JPCERT コーディネーションセンター

Weekly Report 2014-04-23号

JPCERT-WR-2014-1601
JPCERT/CC
2014-04-23

<<< JPCERT/CC WEEKLY REPORT 2014-04-23 >>>

■04/13(日)〜04/19(土) のセキュリティ関連情報

目 次

【1】2014年4月 Oracle Critical Patch Update について

【2】Android 版 Adobe Reader Mobile に脆弱性

【3】Redmine にオープンリダイレクトの脆弱性

【4】サイボウズのリモートサービスマネージャーに複数の脆弱性

【5】複数の XMPP サーバにサービス運用妨害 (DoS) の脆弱性

【6】Android 版 CamiApp にアクセス制限不備の脆弱性

【7】東芝テック製 e-Studio シリーズにクロスサイトリクエストフォージェリの脆弱性

【8】Xangati ソフトウェア製品に複数の脆弱性

【今週のひとくちメモ】担当者ノート: JVN で CVSS 評価を採用

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr141601.txt
https://www.jpcert.or.jp/wr/2014/wr141601.xml

【1】2014年4月 Oracle Critical Patch Update について

情報源

US-CERT Current Activity
Oracle Releases April 2014 Security Advisory
https://www.us-cert.gov/ncas/current-activity/2014/04/16/Oracle-Releases-April-2014-Security-Advisory

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細については、Oracle が提供する情報を参照して下さい。

関連文書 (日本語)

Oracle Technology Network
Critical Patch UpdatesとSecurity Alerts
http://www.oracle.com/technetwork/jp/topics/alerts-082677-ja.html

独立行政法人情報処理推進機構 (IPA)
Oracle Java の脆弱性対策について(CVE-2014-0429等)
https://www.ipa.go.jp/security/ciadr/vul/20140416-jre.html

JPCERT/CC Alert 2014-04-16
2014年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2014/at140017.html

【2】Android 版 Adobe Reader Mobile に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Update for Reader Mobile
https://www.us-cert.gov/ncas/current-activity/2014/04/17/Adobe-Releases-Security-Update-Reader-Mobile

概要

Android 版 Adobe Reader Mobile には、脆弱性があります。結果として、遠
隔の第三者が、細工した PDF ドキュメントをユーザに閲覧させることで、任
意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Android 版 Adobe Reader Mobile 11.1.3 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに Android 版 Adobe
Reader Mobile を更新することで解決します。詳細については、Adobe が提供
する情報を参照して下さい。

関連文書 (日本語)

Adobeセキュリティ情報
Adobe Reader Mobile用のセキュリティアップデート公開
http://helpx.adobe.com/jp/security/products/reader-mobile/apsb14-12.html

【3】Redmine にオープンリダイレクトの脆弱性

情報源

Japan Vulnerability Notes JVN#93004610
Redmine におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN93004610/index.html

概要

Redmine には、オープンリダイレクトの脆弱性があります。結果として、
Redmine へのログイン時に、任意のウェブサイトにリダイレクトされたり、
フィッシング詐欺などの被害に遭う可能性があります。

対象となるバージョンは以下の通りです。

- Redmine 2.5.1 より前のバージョン
- Redmine 2.4.5 より前のバージョン

この問題は、Redmine が提供する修正済みのバージョンに Redmine を更新する
ことで解決します。詳細については、Redmine が提供する情報を参照して下さ
い。

関連文書 (英語)

Redmine
Redmine Security Advisories
http://www.redmine.org/projects/redmine/wiki/Security_Advisories

【4】サイボウズのリモートサービスマネージャーに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#10319260
サイボウズ リモートサービスマネージャーにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN10319260/index.html

Japan Vulnerability Notes JVN#00058727
サイボウズ リモートサービスマネージャーにおけるセッション固定の脆弱性
https://jvn.jp/jp/JVN00058727/index.html

概要

サイボウズのリモートサービスマネージャーには、複数の脆弱性があります。
結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を実行したり、
登録ユーザになりすましたりする可能性があります。

対象となるバージョンは以下の通りです。

- リモートサービスマネージャー 2.3.0 およびそれ以前
- リモートサービスマネージャー 3.1.0 およびそれ以前

この問題は、サイボウズが提供する修正済みのバージョンにリモートサービス
マネージャーを更新することで解決します。詳細については、サイボウズが提
供する情報を参照して下さい。

関連文書 (日本語)

