-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-0201 JPCERT/CC 2016-01-14 <<< JPCERT/CC WEEKLY REPORT 2016-01-14 >>> ―――――――――――――――――――――――――――――――――――――― ■01/03(日)〜01/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】PHP に複数の脆弱性 【2】WordPress にクロスサイトスクリプティングの脆弱性 【3】Windows 版 QuickTime に任意のコードが実行可能な脆弱性 【4】DXライブラリにバッファオーバーフローの脆弱性 【5】Ipswitch WhatsUp Gold の XML オブジェクトのデシリアライズ処理に脆弱性 【6】古野電気製 Voyage Data Recorder (VDR) にユーザ入力値を適切に検証しない脆弱性 【今週のひとくちメモ】Internet Explorer のバージョンアップを ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr160201.html https://www.jpcert.or.jp/wr/2016/wr160201.xml ============================================================================ 【1】PHP に複数の脆弱性 情報源 PHP Group PHP 7.0.2 Released http://php.net/index.php#id2016-01-07-1 PHP Group PHP 5.6.17 is available http://php.net/index.php#id2016-01-07-3 PHP Group PHP 5.5.31 is available http://php.net/index.php#id2016-01-07-2 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意の コードを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - PHP 7.0.2 より前のバージョン - PHP 5.6.17 より前のバージョン - PHP 5.5.31 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細は、開発者や配布元が提供する情報を参照してく ださい。 関連文書 (英語) PHP Group PHP 7 ChangeLog Version 7.0.2 https://secure.php.net/ChangeLog-7.php#7.0.2 PHP Group PHP 5 ChangeLog Version 5.6.17 https://secure.php.net/ChangeLog-5.php#5.6.17 PHP Group PHP 5 ChangeLog Version 5.5.31 https://secure.php.net/ChangeLog-5.php#5.5.31 【2】WordPress にクロスサイトスクリプティングの脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/01/06/WordPress-Releases-Security-Update 概要 WordPress には、クロスサイトスクリプティングの脆弱性があります。結果と して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可 能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.4 およびそれ以前 この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 関連文書 (英語) WordPress.org WordPress 4.4.1 Security and Maintenance Release https://wordpress.org/news/2016/01/wordpress-4-4-1-security-and-maintenance-release/ 【3】Windows 版 QuickTime に任意のコードが実行可能な脆弱性 情報源 Apple About the security content of QuickTime 7.7.9 https://support.apple.com/en-us/HT205638 概要 Windows 版 QuickTime には、任意のコードが実行可能な脆弱性があります。 結果として、遠隔の第三者が、ユーザに細工したファイルを開かせることで、 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - QuickTime 7.7.9 より前のバージョン (Windows 版) この問題は、Apple が提供する修正済みのバージョンに QuickTime を更新す ることで解決します。詳細は、Apple が提供する情報を参照してください。 【4】DXライブラリにバッファオーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVN#49476817 DXライブラリにおけるバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN49476817/ 概要 DXライブラリには、バッファオーバーフローの脆弱性があります。結果とし て、遠隔の第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - DXライブラリ VisualC++用 Ver3.15e およびそれ以前 - DXライブラリ BorlandC++用 Ver3.15e およびそれ以前 - DXライブラリ Gnu C++用 Ver3.15e およびそれ以前 - DXライブラリ VisualC#用 Ver3.15e およびそれ以前 この問題は、アプリケーションの開発者が修正済みのバージョンにDXライブ ラリを更新し、アプリケーションをリビルドすることで解決します。