パケットを送信することで、サービス運用妨害 (DoS) 攻撃を行う
可能性があります。

対象となるバージョンは以下の通りです。

- Cisco IOS XR 4.2.1 より前のバージョン

この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS XR を更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco IOS XR Software Crafted IPv6 Packet Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150611-iosxr

【7】CUPS (Common Unix Printing System) に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#810572
CUPS print service is vulnerable to privilege escalation and cross-site scripting
http://www.kb.cert.org/vuls/id/810572

概要

CUPS (Common Unix Printing System) には、複数の脆弱性があります。結果
として、遠隔の第三者が、権限昇格したり、ユーザのブラウザ上で任意のスク
リプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- CUPS 2.0.3 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン
に CUPS を更新することで解決します。詳細は、使用している OS のベンダや
配布元が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#96553205
CUPS (Common Unix Printing System) に複数の脆弱性
https://jvn.jp/vu/JVNVU96553205/

関連文書 (英語)

CUPS.org (STR #4609)
CERT VU#810572: Privilege escalation through dynamic linker and isolated vulnerabilities
https://www.cups.org/str.php?L4609

【8】Toshiba CHEC に AES 共通鍵がハードコードされている問題

情報源

CERT/CC Vulnerability Note VU#301788
Toshiba CHEC contains a hard-coded cryptographic key
http://www.kb.cert.org/vuls/id/301788

概要

Toshiba CHEC には、AES 共通鍵がハードコードされている問題があります。
結果として、当該製品にアクセス可能な第三者が、暗号化された情報を復号す
る可能性があります。

問題が確認されたバージョンは以下の通りですが、他のバージョンも影響を受
ける可能性があります。

- Toshiba CHEC version 6.6、6.7

この問題は、開発者が提供する修正済みのバージョンに Toshiba CHEC を更新
することで解決します。詳細については、開発者が提供する情報を参照してく
ださい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#91309683
Toshiba CHEC に AES 共通鍵がハードコードされている問題
https://jvn.jp/vu/JVNVU91309683/

【9】Toshiba 4690 OS に情報漏えいの脆弱性

情報源

CERT/CC Vulnerability Note VU#924506
Toshiba 4690 OS contains an information disclosure vulnerability
http://www.kb.cert.org/vuls/id/924506

概要

Toshiba 4690 OS には、脆弱性があります。結果として、遠隔の第三者が、細
工した文字列を送信することで、情報を取得する可能性があります。

問題が確認されたバージョンは以下の通りですが、他のバージョンも影響を受
ける可能性があります。

- Toshiba 4690 Operating System version 6 (Release 3)

2015年6月17日現在、対策済みのバージョンは公開されていません。以下の回
避策を適用することで、本脆弱性の影響を軽減することが可能です。 

- ADXSITCF を無効にする

詳細については、開発者が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92189302
Toshiba 4690 OS に情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU92189302/

【10】MilkyStep に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#16409640
MilkyStep におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN16409640/

Japan Vulnerability Notes JVN#12241436
MilkyStep におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN12241436/

Japan Vulnerability Notes JVN#05559185
MilkyStep における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN05559185/

Japan Vulnerability Notes JVN#52478686
MilkyStep における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN52478686/

Japan Vulnerability Notes JVN#20879350
MilkyStep におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN20879350/

Japan Vulnerability Notes JVN#74280258
MilkyStep におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN74280258/

Japan Vulnerability Notes JVN#19732015
MilkyStep におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN19732015/

概要

MilkyStep には、複数の脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行した
りするなどの可能性があります。

対象となるバージョンは以下の通りです。

- MilkyStep Light Ver0.94 およびそれ以前
- MilkyStep Professional Ver1.82 およびそれ以前
- MilkyStep Professional OEM Ver1.82 およびそれ以前

この問題は、株式会社イグレックスが提供する修正済みのバージョンに MilkyStep
を更新することで解決します。詳細は、株式会社イグレックスが提供する情報
を参照してください。

関連文書 (日本語)

MILKYSTEPからのお知らせ
MilkyStep Professional Ver1.83を公開しました
http://milkystep.com/topics/?p=492

MILKYSTEPからのお知らせ
MilkyStep Light Ver0.95を公開しました
http://milkystep.com/topics/?p=495

【11】Avigilon Control Center (ACC) にディレクトリトラバーサルの脆弱性

情報源

CERT/CC Vulnerability Note VU#555984
Avigilon Control Center is vulnerable to path traversal
http://www.kb.cert.org/vuls/id/555984

概要

Avigilon Control Center (ACC) には、脆弱性があります。結果として、遠隔
の第三者が、サーバ上の任意のファイルにアクセスする可能性があります。

対象となるバージョンは以下の通りです。

- ACC Server 4.12.0.54 より前のバージョン
- ACC Server 5.4.2.22 より前のバージョン

この問題は、Avigilon が提供する修正済みのバージョンに ACC Server を更
新することで解決します。詳細は、Avigilon が提供する情報を参照してくだ
さい。 

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98987119
Avigilon Control Center (ACC) にディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU98987119/

【12】BloBee に任意のファイルを作成される脆弱性

情報源

Japan Vulnerability Notes JVN#24336273
BloBee における任意のファイルを作成される脆弱性
https://jvn.jp/jp/JVN24336273/

概要

BloBee には、脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行する可能性があります。

対象となるバージョンは以下の通りです。

- BloBee v1.20 およびそれ以前

この問題は、シージーアイ・レスキューが提供する修正済みのバージョンに
BloBee を更新することで解決します。詳細は、シージーアイ・レスキューが
提供する情報を参照してください。

関連文書 (日本語)

シージーアイ・レスキュー
BloBee(ブロビー) v1.21リリース ファイル添付の際の脆弱性を修正
https://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20150610121435

■今週のひとくちメモ

○総務省、2つの注意喚起を公開

2015年6月12日、総務省は「第三者によるIP電話等の不正利用に関する注意喚
起」および「無線LANルータの不正利用に関する注意喚起」を公開しました。

これらの文書では、IP 電話などの電話サービスや家庭用無線 LAN ルータが、
第三者によって不正利用されていることが述べられています。これらの問題の
発生を防ぐため、ネットワーク機器の設定内容の確認や、セキュリティ強化の
ための設定変更を行うなどの対策が呼びかけられています。

参考文献 (日本語)

総務省
第三者によるIP電話等の不正利用に関する注意喚起
http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000191.html

総務省
無線LANルータの不正利用に関する注意喚起
http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000192.html

NTT 東日本
第三者による不正な電話利用等の被害にご注意ください
https://www.ntt-east.co.jp/info/detail/150612_01.html

独立行政法人情報処理推進機構 (IPA)
無線LAN <危険回避> 対策のしおり
https://www.ipa.go.jp/security/antivirus/documents/11_wireless_lan.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english