JPCERT-WR-2014-0801

JPCERT/CC

2014-02-26

<<< JPCERT/CC WEEKLY REPORT 2014-02-26 >>>

■02/16(日)〜02/22(土) のセキュリティ関連情報

目　次

【1】Microsoft Internet Explorer に脆弱性

【2】Adobe Flash Player に複数の脆弱性

【3】Apple の iOS および Apple TV に SSL/TLS 認証の脆弱性

【4】Cisco の IPS ソフトウエアに複数の脆弱性

【5】Cisco Unified Computing System (UCS) Director に脆弱性

【6】AutoCAD に複数の脆弱性

【7】Blackboard Vista/CE にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】ISC BIND 10 初期開発プロジェクト終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr140801.txt
https://www.jpcert.or.jp/wr/2014/wr140801.xml

【1】Microsoft Internet Explorer に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases Security Advisory for Internet Explorer 9 and 10 Use-After-Free Vulnerability
http://www.us-cert.gov/ncas/current-activity/2014/02/20/Microsoft-Releases-Security-Advisory-Internet-Explorer

概要

Microsoft Internet Explorer には、脆弱性があります。結果として、遠隔の
第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を実行し
たりする可能性があります。

対象となるバージョンは以下の通りです。

- Internet Explorer 9
- Internet Explorer 10

2014年2月25日現在、対策済みのバージョンはありません。

以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- Internet Explorer 11 以降へアップグレードする
- Fix it 51007 を適用する
- Enhanced Mitigation Experience Toolkit (EMET) を使用する

【2】Adobe Flash Player に複数の脆弱性

情報源

US-CERT Current Activity
Security Updates Available for Adobe Flash Player
http://www.us-cert.gov/ncas/current-activity/2014/02/20/Security-Updates-Available-Adobe-Flash-Player

概要

Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三
者が、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Adobe Flash Player 12.0.0.44 およびそれ以前 (Windows版、Mac 版)
- Adobe Flash Player 11.2.202.336 およびそれ以前 (Linux 版)
- Adobe AIR 4.0.0.1390 およびそれ以前 (Android 版)
- Adobe AIR 3.9.0.1390 SDK およびそれ以前
- Adobe AIR 3.9.0.1390 SDK & Compiler およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player
を更新することで解決します。詳細については、Adobe が提供する情報を参照
して下さい。

【3】Apple の iOS および Apple TV に SSL/TLS 認証の脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates for iOS devices and Apple TV
http://www.us-cert.gov/ncas/current-activity/2014/02/21/Apple-Releases-Security-Updates-iOS-devices-and-Apple-TV

概要

Apple の iOS および Apple TV には、SSL/TLS 認証の脆弱性があります。結果と
して、遠隔の第三者が、SSL/TLS セッションを復号する可能性があります。

対策版として、以下のバージョンがリリースされています。

- iOS 6.1.6 (iPhone 3GS、iPod touch 第4世代)
- iOS 7.0.6 (iPhone 4 およびそれ以降、iPod touch 第5世代、iPad 2 およびそれ以降)
- Apple TV 6.0.2 for Apple TV 第2世代およびそれ以降

この問題は、Apple が提供する修正済みのバージョンに iOS および Apple TV
を更新することで解決します。詳細については、Apple が提供する情報を参照
して下さい。

【4】Cisco の IPS ソフトウエアに複数の脆弱性

情報源

US-CERT Current Activity
Multiple Vulnerabilities in Cisco IPS Software
http://www.us-cert.gov/ncas/current-activity/2014/02/20/Multiple-Vulnerabilities-Cisco-IPS-Software

概要

Cisco の IPS ソフトウエアには、複数の脆弱性があります。結果として、遠隔
の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品は以下の通りです。

- Cisco ASA 5500-X Series IPS Security Services Processor (IPS SSP) software and hardware modules
- Cisco ASA 5500 Series Advanced Inspection and Prevention Security Services Module (AIP SSM)
- Cisco IPS 4200 Series Sensors
- Cisco IPS 4300 Series Sensors
- Cisco IPS 4500 Series Sensors

この問題は、Cisco が提供する修正済みのバージョンに IPS ソフトウエアを更
新することで解決します。詳細については、Cisco が提供する情報を参照して
下さい。

【5】Cisco Unified Computing System (UCS) Director に脆弱性

情報源

US-CERT Current Activity
Cisco UCS Director Default Credentials Vulnerability
http://www.us-cert.gov/ncas/current-activity/2014/02/21/Cisco-UCS-Director-Default-Credentials-Vulnerability

概要

Cisco Unified Computing System (UCS) Director には、root アカウントにデ
フォルトの認証情報が設定される脆弱性があります。結果として、遠隔の第三
者が、任意の設定を行う可能性があります。

対象となるバージョンは以下の通りです。

- Cisco UCS Director Release 4.0.0.3 HOTFIX より前のバージョン

この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified
Computing System (UCS) Director を更新することで解決します。詳細につい
ては、Cisco が提供する情報を参照して下さい。

【6】AutoCAD に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#43254599
AutoCAD における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN43254599/index.html

Japan Vulnerability Notes JVN#33382534
AutoCAD において任意の VBScript が実行可能な脆弱性
https://jvn.jp/jp/JVN33382534/index.html

概要

AutoCAD には、複数の脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- AutoCAD 2013 およびそれ以前

この問題は、Autodesk が提供する修正済みのバージョンに AutoCAD を更新す
ることで解決します。詳細については、Autodesk が提供する情報を参照して下
さい。

【7】Blackboard Vista/CE にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#24730765
Blackboard Vista/CE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN24730765/index.html

概要

Blackboard Vista/CE には、クロスサイトスクリプティングの脆弱性がありま
す。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを
実行する可能性があります。

対象となるバージョンは以下の通りです。

- Blackboard Vista/CE 8.0 Service Pack 6 およびそれ以前

この問題は、Blackboard, Inc. が提供する修正済みのバージョンに
Blackboard Vista/CE を更新することで解決します。詳細については、
Blackboard, Inc. が提供する情報を参照して下さい。

■今週のひとくちメモ

○ISC BIND 10 初期開発プロジェクト終了

2014年1月30日、ISC から BIND 10 の初期開発プロジェクトの終了がアナウン
スされました。BIND 10 初期開発プロジェクトは、各国の TLD レジストリなど
が協力するプロジェクトとして開発が進められており、日本からも JPRS が参
画していました。

BIND 10 は、2013年2月にプロダクションリリースとして BIND 10.1.0.0 がリ
リースされており、今後 BIND 10 の開発は、利用者からのフィードバックを受
け付ける形で ISC により継続されるとのことです。

参考文献 (日本語)

株式会社日本レジストリサービス (JPRS)
「BIND 10」の初期開発プロジェクトが終了
http://jprs.co.jp/topics/2014/140131.html

参考文献 (英語)

Internet Systems Consortium
Completion of BIND 10 Initial Development Program delivers Basis of ISC Next Generation Nameserver Software
https://www.isc.org/blogs/completion-of-bind-10-initial-development-program-delivers-basis-of-isc-next-generation-nameserver-software/

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2014-02-26号

<<< JPCERT/CC WEEKLY REPORT 2014-02-26 >>>

■02/16(日)〜02/22(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

情報源

概要

○ISC BIND 10 初期開発プロジェクト終了

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

目　次