詳細は、 DXライブラリの開発者が提供する情報を参照してください。 関連文書 (日本語) DXライブラリ置き場 DXライブラリの脆弱性情報 http://homepage2.nifty.com/natupaji/DxLib/dxvulnerability.html 独立行政法人情報処理推進機構 (IPA) 「DXライブラリ」におけるバッファオーバーフローの脆弱性対策について(JVN#49476817) https://www.ipa.go.jp/security/ciadr/vul/20160105-jvn.html 【5】Ipswitch WhatsUp Gold の XML オブジェクトのデシリアライズ処理に脆弱性 情報源 CERT/CC Vulnerability Note VU#753264 IPSwitch WhatsUp Gold does not validate commands when deserializing XML objects https://www.kb.cert.org/vuls/id/753264 概要 Ipswitch WhatsUp Gold の XML オブジェクトのデシリアライズ処理には脆弱 性があります。結果として、遠隔の第三者が、任意の SQL コマンドを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - WhatsUp Gold version 16.3 この問題は、Ipswitch が提供する修正済みのバージョンに WhatsUp Gold を 更新することで解決します。詳細は、Ipswitch が提供する情報を参照してく ださい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90674343 Ipswitch WhatsUp Gold の XML オブジェクトのデシリアライズ処理に脆弱性 https://jvn.jp/vu/JVNVU90674343/ 【6】古野電気製 Voyage Data Recorder (VDR) にユーザ入力値を適切に検証しない脆弱性 情報源 CERT/CC Vulnerability Note VU#820196 Furuno Voyage Data Recorder (VDR) moduleserv firmware update utility fails to properly sanitize user-provided input https://www.kb.cert.org/vuls/id/820196 概要 古野電気製 Voyage Data Recorder (VDR) には、ユーザ入力値を適切に検証し ない脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - VR-3000/VR-3000S ファームウェアバージョン V1.50 から V1.54 まで - VR-3000/VR-3000S ファームウェアバージョン V1.61 - VR-3000/VR-3000S ファームウェアバージョン V2.06 から V2.54 まで - VR-3000/VR-3000S ファームウェアバージョン V2.60 から V2.61 まで - VR-7000 ファームウェアバージョン V1.02 この問題は、古野電気株式会社が提供する修正済みのバージョンに該当する製 品のファームウェアを更新することで解決します。詳細は、古野電気株式会社 が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98928449 古野電気製 Voyage Data Recorder (VDR) にユーザ入力値を適切に検証しない脆弱性 https://jvn.jp/vu/JVNVU98928449/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Internet Explorer のバージョンアップを 2016年1月12日、Microsoft は、各 Windows OS で利用可能な最新版以外の Internet Explorer のサポートを終了しました。サポートされない Internet Explorer は、セキュリティ上の脅威が高まることが懸念されるため、サポート が行われる最新版の使用を強くお勧めします。 参考文献 (日本語) Microsoft MSBC Internet Explorer のサポートポリシーが変わりました。 https://www.microsoft.com/japan/msbc/Express/ie_support/ The Official Microsoft Japan Blog 最新の" Internet Explorer "をご利用ください http://blogs.technet.com/b/microsoft_japan_corporate_blog/archive/2014/08/09/quot-internet-explorer-quot.aspx 独立行政法人情報処理推進機構 (IPA) 【注意喚起】 Internet Explorer のサポートポリシーが変更、バージョンアップが急務に https://www.ipa.go.jp/security/ciadr/vul/20151215-IEsupport.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWluVaAAoJEDF9l6Rp7OBIlPMH/2AB/R/RdrhMQkccOQku8/tO UZ44d2tmdO3Y7TNhEzGiVT1HCOZJPWy8ezNOkHTL3PdDMVgV7RCsMLOn+2IrHUjK KBvPCaloA01IUrZuakWCQ5il6GIwQTYAQbBR+L3WsPnWdsyxyPBNm5msiQ9yy947 so/JxUuRkBXktdQkyjD/dyVvvUSiJE72FavygVGlKHkA8V38wDfyzmrOnASaxPvI Q0o8fqrnJ2f6/fMgUK5lMTkXA/YT0REmnp3yRLUP2gsQCFZZgBi6kdELDmenx/yu OOZwvxhV1qgH8BAT0b38NqtbPLqSScvCe1ZQ/CJoqpc9sB+S+TmemXLmX94a79U= =BPF9 -----END PGP SIGNATURE-----