-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-3701 JPCERT/CC 2015-09-30 <<< JPCERT/CC WEEKLY REPORT 2015-09-30 >>> ―――――――――――――――――――――――――――――――――――――― ■09/13(日)〜09/26(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Flash Player および Adobe AIR に複数の脆弱性 【2】Firefox に複数の脆弱性 【3】複数の Apple 製品に脆弱性 【4】複数の Cisco 製品に脆弱性 【5】WordPress に複数の脆弱性 【6】VMware vCenter Server に情報漏えいの脆弱性 【今週のひとくちメモ】SiSOC Tokyo 発足セミナー開催 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr153701.html https://www.jpcert.or.jp/wr/2015/wr153701.xml ============================================================================ 【1】Adobe Flash Player および Adobe AIR に複数の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player https://www.us-cert.gov/ncas/current-activity/2015/09/21/Adobe-Releases-Security-Update-Flash-Player 概要 Adobe Flash Player および Adobe AIR には複数の脆弱性があります。結果と して、遠隔の第三者が任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 18.0.0.232 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 継続サポートリリース 18.0.0.232 およびそれ以前 (Windows 版、Macintosh 版) - Google Chrome 用の Adobe Flash Player 18.0.0.233 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、ChromeOS 版) - Adobe Flash PlayerLinux 11.2.202.508 およびそれ以前 (Linux 版) - Adobe AIR デスクトップランタイム 18.0.0.199 およびそれ以前 (Windows 版、Macintosh 版) - Adobe AIR SDK 18.0.0.199 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版) - Adobe AIR SDK & Compiler 18.0.0.180 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版) - Adobe AIR 18.0.0.143 およびそれ以前 (Android 版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe セキュリティ情報 Adobe Flash Player に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb15-23.html JPCERT/CC Alert 2015-09-24 Adobe Flash Player の脆弱性 (APSB15-23) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150033.html 【2】Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox https://www.us-cert.gov/ncas/current-activity/2015/09/22/Mozilla-Releases-Security-Updates-Firefox 概要 Firefoxには、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの 可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 41 より前のバージョン - Firefox ESR 38.3 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2015 年 9 月 22 日) http://www.mozilla-japan.org/security/announce/ 【3】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for OS X Server, iTunes, Xcode, and iOS https://www.us-cert.gov/ncas/current-activity/2015/09/16/Apple-Releases-Security-Updates-OS-X-Server-iTunes-Xcode-and-iOS 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 9 より前のバージョン - Xcode 7.0 より前のバージョン - iTunes 12.3 より前のバージョン (Windows 7 およびそれ以降) - OS X Server v5.0.3 より前のバージョン - watchOS 2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する ことで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99970459 複数の Apple 製品の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU99970459/ 関連文書 (英語) Apple About the security content of iOS 9 https://support.apple.com/ja-jp/HT205212 Apple About the security content of Xcode 7.0 https://support.apple.com/ja-jp/HT205217 Apple About the security content of iTunes 12.3 https://support.apple.com/ja-jp/HT205221 Apple About the security content of OS X Server v5.0.3 https://support.apple.com/ja-jp/HT205219 Apple About the security content of watchOS 2 https://support.apple.com/ja-jp/HT205213 【4】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2015/09/17/Cisco-Releases-Security-Updates US-CERT