-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-2601 JPCERT/CC 2015-07-08 <<< JPCERT/CC WEEKLY REPORT 2015-07-08 >>> ―――――――――――――――――――――――――――――――――――――― ■06/28(日)〜07/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Apple 製品に脆弱性 【2】Cisco Unified Communications Domain Manager Platform Software に任意のコードが実行可能な脆弱性 【3】OpenEMR に認証回避の脆弱性 【今週のひとくちメモ】IETF が「Deprecating Secure Sockets Layer Version 3.0」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr152601.html https://www.jpcert.or.jp/wr/2015/wr152601.xml ============================================================================ 【1】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for QuickTime, Safari, Mac EFI, OS X Yosemite, and iOS https://www.us-cert.gov/ncas/current-activity/2015/06/30/Apple-Releases-Security-Updates-QuickTime-Safari-Mac-EFI-OS-X 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 8.4 より前のバージョン - OS X Yosemite v10.10.4 より前のバージョン - OS X Mavericks v10.9.5 およびそれ以前 - OS X Mountain Lion v10.8.5 およびそれ以前 - Safari 8.0.7 より前のバージョン - Safari 7.1.7 より前のバージョン - Safari 6.2.7 より前のバージョン - iTunes 12.2 より前のバージョン (Windows 8 版、Windows 7 版) - QuickTime 7.7.7 より前のバージョン (Windows 7 版、Windows Vista 版) この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (英語) Apple About the security content of iOS 8.4 https://support.apple.com/en-us/HT204941 Apple About the security content of OS X Yosemite v10.10.4 and Security Update 2015-005 https://support.apple.com/en-us/HT204942 Apple About the security content of Mac EFI Security Update 2015-001 https://support.apple.com/en-us/HT204934 Apple About the security content of Safari 8.0.7, Safari 7.1.7, and Safari 6.2.7 https://support.apple.com/en-us/HT204950 Apple About the security content of iTunes 12.2 https://support.apple.com/en-us/HT204949 Apple About the security content of QuickTime 7.7.7 https://support.apple.com/en-us/HT204947 【2】Cisco Unified Communications Domain Manager Platform Software に任意のコードが実行可能な脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Update https://www.us-cert.gov/ncas/current-activity/2015/07/01/Cisco-Releases-Security-Update 概要 Cisco Unified Communications Domain Manager Platform Software には、脆 弱性があります。結果として、遠隔の第三者が、当該製品の管理者権限を取得 する可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Unified Communications Domain Manager Platform Software 4.4.5 より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified Communications Domain Manager Platform Software を更新することで解決し ます。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Unified Communications Domain Manager Default Static Privileged Account Credentials http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150701-cucdm 【3】OpenEMR に認証回避の脆弱性 情報源 Japan Vulnerability Notes JVN#22677713 OpenEMR における認証回避の脆弱性 https://jvn.jp/jp/JVN22677713/ 概要 OpenEMR には、脆弱性があります。結果として、遠隔の第三者が、当該製品に 記録されている情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - OpenEMR 2.8.3 から 4.2.0 patch 1 まで この問題は、OpenEMR Project が提供する最新のバージョンに OpenEMR を更 新し、パッチを適用することで解決します。詳細は、OpenEMR Project が提供 する情報を参照してください。 関連文書 (英語) OpenEMR OpenEMR Patches http://www.open-emr.org/wiki/index.php/OpenEMR_Patches ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IETF が「Deprecating Secure Sockets Layer Version 3.0」を公開 2015年6月、IETF は RFC 7568 として「Deprecating Secure Sockets Layer Version 3.0」を公開しました。 この RFC では、これまでに SSLv3 で発見された脆弱性に言及した上で、 SSLv3 の使用を停止し、TLS 1.2 以降を使用するよう呼びかけています。 参考文献 (日本語) JPCERT/CC WEEKLY REPORT ひとくちメモ 2015-05-20 IPA、「SSL/TLS暗号設定ガイドライン」を公開 https://www.jpcert.or.jp/tips/2015/wr151901.html 参考文献 (英語) RFC 7568 Deprecating Secure Sockets Layer Version 3.0 https://tools.ietf.org/html/rfc7568 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVnHAOAAoJEDF9l6Rp7OBIECQH/004NHaOJ+p27bjp76gdElsC c5UX1kKT48LCWUnLAnmcJ84Y742BlQ2CsoYQrXGedi27oOGStwSWBAMHOS0fxlBa MkUz1BMryU3RcsrY+Iyr+bEUb+s7e6w+I+54r3RAdeoRjg8vC6nNd8c8BfIeWMKq LGaGBuKDF9y+dm+MESAjk9nIvV7jQP24mtutROZicJs/pEl6yku2zGoTXwNI5f3M Q60hZkcDy3KRFXV3GrryGoPhCsdyYE0veATPTL1fedd6bJsKd+o3tQBa2vqk9cdZ k5EID95O8bqzdWHky+BmzL19XvhqC+BTaQrSBE+3/p1K3l/OPvfOtEs7rnb7eyU= =CKi7 -----END PGP SIGNATURE-----