JPCERT コーディネーションセンター

Weekly Report 2012-03-14号

JPCERT-WR-2012-1001
JPCERT/CC
2012-03-14

<<< JPCERT/CC WEEKLY REPORT 2012-03-14 >>>

■03/04(日)〜03/10(土) のセキュリティ関連情報

目 次

【1】Apple 製品群に複数の脆弱性

【2】Adobe Flash Player に複数の脆弱性

【3】ES ファイルエクスプローラーにアクセス制限不備の脆弱性

【4】「Hewlett-Packard 製のプリンタやスキャナのリモートアップデート機能に脆弱性」に関する追加情報

【5】AjaXplorer に複数の脆弱性

【6】RSA SecurID Software Token Converter にバッファオーバーフローの脆弱性

【7】SquirrelMail 用プラグイン Autocomplete にクロスサイトスクリプティングの脆弱性

【8】Jenkins に複数のクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】マイクロソフト Internet Explorer の自動アップグレード

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr121001.txt
https://www.jpcert.or.jp/wr/2012/wr121001.xml

【1】Apple 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases Multiple Security Updates
http://www.us-cert.gov/current/archive/2012/03/09/archive.html#apple_releases_multiple_security_updates2

概要

Apple 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性
があります。

対象となる製品およびバージョンは以下の通りです。

- iOS 5.1 より前のバージョン
- Windows 版 iTunes 10.6 より前のバージョン
- Apple TV 5.0 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、該当する製品を更新
することで解決します。詳細については、Apple が提供する情報を参照してく
ださい。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#479643
Apple iTunes における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU479643/index.html

Japan Vulnerability Notes JVNVU#341747
Apple iOS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU341747/index.html

Japan Vulnerability Notes JVNVU#841059
Apple TV における脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU841059/index.html

関連文書 (英語)

Apple Support HT5191
About the security content of iTunes 10.6
http://support.apple.com/kb/HT5191?viewlocale=en_US

Apple Support HT5192
About the security content of iOS 5.1 Software Update
http://support.apple.com/kb/HT5192?viewlocale=en_US

Apple Support HT5193
About the security content of Apple TV 5.0 software
http://support.apple.com/kb/HT5193?viewlocale=en_US

【2】Adobe Flash Player に複数の脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Update for Adobe Flash Player
http://www.us-cert.gov/current/archive/2012/03/09/archive.html#adobe_releases_update_for_adobe2

概要

Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三
者が細工したコンテンツをユーザに開かせることで任意のコードを実行したり、
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player 
  11.1.102.62 およびそれ以前
- Android 4.x 版 Adobe Flash Player 11.1.115.6 およびそれ以前
- Android 2.x、3.x 版 Adobe Flash Player 11.1.111.6 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに、Adobe Flash Player
を更新することで解決します。詳細については、Adobe が提供する情報を参照
してください。
		

関連文書 (日本語)

Adobe セキュリティ情報
APSB12-05: Adobe Flash Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/932/cpsid_93265.html

@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=8787

JPCERT/CC Alert 2012-03-06 JPCERT-AT-2012-0007
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120007.html

関連文書 (英語)

Adobe - Security Bulletins
APSB12-05: Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-05.html

【3】ES ファイルエクスプローラーにアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#08871006
ES ファイルエクスプローラーにおけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN08871006/index.html

概要

ES ファイルエクスプローラーには、アクセス制限不備の脆弱性があります。結
果として、遠隔の第三者が当該製品の権限で閲覧可能な任意のファイルを取得
する可能性があります。

対象となるバージョンは以下の通りです。

- ES ファイルエクスプローラー バージョン 1.6.0.2 から 1.6.1.1 まで

この問題は、配布元が提供する修正済みのバージョンに ES ファイルエクスプ
ローラーを更新することで解決します。
		

関連文書 (日本語)

Google
ES ファイルエクスプローラー
https://play.google.com/store/apps/details?id=com.estrongs.android.pop&hl=ja

関連文書 (英語)

EStrongs
ES File Explorer
http://www.estrongs.com/products/es-file-explorer.html

【4】「Hewlett-Packard 製のプリンタやスキャナのリモートアップデート機能に脆弱性」に関する追加情報

情報源

JC3-CIRC Technical Bulletin U-117
Potential security vulnerability has been identified with certain HP printers and HP digital senders.
http://circ.jc3.doe.gov/bulletins/u-117.shtml

概要

JPCERT/CC WEEKLY REPORT 2011-12-14 号【3】で紹介した「Hewlett- Packard
製のプリンタやスキャナのリモートアップデート機能に脆弱性」に関する追加
情報です。

