<<< JPCERT/CC WEEKLY REPORT 2014-02-13 >>>

■02/02(日)〜02/08(土) のセキュリティ関連情報

目　次

【1】Adobe Flash Player に複数の脆弱性

【2】Mozilla 製品群に複数の脆弱性

【3】Android 用 Opera ブラウザに脆弱性

【4】Fortinet の複数の製品にクロスサイトスクリプティングの脆弱性

【5】F5 Networks BIG-IP Edge Client に脆弱性

【6】phpMyFAQ に複数の脆弱性

【今週のひとくちメモ】ISC BIND 9.6-ESV サポート終了

【1】Adobe Flash Player に複数の脆弱性

情報源

US-CERT Current Activites
Security Updates Available for Adobe Flash Player
http://www.us-cert.gov/ncas/current-activity/2014/02/04/Security-Updates-Available-Adobe-Flash-Player

概要

Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三
者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
る可能性があります。

対象となるバージョンは以下の通りです。

- Adobe Flash Player 12.0.0.43 およびそれ以前 (Windows版及びMacintosh版)
- Adobe Flash Player 11.2.202.335 およびそれ以前 (Linux版)

この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player
を更新することで解決します。詳細については、Adobe が提供する情報を参照
して下さい。

関連文書 (日本語)

Adobe Security Bulletin: APSB14-04
Adobe Flash Player 用セキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq02031643.html

独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性対策について(APSB14-04)(CVE-2014-0497)
http://www.ipa.go.jp/security/ciadr/vul/20140205-adobeflashplayer.html

警察庁@Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=12958

JPCERT/CC Alert 2014-02-05
Adobe Flash Player の脆弱性 (APSB14-04) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140006.html

関連文書 (英語)

Adobe Security Bulletin
Security updates available for Adobe Flash Player
http://helpx.adobe.com/security/products/flash-player/apsb14-04.html

【2】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activites
Mozilla Releases Multiple Updates
http://www.us-cert.gov/ncas/current-activity/2014/02/04/Mozilla-Releases-Multiple-Updates

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となるバージョンは以下の通りです。

- Firefox 27 より前のバージョン
- Firefox ESR 24.3 より前のバージョン
- Thunderbird 24.3 より前のバージョン
- Seamonkey 2.24 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/

【3】Android 用 Opera ブラウザに脆弱性

情報源

Japan Vulnerability Notes VN#23256725
Opera browser for Android における Intent スキーム URL 処理に関する脆弱性
https://jvn.jp/jp/JVN23256725/index.html

概要

Android 用 Opera ブラウザには、脆弱性があります。結果として、遠隔の第三
者が細工したページをユーザに閲覧させることで Cookie を取得する可能性が
あります。

対象となるバージョンは以下の通りです。

- Opera browser for Android 18 より前のバージョン

この問題は、Opera が提供する修正済みのバージョンに Android 用 Opera ブ
ラウザを更新することで解決します。詳細については、Opera が提供する情報
を参照して下さい。

関連文書 (英語)

Opera Security Blog
Security changes and features of Opera 19
http://blogs.opera.com/security/2014/01/security-changes-features-opera-19/

【4】Fortinet の複数の製品にクロスサイトスクリプティングの脆弱性

情報源

CERT/CC Vulnerability Note VU#728638
Fortinet FortiOS 5.0.5 contains a reflected cross-site scripting (XSS) vulnerability
http://www.kb.cert.org/vuls/id/728638

CERT/CC Vulnerability Note VU#593118
Fortinet Fortiweb 5.0.3 contains a reflected cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/593118

概要

Fortinet の複数の製品には、クロスサイトスクリプティングの脆弱性がありま
す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実
行する可能性があります。

対象となるバージョンは以下の通りです。

- Fortinet FortiOS 5.0.6 より前のバージョン
- Fortinet Fortiweb 5.1.0 より前のバージョン

この問題は、Fortinet が提供する修正済みのバージョンにアップデートするこ
とで解決します。詳細については、Fortinet が提供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#93422585
Fortinet FortiOS にクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU93422585/index.html

Japan Vulnerability Notes JVNVU#98993961
Fortinet Fortiweb にクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU98993961/index.html

【5】F5 Networks BIG-IP Edge Client に脆弱性

情報源

CERT/CC Vulnerability Note VU#146430
F5 Networks BIG-IP Edge Client information leakage vulnerability
http://www.kb.cert.org/vuls/id/146430

概要

F5 Networks BIG-IP Edge Client には、脆弱性があります。結果として、
Edge Client の管理する情報が漏えいする可能性があります。

対象となるバージョンは以下の通りです。

- BIG-IP APM 10.0.0 から 10.2.4 および 11.0.0 から 11.4.1
- BIG-IP Edge Gateway 10.1.0 から 10.2.4 および 11.0.0 から 11.4.1
- FirePass 6.0.0 から 6.1.0 および 7.0.0 

この問題は、F5 Networks が提供する修正済みのバージョンに BIG-IP Edge
Client を更新することで解決します。詳細については、F5 Networks が提供す
る情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#97826082
BIG IP Edge Client における情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU97826082/index.html

関連文書 (英語)

F5 Networks, Inc.
SOL14969: BIG-IP Edge Client information leakage vulnerability CVE-2013-6024
http://support.f5.com/kb/en-us/solutions/public/14000/900/sol14969.html

【6】phpMyFAQ に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#30050348
phpMyFAQ におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN30050348/index.html

Japan Vulnerability Notes JVN#50943964
phpMyFAQ におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN50943964/index.html

概要

phpMyFAQ には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザの意図しない設定変更を行ったり、ユーザのブラウザ上で任意のスクリプト
を実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- phpMyFAQ 2.8.5 およびそれ以前

この問題は、phpMyFAQ が提供する修正済みのバージョンに phpMyFAQ を更新す
ることで解決します。詳細については、phpMyFAQ が提供する情報を参照して下
さい。

関連文書 (英語)

phpMyFAQ Security Advisory
phpMyFAQ vulnerable to XSS and CSRF
http://www.phpmyfaq.de/advisory_2014-02-04.php

■今週のひとくちメモ

○ISC BIND 9.6-ESV サポート終了

BIND 9.6-ESV (Extended Support Version) が 2014年1月で End of Life を
迎えました。今後、脆弱性が発見されても、セキュリティパッチは提供されま
せん。ISC では、最新版への移行を推奨しています。

ISC のサポートポリシーでは、最新のメジャーバージョン2つをサポートする
こととしており、現在は 9.8 と 9.9 がサポート対象となっています。

BIND を使ったシステムを管理している方は、サポートされているバージョン
を使用していることを確認しましょう。

参考文献 (英語)

Internet Systems Consortium
BIND 9.6-ESV-R11 Release Notes
https://kb.isc.org/article/AA-01109/0/BIND-9.6-ESV-R11-Release-Notes.html

Internet Systems Consortium
Software Support Policy
https://www.isc.org/downloads/software-support-policy/

Internet Systems Consortium
Downloads
https://www.isc.org/downloads/

■JPCERT/CC からのお願い