Current Activity Cisco Semiannual Security Advisory Bundle https://www.us-cert.gov/ncas/current-activity/2015/09/24/Cisco-Semiannual-Security-Advisory-Bundle-0 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 認証を回避したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Prime Collaboration Assurance - Cisco TelePresence Server software 4.1 (2.33) より前のバージョンを稼働している Cisco TelePresence Server - Cisco Prime Collaboration Provisioning - Cisco IOS - Cisco IOS XE ソフトウェア この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (日本語) Cisco セキュリティ アドバイザリ Multiple Vulnerabilities in Cisco Prime Collaboration Assurance http://www.cisco.com/cisco/web/support/JP/113/1135/1135304_cisco-sa-20150916-pca-j.html Cisco セキュリティ アドバイザリ Cisco TelePresence Server Denial of Service Vulnerability http://www.cisco.com/cisco/web/support/JP/113/1135/1135306_cisco-sa-20150916-tps-j.html Cisco セキュリティ アドバイザリ Cisco Prime Collaboration Provisioning Web Framework Access Controls Bypass Vulnerability http://www.cisco.com/cisco/web/support/JP/113/1135/1135305_cisco-sa-20150916-pcp-j.html Cisco セキュリティ アドバイザリ Cisco Event Response: September 2015 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication http://www.cisco.com/cisco/web/support/JP/113/1135/1135337_Cisco_ERP_sep15-j.html 【5】WordPress に複数の脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2015/09/15/WordPress-Releases-Security-Update 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行したり、ユーザが本来許可されてい ない操作を実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.3 およびそれ以前 この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 関連文書 (日本語) WordPress WordPress 4.3.1 セキュリティとメンテナンスのリリース https://ja.wordpress.org/2015/09/17/wordpress-4-3-1/ 【6】VMware vCenter Server に情報漏えいの脆弱性 情報源 US-CERT Current Activity VMware Releases Security Update https://www.us-cert.gov/ncas/current-activity/2015/09/17/VMware-Releases-Security-Update 概要 VMware vCenter Server には、脆弱性があります。結果として、第三者が中間 者攻撃を行うことによって、vCenter Server と LDAP サーバの間の通信を盗 聴するなどの可能性があります。 対象となるバージョンは以下の通りです。 - VMware vCenter Server version 6.0 update 1 より前のバージョン - VMware vCenter Server version 5.5 update 3 より前のバージョン この問題は、VMware が提供する修正済みのバージョンに VMware vCenter Server を更新することで解決します。詳細は、VMware が提供する情報を参照してく ださい。 関連文書 (英語) VMware Security Advisories VMware vCenter Server updates address a LDAP certificate validation issue https://www.vmware.com/security/advisories/VMSA-2015-0006.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○SiSOC Tokyo 発足セミナー開催 東京大学セキュア情報化社会研究寄付講座 (SiSOC Tokyo) は、発足にあたっ てセミナーを開催します。 SiSOC Tokyo は、セキュリティをはじめとするサ イバー空間に関する課題について学際的研究・人材育成・政策提言の推進を目 指しています。本セミナーでは、東京2020オリンピック・パラリンピック競技 大会の開催とマイナンバー社会を見据え、大会組織委員会やマイナンバー関係 省庁からの講演と併せて、SiSOC Tokyo にて行う研究内容の紹介を行います。 日時および場所: 2015年10月7日(水) 13:30?17:35 (12:45開場) 東京大学 情報学環・福武ホール 福武ラーニングシアター 申し込み URL: http://www.sisoc-tokyo.symposium.jp/ 参考文献 (日本語) 東京大学 大学院情報学環 SiSOC Tokyo 発足セミナー http://www.sisoc-tokyo.symposium.jp/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWCyeBAAoJEDF9l6Rp7OBIFpoH/0aUq8sVdjTj+pu0ea85m6WC i8aCa/XjMEHTp7F3ty/GKXvvNGEhY4b1Sh6iVWaFyR6/8af/N+yNYgE0sHg9pjPP OPqQNIO8FpD7a0uvY2Gu050FFnPy3/7d6PvFW54q6LbmbK0lVzlRc9/dpCN3ubHe wnzAQ0yJjmxqsU44sAx9V2tx1c3WjJsCRSuhm1qqQqEMjZqDio18YKQMqXM4St47 +G/IxzSf3n3Oou7l2bZCXscL60ryXyCjwdnTdIHwKQR9GV4PMgxE+1XERe2Yv4Wo RGlgqH5U+/R7aNiAWFGEG9HUG97seiEpHMsPX+da+LryVN8duzyzLbjZ3tD/LJg= =FOLd -----END PGP SIGNATURE-----