-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-3301 JPCERT/CC 2015-08-26 <<< JPCERT/CC WEEKLY REPORT 2015-08-26 >>> ―――――――――――――――――――――――――――――――――――――― ■08/16(日)〜08/22(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Internet Explorer に任意のコードが実行可能な脆弱性 【2】Drupal に複数の脆弱性 【3】Trend Micro Deep Discovery Inspector に複数の脆弱性 【4】Cisco Prime Infrastructure に脆弱性 【5】Adobe LiveCycle Data Services に情報漏えいの脆弱性 【6】Windows 版 QuickTime に任意のコードが実行可能な脆弱性 【7】複数のアイ・オー・データ製ルータに脆弱性 【今週のひとくちメモ】「サイバーセキュリティ2015(案)」コメント募集 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr153301.html https://www.jpcert.or.jp/wr/2015/wr153301.xml ============================================================================ 【1】Internet Explorer に任意のコードが実行可能な脆弱性 情報源 US-CERT Current Activity Microsoft Releases Critical Security Update for Internet Explorer https://www.us-cert.gov/ncas/current-activity/2015/08/19/Microsoft-Releases-Critical-Security-Update-Internet-Explorer 概要 Internet Explorer には、任意のコードが実行可能な脆弱性があります。結果 として、遠隔の第三者が、ユーザに不正なページへアクセスを行わせることで、 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Internet Explorer 7 - Internet Explorer 8 - Internet Explorer 9 - Internet Explorer 10 - Internet Explorer 11 この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを 適用することで解決します。詳細は、Microsoft が提供する情報を参照してく ださい。 関連文書 (日本語) マイクロソフト株式会社 Internet Explorer 用のセキュリティ更新プログラム (3088903) https://technet.microsoft.com/library/security/MS15-093 JPCERT/CC Alert 2015-08-19 マイクロソフト セキュリティ情報 (MS15-093) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150030.html 【2】Drupal に複数の脆弱性 情報源 US-CERT Current Activity Drupal Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2015/08/19/Drupal-Releases-Security-Updates 概要 Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 の SQL コマンドを実行したり、ユーザのブラウザ上で任意のスクリプトを実 行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - Drupal 6.37 より前のバージョン - Drupal 7.39 より前のバージョン この問題は、Drupal が提供する修正済みのバージョンに Drupal を更新する ことで解決します。詳細は、Drupal が提供する情報を参照してください。 関連文書 (英語) Drupal Security advisories Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2015-003 https://www.drupal.org/SA-CORE-2015-003 【3】Trend Micro Deep Discovery Inspector に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#248692 Trend Micro Deep Discovery threat appliance contains multiple vulnerabilities https://www.kb.cert.org/vuls/id/248692 概要 Trend Micro Deep Discovery Inspector には、複数の脆弱性があります。結 果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行し たり、認証を回避したりする可能性があります。 対象となるバージョンは以下の通りです。 - Trend Micro Deep Discovery Inspector 3.8 (英語版、日本語版) - Trend Micro Deep Discovery Inspector 3.7 (英語版、日本語版、中国語版) - Trend Micro Deep Discovery Inspector 3.6 (英語版) - Trend Micro Deep Discovery Inspector 3.5 (英語版、日本語版、中国語版) この問題は、Trend Micro が提供する修正済みのバージョンに Trend Micro Deep Discovery Inspector を更新することで解決します。詳細は、Trend Micro が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90416059 Trend Micro Deep Discovery Inspector に複数の脆弱性 https://jvn.jp/vu/JVNVU90416059/ 関連文書 (英語) Trend Micro Discovery Inspector (DDI) Authentication Bypass (CVE-2015-2873) and Cross-Site Scripting (XSS) Vulnerability (CVE-2015-2872) https://esupport.trendmicro.com/solution/en-US/1112206.aspx 【4】Cisco Prime Infrastructure に脆弱性 情報源 CERT/CC Vulnerability Note VU#300820 Cisco Prime Infrastructure contains SUID root binaries https://www.kb.cert.org/vuls/id/300820 概要 Cisco Prime Infrastructure には、SUID root された実行ファイルが、全ユーザ から実行可能な状態で存在する問題があります。