-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-4401 JPCERT/CC 2015-11-18 <<< JPCERT/CC WEEKLY REPORT 2015-11-18 >>> ―――――――――――――――――――――――――――――――――――――― ■11/08(日)〜11/14(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】Adobe Flash Player および Adobe AIR に複数の脆弱性 【3】Symantec Endpoint Protection に複数の脆弱性 【4】PowerDNS Authoritative Server にサービス運用妨害 (DoS) の脆弱性 【5】pWebManager に OS コマンドインジェクションの脆弱性 【今週のひとくちメモ】無線 / 有線 LAN ルータを使用する際はデフォルトのパスワードの変更を ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr154401.html https://www.jpcert.or.jp/wr/2015/wr154401.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases November 2015 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2015/11/10/Microsoft-Releases-November-2015-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Edge - Microsoft Office - Microsoft Office Services および Web Apps - Microsoft Lync - Skype for Business - Microsoft .NET Framework この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2015 年 11 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms15-nov JPCERT/CC Alert 2015-11-11 2015年11月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150039.html 【2】Adobe Flash Player および Adobe AIR に複数の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player https://www.us-cert.gov/ncas/current-activity/2015/11/10/Adobe-Releases-Security-Updates-Flash-Player 概要 Adobe Flash Player および Adobe AIR には複数の脆弱性があります。結果と して、遠隔の第三者が、任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 19.0.0.226 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 継続サポートリリース 18.0.0.255 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.540 およびそれ以前 (Linux 版) - Adobe AIR デスクトップランタイム 19.0.0.213 およびそれ以前 (Windows 版、Macintosh 版) - Adobe AIR SDK 19.0.0.213 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版) - Adobe AIR SDK & Compiler 19.0.0.213 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版) - Adobe AIR 19.0.0.190 およびそれ以前 (Android 版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Alert 2015-11-11 Adobe Flash Player の脆弱性 (APSB15-28) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150040.html 関連文書 (英語) Adobe Security Bulletin Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsb15-28.html 【3】Symantec Endpoint Protection に複数の脆弱性 情報源 US-CERT Current Activity Symantec Releases Security Update https://www.us-cert.gov/ncas/current-activity/2015/11/09/Symantec-Releases-Security-Update 概要 Symantec Endpoint Protection には、複数の脆弱性があります。結果として、 遠隔の第三者が、任意のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - Symantec Endpoint Protection マネージャー - Symantec Endpoint Protection クライアント この問題は、Symantec が提供する修正済みのバージョンに Symantec Endpoint Protection を更新することで解決します。詳細は、Symantec が提供する情報 を参照してください。 関連文書 (英語) Symantec Security Response Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Elevation of Privilege Issues http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20151109_00 【4】PowerDNS Authoritative Server にサービス運用妨害 (DoS) の脆弱性 情報源 株式会社日本レジストリサービス (JPRS) PowerDNS Authoritative Serverの脆弱性(DNSサービスの停止)について(2015年11月11日公開) - バージョンアップを強く推奨 - http://jprs.jp/tech/security/2015-11-11-powerdns-vuln-packetparsing.html 概要 PowerDNS Authoritative Server には、サービス運用妨害 (DoS) の脆弱性が あります。結果として、遠隔の第三者が、細工した問い合わせを送信すること で、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - PowerDNS Authoritative Server 3.4.4 から 3.4.6 この問題は、開発者が提供する修正済みのバージョンに PowerDNS Authoritative Server を更新することで解決します。詳細は、開発者が提供する情報を参照 してください。 関連文書 (英語) PowerDNS PowerDNS Security Advisory 2015-03: Packet parsing bug can lead to crashes https://doc.powerdns.com/md/security/powerdns-advisory-2015-03/ 【5】pWebManager に OS コマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#25323093 pWebManager における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN25323093/ 概要 pWebManager には、OS コマンドインジェクションの脆弱性があります。結果 として、編集者としてログインする権限を持つユーザが、任意のコードを実行 する可能性があります。 対象となるバージョンは以下の通りです。 - pWebManager 3.3.9a およびそれ以前 - UTF-8 版 pWebManager 3.3.9a およびそれ以前 - PHP4 用 pWebManager 2.2.2 およびそれ以前 この問題は、ピーシーエッグ株式会社が提供する修正済みのバージョンに pWebManager を更新することで解決します。詳細は、ピーシーエッグ株式会社が提供する情 報を参照してください。 関連文書 (日本語) pWebManager 国産オープンソースホームページ更新システム pWebManager http://www.pwebmanager.org/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○無線 / 有線 LAN ルータを使用する際はデフォルトのパスワードの変更を 市販されている無線 / 有線 LAN ルータの多くは、工場出荷時に製品共通の仮 パスワードが設定されています。このパスワードはマニュアル等に記載されて いて入手が容易なため、変更せずに使用を開始すると外部から不正にアクセス される可能性があります。使用を開始する前に、必ずパスワードを変更するよ うにしてください。 参考文献 (日本語) バッファロー Wi-Fi(無線LAN)/有線LANルーターをご利用のお客様へ 管理パスワード変更のお願い http://buffalo.jp/support_s/t20151110.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWS83vAAoJEDF9l6Rp7OBIEngH/2a/7xbtisJeFt3YxS66Oc+L i1sgyXmKX4+K3OBD4vi+mVhAALEOqCNbqzLoBf9Ji2do6IMsaf8q5cnSlAvOXbvf jtQ8VEKoLZpBvUBayKxS/RVlkAHA/LrGr5xX2XmtSiPuw2IBZjDmku6ialw3AwWB 2wg4MSbvnKvTML0KuWLblzLTT8M3o5PnfEN1Vzyu0g0kX9LoGWG6HorRErIVfNhX 1IJBcz8/f6deGXaolXoHTv0ooxkCjfymAp03d0I5doixcPYQ5I7NUCvWKzsQOzpS Ftx+lsgl1ke4+bL4HnUM3Fxeagw6HhAdEJf13tYqSnCercnYkcZLk6Grjykkcns= =Dsix -----END PGP SIGNATURE-----