HP から、この問題に対する修正済みのバージョンが公開されました。詳細につ
いては、HP が提供する情報を参照してください。
		

関連文書 (日本語)

JPCERT/CC WEEKLY REPORT 2011-12-14 JPCERT-WR-2011-4801
【3】Hewlett-Packard 製のプリンタやスキャナのリモートアップデート機能に脆弱性
https://www.jpcert.or.jp/wr/2011/wr114801.html#3

関連文書 (英語)

HP SUPPORT COMMUNICATION - SECURITY BULLETIN c03102449
HPSBPI02728 SSRT100692 rev.4 - Certain HP Printers and HP Digital Senders, Remote Firmware Update Enabled by Default
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03102449

【5】AjaXplorer に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#504019
AjaXplorer contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/504019

概要

AjaXplorer には、複数の脆弱性があります。結果として、遠隔の第三者が、
AjaXplorer が動作しているサーバ上の任意のファイルを閲覧するなどの可能性
があります。

対象となるバージョンは以下の通りです。

- AjaXplorer 4.0.3 およびそれ以前
- AjaXplorer 3.2.4 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに AjaXplorer を更新す
ることで解決します。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#504019
AjaXplorer に複数の脆弱性
https://jvn.jp/cert/JVNVU504019/index.html

関連文書 (英語)

AjaXplorer
Important Security Upgrade : AjaXplorer 4.0.4 & 3.2.5
http://ajaxplorer.info/ajaxplorer-4-0-4/

【6】RSA SecurID Software Token Converter にバッファオーバーフローの脆弱性

情報源

JC3-CIRC Technical Bulletin U-120
RSA SecurID Software Token Converter Unspecified Buffer Overflow Vulnerability
http://circ.jc3.doe.gov/bulletins/U-120.shtml

概要

RSA SecurID Software Token Converter には、バッファオーバーフロー
脆弱性があります。結果として、遠隔の第三者が任意のコードを実行す
る可能性があります。

対象となる製品およびバージョンは以下の通りです。

- RSA SecurID Software Token Converter 2.6.1 より前のバージョン

この問題は、EMC が提供する修正済みのバージョンに RSA SecurID 
Software Token Converter を更新することで解決します。
		

関連文書 (日本語)

EMC
RSA SecurID
http://japan.rsa.com/node.aspx?id=1156

関連文書 (英語)

EMC
RSA Worldwide Customer Support
https://knowledge.rsasecurity.com/

【7】SquirrelMail 用プラグイン Autocomplete にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#56653852
SquirrelMail 用プラグイン Autocomplete におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN56653852/index.html

概要

SquirrelMail 用プラグイン Autocomplete には、クロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任
意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Autocomplete バージョン 3.0 より前のバージョン

この問題は、配布元が提供する修正済みのバージョンに Autocomplete を更新
することで解決します。
		

関連文書 (英語)

SquirrelMail
Plugins - Autocomplete
http://squirrelmail.org/plugin_view.php?id=32

【8】Jenkins に複数のクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#14791558
Jenkins におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN14791558/index.html

Japan Vulnerability Notes JVN#79950061
Jenkins におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN79950061/index.html

概要

Jenkins には、複数のクロスサイトスクリプティングの脆弱性があります。結
果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する
可能性があります。

対象となるバージョンは以下の通りです。

- Jenkins 1.452 およびそれ以前
- Jenkins Enterprise by CloudBees 1.424.3 およびそれ以前
- Jenkins Enterprise by CloudBees 1.400.0.12 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに Jenkins を更新するこ
とで解決します。
		

関連文書 (日本語)

Jenkins CI
Jenkins
https://wiki.jenkins-ci.org/display/JA/Jenkins

関連文書 (英語)

Jenkins CI
Jenkins Security Advisory 2012-03-05
https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2012-03-05

■今週のひとくちメモ

○マイクロソフト Internet Explorer の自動アップグレード

マイクロソフトは、日本国内における Internet Explorer (IE) の自動アップ
グレードを 3月中旬より始めることを発表しました。これまで IE の更新につ
いては、インストーラが起動される形で提供されていました。今回の自動アッ
プグレードでは、自動更新設定になっていた場合 Windows Update を通じ、最
新版の IE が導入されます。

マイクロソフトからは、対象となる OS バージョンや、自動アップグレードを
一時的にブロックするための方法などの情報も提供されています。事前に対応
を検討しておくことをおすすめします。

参考文献 (日本語)

Microsoft
Internet Explorer の自動アップグレードについて
http://technet.microsoft.com/ja-jp/ie/hh859701

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter