-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-3101 JPCERT/CC 2015-08-12 <<< JPCERT/CC WEEKLY REPORT 2015-08-12 >>> ―――――――――――――――――――――――――――――――――――――― ■08/02(日)〜08/08(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Firefox に同一生成元ポリシー回避の脆弱性 【2】PHP に複数の脆弱性 【3】WordPress に複数の脆弱性 【4】Android 版「ヨドバシ」に複数の脆弱性 【今週のひとくちメモ】MS14-025 への対策確認の呼びかけ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr153101.html https://www.jpcert.or.jp/wr/2015/wr153101.xml ============================================================================ 【1】Firefox に同一生成元ポリシー回避の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox and Firefox ESR https://www.us-cert.gov/ncas/current-activity/2015/08/06/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR 概要 Firefox には、同一生成元ポリシー回避の脆弱性があります。結果として、遠 隔の第三者が、細工したページをユーザにアクセスさせることで、ユーザの端 末に保存されている情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 39.0.3 より前のバージョン - Firefox ESR 38.1.1 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2015 年 8 月 6 日) http://www.mozilla-japan.org/security/announce/ 【2】PHP に複数の脆弱性 情報源 PHP Group PHP 5.6.12 is available https://php.net/archive/2015.php#id2015-08-06-4 PHP Group PHP 5.5.28 is released https://php.net/archive/2015.php#id2015-08-06-3 PHP Group PHP 5.4.44 Released https://php.net/archive/2015.php#id2015-08-06-2 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 対象となるバージョンは以下の通りです。 - PHP 5.6.12 より前のバージョン - PHP 5.5.28 より前のバージョン - PHP 5.4.44 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細は、開発者や配布元が提供する情報を参照してく ださい。 関連文書 (英語) PHP Group PHP 5 ChangeLog Version 5.6.12 https://php.net/ChangeLog-5.php#5.6.12 PHP Group PHP 5 ChangeLog Version 5.5.28 https://php.net/ChangeLog-5.php#5.5.28 PHP Group PHP 5 ChangeLog Version 5.4.44 https://php.net/ChangeLog-5.php#5.4.44 【3】WordPress に複数の脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2015/08/04/WordPress-Releases-Security-Update 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユ ーザのブラウザ上で任意のスクリプトを実行したり、データベースに対して任 意のクエリを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.2.3 およびそれ以前 この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 関連文書 (日本語) WordPress WordPress 4.2.4 セキュリティとメンテナンスのリリース https://ja.wordpress.org/2015/08/06/wordpress-4-2-4-security-and-maintenance-release/ 【4】Android 版「ヨドバシ」に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#70465405 Android 版「ヨドバシ」において任意の Java のメソッドが実行される脆弱性 https://jvn.jp/jp/JVN70465405/ Japan Vulnerability Notes JVN#29053368 Android 版「ヨドバシ」における SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN29053368/ 概要 Android 版「ヨドバシ」には、複数の脆弱性があります。結果として、遠隔の 第三者が、任意のコードを実行したり、中間者攻撃によって暗号通信を盗聴す るなどの可能性があります。 対象となるバージョンは以下の通りです。 - Android 版「ヨドバシ」 バージョン 1.2.1.0 およびそれ以前 この問題は、株式会社ヨドバシカメラが提供する修正済みのバージョンに Android 版「ヨドバシ」を更新することで解決します。詳細は、株式会社ヨドバシカメ ラが提供する情報を参照してください。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○MS14-025 への対策確認の呼びかけ 2015年8月7日、US-CERT は「Required Group Policy Preference Actions for Microsoft Security Bulletin MS14-025」を公開しました。MS14-025 の更新 プログラムでは、グループポリシーにパスワードを保存しないよう修正が行わ れましたが、適用前にすでに保存されていたパスワードは削除されません。そ のため、MS14-025 では、「追加の措置が必要」として、その詳細を説明して います。すでに保存されていたパスワードを放置していると、システムへの不 正なアクセスを招くことになります。 US-CERT は、グループポリシーに保存されたままのパスワードを狙った攻撃が 今も続いているとして注意を呼びかけています。該当する製品をお使いの管理 者は、MS14-025 の対策が適切に行われているかどうか確認することをおすす めします。 参考文献 (日本語) マイクロソフト セキュリティ情報 MS14-025 - 重要 グループ ポリシー基本設定の脆弱性により、特権が昇格される (2962486) https://technet.microsoft.com/ja-jp/library/security/ms14-025.aspx マイクロソフト サポート [MS14-025] グループ ポリシー基本設定の脆弱性により、特権が昇格される (2014 年 5 月 13 日) https://support.microsoft.com/ja-jp/kb/2962486 参考文献 (英語) US-CERT Current Activity Required Group Policy Preference Actions for Microsoft Security Bulletin MS14-025 https://www.us-cert.gov/ncas/current-activity/2015/08/07/Required-Group-Policy-Preference-Actions-Microsoft-Security Microsoft TechNet Blogs - Ash de Zylva’s Weblog (Don’t) Set or Save Passwords Using Group Policy Preferences http://blogs.technet.com/b/ash/archive/2014/11/10/don-t-set-or-save-passwords-using-group-policy-preferences.aspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVy/ONAAoJEDF9l6Rp7OBIspgIAKnNNlg+Dwj17eKPtj7ebkmx JKG9vuK1NhK2FTYXIkpfPgSEnWJBxNcv6vPe59Vj15AGgPKd4iVt/bJ4yZJyGcnM eJZCLkQk2uHYE2WZXRt9Su+tMV45sXPsthREmE78awxTw/qJWK2B2Mw6/pUDRM1J YvDpX9bFEBnoQk9IayThY8inUPvl3rFZME28jl0WJbmtm+XYahOFYPfdKx4A1ooH YQjt63S3b1ZJgeyYRT7q0olVlqNkhNvkSa0pm9vMpulw/imluuOVdUWUFS4u+Mta tq+vNZRs++kHX3bh57PD+nVNeSxt71bUKWitZike3hQM0Nv0zWY0SEfNdW1cmoc= =Cx8G -----END PGP SIGNATURE-----