サイボウズ株式会社
リモートサービスマネージャーのサービス運用妨害 (DoS) の脆弱性
http://cs.cybozu.co.jp/information/20130317notice01.php

サイボウズ株式会社
リモートサービスマネージャーの管理画面にセッション固定の脆弱性
http://cs.cybozu.co.jp/information/20130317notice02.php

【5】複数の XMPP サーバにサービス運用妨害 (DoS) の脆弱性

情報源

XMPP Standards Foundation
Uncontrolled Resource Consumption with XMPP-Layer Compression
http://xmpp.org/resources/security-notices/uncontrolled-resource-consumption-with-highly-compressed-xmpp-stanzas/

概要

複数の XMPP サーバには、圧縮データの取扱いに関する脆弱性があります。結
果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行なう可能性が
あります。

対象となる製品およびバージョンは複数存在します。

詳細については、XMPP Standards Foundation のアドバイザリ、およびベンダ
の提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#93450631
Openfire にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU93450631/index.html

関連文書 (英語)

A blog about Prosody
Prosody 0.9.4 released - Prosodical Thoughts
http://blog.prosody.im/prosody-0-9-4-released/

Tigase.org
Tigase XMPP Server 5.2.1 release
http://www.tigase.org/content/tigase-xmpp-server-521-release

【6】Android 版 CamiApp にアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#55438786
Android 版 CamiApp における Content Provider のアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN55438786/index.html

概要

Android 版 CamiApp には、アクセス制限不備の脆弱性があります。結果とし
て、遠隔の第三者が、当該製品のデータベース内の情報を取得したり、改ざん
したりする可能性があります。

対象となるバージョンは以下の通りです。

- Android 版 CamiApp バージョン 1.21.1 およびそれ以前

この問題は、コクヨS&T株式会社が提供する修正済みのバージョンに
Android 版 CamiApp を更新することで解決します。詳細については、コクヨ
S&T株式会社が提供する情報を参照して下さい。

関連文書 (日本語)

Google Play の Android アプリ
CamiApp (キャミアップ)
https://play.google.com/store/apps/details?id=jp.co.kokuyost.CamiApp

【7】東芝テック製 e-Studio シリーズにクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#13313061
東芝テック製 e-Studio シリーズにおけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN13313061/index.html

概要

東芝テック製 e-Studio シリーズには、クロスサイトリクエストフォージェリ
の脆弱性があります。ウェブ管理ツール (TopAccess) にログインした状態の
ユーザに細工したページへのアクセスを行わせることで、遠隔の第三者が、パ
スワードを変更したり、スキャンデータなどを取得したりする可能性がありま
す。

対象となるバージョンは以下の通りです。

- e-Studio 232/233/282/283

本脆弱性に対するファームウェアアップデートは提供されません。以下の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。

- ウェブ管理ツール (TopAccess) にログインした状態で他のウェブサイトに
  アクセスしない

関連文書 (日本語)

東芝テック株式会社
複合機のセキュリティ対策について(更新)
http://www.toshibatec.co.jp/page.jsp?id=4152

【8】Xangati ソフトウェア製品に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#657622
Xangati software release contains relative path traversal and command injection vulnerabilities
http://www.kb.cert.org/vuls/id/657622

概要

Xangati ソフトウェア製品には、複数の脆弱性があります。結果として、遠隔
の第三者が、システムファイルを閲覧したり、任意のシステムコマンドを実行
したりする可能性があります。

対象となる製品およびバージョンは複数存在します。

この問題は、Xangati が提供する修正済みのバージョンに該当製品を更新する
ことで解決します。詳細については、Xangati が提供する情報を参照して下さ
い。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#93935078
Xangati ソフトウェア製品に複数の脆弱性
https://jvn.jp/vu/JVNVU93935078/index.html

■今週のひとくちメモ

○担当者ノート: JVN で CVSS 評価を採用

JVN (Japan Vulnerability Notes) では、これまで JPCERT/CC の独自評価によ
る分析値を表示していましたが、共通脆弱性評価システム CVSS (Common
Vulnerability Scoring System) の普及に伴い、2014年4月1日から CVSS v2 に
よる分析結果の表示に変更しました。

参考文献 (日本語)

JVN
共通脆弱性評価システム CVSS による評価値を採用しました
https://jvn.jp/nav/info2014040119.html

IPA
共通脆弱性評価システムCVSS概説
https://www.ipa.go.jp/security/vuln/CVSS.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter