<<< JPCERT/CC WEEKLY REPORT 2013-05-22 >>>

■05/12(日)〜05/18(土) のセキュリティ関連情報

目　次

【1】Microsoft の複数の製品に脆弱性

【2】Adobe の複数の製品に脆弱性

【3】Linux カーネルに権限昇格の脆弱性

【4】Wi-Fiスポット設定用ソフトウェアの接続処理に脆弱性

【5】OpenPNE にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】Adobe 製品のサポート期限について

【1】Microsoft の複数の製品に脆弱性

情報源

US-CERT Alert (TA13-134A)
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/ncas/alerts/TA13-134A

概要

Microsoft 製品には複数の脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性
があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft .NET Framework
- Microsoft Lync
- Microsoft Office
- Microsoft Windows Essentials

この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適
用することで解決します。詳細については、Microsoft が提供する情報を参照
して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNTA13-134A
Microsoft 製品の複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA13-134A/index.html

マイクロソフト株式会社
2013 年 5 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-May

警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS13-037,038,039,040,041,042,043,044,045,046)
http://www.npa.go.jp/cyberpolice/topics/?seq=11482

独立行政法人情報処理推進機構（IPA）
Microsoft 製品の脆弱性対策について(5月)
http://www.ipa.go.jp/security/ciadr/vul/20130515-ms.html

【2】Adobe の複数の製品に脆弱性

情報源

Adobe Security Bulletin
Security update: Hotfix available for ColdFusion
http://www.adobe.com/support/security/bulletins/apsb13-13.html

Adobe Security Bulletin
Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb13-14.html

Adobe Security Bulletin
Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb13-15.html

概要

Adobe の複数の製品には脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- ColdFusion
- Adobe Flash Player
- Adobe Reader
- Adobe Acrobat

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Adobe が提供する情報を参照して下さ
い。

関連文書 (日本語)

Adobe
APSB13-13 ： ColdFusion に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/coldfusion/kb/cq05140117.html

Japan Vulnerability Notes JVNVU#91064079
ColdFusion に任意のコードが実行される脆弱性
https://jvn.jp/cert/JVNVU91064079/index.html

Adobe
APSB13-14 : Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq05140122.html

JPCERT/CC Alert 2013-05-15
Adobe Flash Player の脆弱性 (APSB13-14) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130025.html

Adobe
APSB13-15: Adobe Reader および Acrobat に関するセキュリティ情報
http://helpx.adobe.com/jp/acrobat/kb/cq05131839.html

独立行政法人情報処理推進機構 (IPA)
Adobe Reader および Acrobat の脆弱性対策について(APSB13-15)(CVE-2013-2549等)
http://www.ipa.go.jp/security/ciadr/vul/20130515-adobereader.html

警察庁 @Police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=11480

JPCERT/CC Alert 2013-05-15
Adobe Reader 及び Acrobat の脆弱性 (APSB13-15) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130024.html

関連文書 (英語)

CERT/CC Vulnerability Note VU#113732
Adobe ColdFusion 9 & 10 code injection vulnerability
http://www.kb.cert.org/vuls/id/113732

【3】Linux カーネルに権限昇格の脆弱性

情報源

CERT/CC Vulnerability Note VU#774103
Linux kernel perf_swevent_enabled array out-of-bound access privilege escalation vulnerability
http://www.kb.cert.org/vuls/id/774103

概要

Linux カーネルには、権限昇格の脆弱性があります。結果として、ログイン可
能なユーザが root 権限を取得する可能性があります。

この問題は、各 Linux ディストリビューションが提供する修正済みのバージョ
ンに Linux カーネルを更新することで解決します。詳細については、各ディス
トリビューションが提供する情報を参照して下さい。

関連文書 (英語)

RedHat Customer Portal
Important: kernel security update
https://rhn.redhat.com/errata/RHSA-2013-0830.html

Debian Security Advisory
DSA-2669-1 linux -- privilege escalation/denial of service/information leak
http://www.debian.org/security/2013/dsa-2669

CentOS
CESA-2013:0830 Important CentOS 6 kernel Update
http://lists.centos.org/pipermail/centos-announce/2013-May/019733.html

Ubuntu
CVE-2013-2094
http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-2094.html

【4】Wi-Fiスポット設定用ソフトウェアの接続処理に脆弱性

情報源

Japan Vulnerability Notes JVN#85371480
Wi-Fiスポット設定用ソフトウェアにおける接続処理に関する脆弱性
https://jvn.jp/jp/JVN85371480/index.html

概要

SoftBank が提供する Wi-Fiスポット設定用ソフトウェアには、Wi-Fi アクセス
ポイントへの接続処理に脆弱性があります。結果として、Wi-Fi アクセスポイ
ントへ接続する際、遠隔の第三者がユーザの情報を取得する可能性があります。

対象となる製品は以下の通りです。

- Wi-Fiスポット設定用ソフトウェア

この問題は、SoftBank が提供する修正済みのバージョンに Wi-Fiスポット設定
用ソフトウェアを更新することで解決します。詳細については、SoftBank が提
供する情報を参照して下さい。

【5】OpenPNE にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#18501376
OpenPNE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN18501376/index.html

概要

OpenPNE の管理画面には、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、管理者としてログインしているユーザのブラウ
ザ上で、任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- OpenPNE 3.4.21 およびそれ以前
- OpenPNE 3.6.9 およびそれ以前
- OpenPNE 3.8.5 およびそれ以前

この問題は、OpenPNE プロジェクトが提供する修正済みのバージョンに
OpenPNE を更新することで解決します。詳細については、OpenPNE プロジェク
トが提供する情報を参照して下さい。

関連文書 (日本語)

OpenPNE プロジェクト
OpenPNE 3.4.21, 3.6.9, 3.8.5 以下の管理画面に存在する XSS 脆弱性対応のお知らせ (OPSA-2013-002)
http://www.openpne.jp/archives/11096/

■今週のひとくちメモ

○Adobe 製品のサポート期限について

Adobe Reader 9 および Acrobat 9 は、2013年6月にサポート終了となることが
アナウンスされています。また、Adobe Flash Player 10 は 2013年7月にサポー
ト終了となることがアナウンスされています。

Adobe Reader 9 および Acrobat 9 を利用している方、また、Flash Player
10 を利用している方は、速やかに最新バージョンへ移行することをおすすめし
ます。

参考文献 (英語)

Adobe Systems: Adobe Reader Blog
One Year from Now: Adobe Reader and Acrobat 9 EOL
https://blogs.adobe.com/adobereader/2012/06/one-year-from-now-adobe-reader-and-acrobat-9-eol.html

Adobe Systems: Adobe Reader Blog
Adobe Reader and Acrobat XI (11.0.03), X (10.1.7) and 9.5.5
https://blogs.adobe.com/adobereader/2013/05/adobe-reader-and-acrobat-xi-11-0-03-x-10-1-7-and-9-5-5.html

Adobe Systems: Adobe AIR and Adobe Flash Player Team Blog
Extended Support Release Updated to Flash Player 11.7!
http://blogs.adobe.com/flashplayer/2013/05/extended-support-release-updated-to-flash-player-11-7.html

■JPCERT/CC からのお願い