-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-2901 JPCERT/CC 2015-07-29 <<< JPCERT/CC WEEKLY REPORT 2015-07-29 >>> ―――――――――――――――――――――――――――――――――――――― ■07/19(日)〜07/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Cisco 製品に脆弱性 【2】WordPress に複数の脆弱性 【3】Honeywell Tuxedo Touch Controller に複数の脆弱性 【4】WordPress 用プラグイン Welcart に複数の脆弱性 【5】Research Artisan Lite に複数の脆弱性 【6】Total Commander 用プラグイン FileInfo にサービス運用妨害 (DoS) の脆弱性 【7】「フィッシング対策ガイドライン実践セミナー」開催のお知らせ 【今週のひとくちメモ】DNS Summer Days 2015 開催、および資料公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr152901.html https://www.jpcert.or.jp/wr/2015/wr152901.xml ============================================================================ 【1】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2015/07/23/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Application Policy Infrastructure Controllers (APIC) 1.1(1j) より前のバージョン - Application Policy Infrastructure Controllers (APIC) 1.0(3o) より前のバージョン - Application Policy Infrastructure Controllers (APIC) 1.0(4o) より前のバージョン - Cisco Nexus 9000 シリーズスイッチ (ACI モード) 11.1(1j) より前のバージョン - Cisco Nexus 9000 シリーズスイッチ (ACI モード) 11.0(4o) より前のバージョン - TFTP サーバを有効にしている Cisco IOS - TFTP サーバを有効にしている Cisco IOS XE - Cisco Unified MeetingPlace Web Conferencing 8.6 より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Application Policy Infrastructure Controller Access Control Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150722-apic Cisco Security Advisory Cisco IOS Software TFTP Server Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150722-tftp Cisco Security Advisory Cisco Unified MeetingPlace Unauthorized Password Change Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150722-mp 【2】WordPress に複数の脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2015/07/23/WordPress-Releases-Security-Update 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、 ユーザのブラウザ上で任意のスクリプトを実行したり、サイトの購読者が記事 の下書きを作成したりする可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.2.2 およびそれ以前 この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 関連文書 (英語) WordPress WordPress 4.2.3 Security and Maintenance Release https://wordpress.org/news/2015/07/wordpress-4-2-3/ 【3】Honeywell Tuxedo Touch Controller に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#857948 Honeywell Tuxedo Touch Controller contains multiple vulnerabilities https://www.kb.cert.org/vuls/id/857948 概要 Honeywell Tuxedo Touch Controller には、複数の脆弱性があります。結果と して、遠隔の第三者が、ログイン認証を回避したり、ユーザの意図しない操作 を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Honeywell Tuxedo Touch Controller ファームウェアバージョン 5.2.19.0_VA より前のバージョン この問題は、Honeywell が提供する修正済みのバージョンに Honeywell Tuxedo Touch Controller のファームウェアを更新することで解決します。詳細につい ては、Honeywell が提供する情報を参照してください。 関連文書 (英語) Honeywell Tuxedo Touch Software Updates http://www.tuxedotouchtoolkit.com/software-downloads/tuxedo-touch/index.html 【4】WordPress 用プラグイン Welcart に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#92828286 Welcart における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN92828286/ Japan Vulnerability Notes JVN#97971874 Welcart におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN97971874/ 概要 WordPress 用プラグイン Welcart には、クロスサイトスクリプティングおよ び SQL インジェクションの脆弱性があります。