結果として、当該製品にアク セス可能なユーザが、root 権限で任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Prime Infrastructure version 2.2 この問題は、Cisco が提供する修正済みのバージョンに Cisco Prime Infrastructure を更新することで解決します。また、以下の回避策を適用することで、本脆弱 性の影響を軽減することが可能です。 - runShellCommand および runShellAsRoot のファイルパーミッションを変更し、 ローカルアカウントがこれらの実行ファイルを使用できないようにする 詳細は、Cisco が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95685556 Cisco Prime Infrastructure に SUID root された実行ファイルが存在する問題 https://jvn.jp/vu/JVNVU95685556/ 【5】Adobe LiveCycle Data Services に情報漏えいの脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Update for LiveCycle Data Services https://www.us-cert.gov/ncas/current-activity/2015/08/18/Adobe-Releases-Security-Update-LiveCycle-Data-Services 概要 Adobe LiveCycle Data Services には、脆弱性があります。結果として、遠隔 の第三者が、当該製品が動作するサーバ内の情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - LiveCycle Data Services 4.7、4.6.2、4.5、3.0.x (Windows 版、Macintosh 版、Unix 版) この問題は、Adobe が提供する修正済みのバージョンに LiveCycle Data Services を更新することで解決します。詳細は、Adobe が提供する情報を参照してくだ さい。 関連文書 (日本語) Adobe セキュリティ情報 LiveCycle Data Services 対象のセキュリティホットフィックス https://helpx.adobe.com/jp/security/products/livecycleds/apsb15-20.html 【6】Windows 版 QuickTime に任意のコードが実行可能な脆弱性 情報源 US-CERT Current Activity Apple Releases Security Update for QuickTime https://www.us-cert.gov/ncas/current-activity/2015/08/20/Apple-Releases-Security-Update-QuickTime 概要 Windows 版 QuickTime には、任意のコードが実行可能な脆弱性があります。 結果として、遠隔の第三者が、ユーザに細工したファイルを開かせることで、 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - QuickTime 7.7.8 より前のバージョン (Windows 版) この問題は、Apple が提供する修正済みのバージョンに QuickTime を更新す ることで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (英語) Apple About the security content of QuickTime 7.7.8 https://support.apple.com/en-us/HT205046 【7】複数のアイ・オー・データ製ルータに脆弱性 情報源 Japan Vulnerability Notes JVN#17964918 複数のアイ・オー・データ製ルータにおける UPnP に関する脆弱性 https://jvn.jp/jp/JVN17964918/ 概要 株式会社アイ・オー・データ機器が提供する複数のルータ製品には、UPnP に 関する脆弱性があります。結果として、遠隔の第三者が、当該製品を DDoS 攻 撃の踏み台として使用する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - NP-BBRS - WN-G54/R2 ファームウェア Ver.1.03 より前のバージョン NP-BBRS はサポートを終了していますので、使用を停止してください。 WN-G54/R2 は、株式会社アイ・オー・データ機器が提供する修正済みのバージョン にファームウェアを更新することで解決します。詳細は、株式会社アイ・オー・ データ機器が提供する情報を参照してください。 関連文書 (日本語) 株式会社アイ・オー・データ機器 無線ルーター「WN-G54/R2」、有線ルーター「NP-BBRS」セキュリティの脆弱性の対処に関するご案内 http://www.iodata.jp/support/information/2015/wn-g54r2/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「サイバーセキュリティ2015(案)」コメント募集 2015年8月20日、内閣官房内閣サイバーセキュリティセンター (NISC) は「サ イバーセキュリティ2015(案)」を公開し、パブリックコメントの募集を開始 しました。 この案は、政府が 2015年度に実施する具体的な取組みを示しており、政府機 関における連携はもとより、重要インフラ事業者や企業、個人とも連携しつつ 取組みを推進していくとしています。この案に対するパブリックコメントは 2015年9月3日まで受け付けています。 参考文献 (日本語) 内閣官房内閣サイバーセキュリティセンター (NISC) 「サイバーセキュリティ2015(案)」に関する意見の募集 http://www.nisc.go.jp/active/kihon/cyber-security2015.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJV3Qy2AAoJEDF9l6Rp7OBItI8IAIB7M8uRKa8NAIc3wYL4prHJ pJP6CJ2piLzc1ZqFoAHGb6Ggy2AECKiXk/diVs5EGy8JyE9vTQnqNXRzpAEkKtfN EGGu/TsIRAW0rO9jO5w1ROAqq+wEixRkkA4QX5Abra+f2tBoSlhI/Mosyrk0HMqG ZgNOGTeclti8949ImRaslu+zW9MnCPO7aawEwXTLgU8cGjMLWru43G+t8x4w8Ge3 EqX8rTyzh/37WZcWBY5MtbsJLnZxRWyu7kB+fOAhaNr2uEsDgB3PcSX1Uo64dBNs UjkFN2O36GjaKTSStvfLUk45P2Vm7S2ua/ZKkaZ16pztuiLnbtgGUbaYquMM0oY= =Ng+X -----END PGP SIGNATURE-----