結果として、遠隔の第三者が、 データベースに対して任意のクエリを実行したり、ユーザのブラウザ上で任意 のスクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Welcart 1.4.17 およびそれ以前 この問題は、コルネ株式会社が提供する修正済みのバージョンに Welcart を 更新することで解決します。詳細は、コルネ株式会社が提供する情報を参照し てください。 関連文書 (日本語) コルネ株式会社 Welcart 1.4.18 をリリース【脆弱性の修正】 http://www.welcart.com/community/archives/74867 【5】Research Artisan Lite に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#10559378 Research Artisan Lite における認証不備の脆弱性 https://jvn.jp/jp/JVN10559378/ Japan Vulnerability Notes JVN#58020495 Research Artisan Lite におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN58020495/ 概要 Research Artisan Lite には、複数の脆弱性があります。結果として、遠隔の 第三者が、ユーザの意図しない操作を行ったり、ユーザのブラウザ上で任意の スクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Research Artisan Lite ver.1.18 より前のバージョン この問題は、Research Artisan Project が提供する修正済みのバージョンに Research Artisan Lite を更新することで解決します。詳細は、Research Artisan Project が提供する情報を参照してください。 関連文書 (日本語) Research Artisan Project バージョン1.17以前の脆弱性について http://lite.research-artisan.net/main/download 【6】Total Commander 用プラグイン FileInfo にサービス運用妨害 (DoS) の脆弱性 情報源 CERT/CC Vulnerability Note VU#813631 Total Commander File Info plugin vulnerable to denial of service via an out-of-bounds read https://www.kb.cert.org/vuls/id/813631 概要 Total Commander 用プラグイン FileInfo には、ファイルの処理に問題があり ます。結果として、第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性が あります。 対象となるバージョンは以下の通りです。 - FileInfo 2.21 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに FileInfo を更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91359631 Total Commander 用プラグイン FileInfo にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU91359631/ 関連文書 (英語) TOTALCMD.NET FileInfo 2.22 http://totalcmd.net/plugring/fileinfo.html 【7】「フィッシング対策ガイドライン実践セミナー」開催のお知らせ 情報源 フィッシング対策協議会 フィッシング対策ガイドライン実践セミナー開催のご案内 https://www.antiphishing.jp/news/event/antiphishing_guideline_seminar2015.html 概要 フィッシング対策協議会では、「フィッシング対策ガイドライン実践セミナー」 を開催いたします。本セミナーでは、フィッシングサイトやフィッシングメー ルなどへの対応ノウハウをセミナー形式で分かりやすく解説します。また、実 際にフィッシングサイトをたてられた金融機関による対応事例の紹介も予定し ております。 参加費は無料です。ただし、事前に参加申し込みが必要となります。満席にな り次第、受付終了とさせていただきますので、ご了承ください。 日時および場所: 2015年8月19日(水) 14:00-17:00 (受付開始:13:30) 日立システムズ ソリューションスクエア東京 東京都品川区大崎1-2-1 大崎フロントタワー http://www.hitachi-systems.com/ss/sst/guide/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○DNS Summer Days 2015 開催、および資料公開 2015年7月24日に、日本 DNS オペレーターズグループ (DNSOPS.JP) 主催の DNS Summer Days 2015 が開催されました。 午前にはチュートリアルが開催され、午後には DNS を取り巻く現状や昨今の インシデントについて議論するワークショップが開催されました。 一部のセッションの資料は、DNSOPS.JP の Web サイトで、すでに公開されて います。DNS の仕組みや運用の実状をよりよく理解するために、ぜひ参考にし てみてください。 参考文献 (日本語) 日本DNSオペレーターズグループ DNS Summer Days 2015 http://dnsops.jp/event20150724.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVuCO2AAoJEDF9l6Rp7OBIg2YH/0KJQA4PE4BGaLVQHJQ/7pRZ ZE50HY68tMC2Xn/kqtpb5DWU5gh+MU7/LC4Ru5HL2ZC+G52iQXElA9z2demxgiak jPsjK8lv6zNSv7xfg0elXB3uyZvHDx+cPcKdmQvxlVjLuMCoRuQqSfeJhETv80bT SijjznaB12hAKzBkaxYLnkwLIXqQGrctHIige0qLZ/kKoOtx9YRHMaJeaS+Ix/Xw zASp88xrfqdWRoT6LQNdf1/FkoHQxW+pHRjy6C0SInr0TmM0QgNT6n9MDhMaKY7a mlUbHNJTBZfCJpJvm4B9ZJn6ZD8tieFLW+i5PIDV6c9ZkiX3LRvZS40NbwQS7CI= =eiAT -----END PGP SIGNATURE-----