JPCERT コーディネーションセンター

Weekly Report 2014-06-11号

JPCERT-WR-2014-2201
JPCERT/CC
2014-06-11

<<< JPCERT/CC WEEKLY REPORT 2014-06-11 >>>

■06/01(日)〜06/07(土) のセキュリティ関連情報

目 次

【1】OpenSSL に複数の脆弱性

【2】SOY CMS におけるクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】名前衝突問題 (Name Collision)

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr142201.txt
https://www.jpcert.or.jp/wr/2014/wr142201.xml

【1】OpenSSL に複数の脆弱性

情報源

OpenSSL Project
OpenSSL Security Advisory [05 Jun 2014]
https://www.openssl.org/news/secadv_20140605.txt

概要

OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
のコードを実行したり、中間者攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- OpenSSL 1.0.1g およびそれ以前
- OpenSSL 1.0.0l およびそれ以前
- OpenSSL 0.9.8y およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに OpenSSL を更新することで解決します。詳細については、開発者が提供
する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVN#61247051
OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
https://jvn.jp/jp/JVN61247051/index.html

【2】SOY CMS におけるクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#54650130
SOY CMS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN54650130/index.html

概要

SOY CMS には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。

対象となるバージョンは以下の通りです。

- SOY CMS Ver.1.4.0c およびそれ以前

この問題は、株式会社日本情報化農業研究所が提供する修正済みのバージョン
に SOY CMS を更新することで解決します。詳細については、株式会社日本情
報化農業研究所が提供する情報を参照して下さい。

関連文書 (日本語)

SOY CMS
SOY CMSのXSS脆弱性(JVN#54650130)の対策について
http://www.soycms.net/topics/article/SOY_CMS%E3%81%AEXSS%E8%84%86%E5%BC%B1%E6%80%A7%EF%BC%88JVN_54650130%EF%BC%89%E3%81%AE%E5%AF%BE%E7%AD%96%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6

■今週のひとくちメモ

○名前衝突問題 (Name Collision)

JPNIC や JPRS は、名前衝突問題とその対策を周知し、対策の適用を呼びかけ
ています。

近年、gTLD が大量に導入されていますが、「既存の gTLD と衝突しない」と
して組織内で利用していた名前が新しく gTLD として追加されることで、様々
な問題が発生する懸念が高まっています。

例えば、内部ネットワークに閉じていた通信が意図せずに外部向けに行われた
り、またはその逆の通信が行われたりして、「サービスが利用できない」「情
報が漏えいする」といった混乱が想定されます。

本問題は多くのユーザに多様な影響が出る可能性があります。参考文献に挙げ
たドキュメントをお読みいただき、本問題の影響について確認と対策を行うこ
とをお勧めします。

参考文献 (日本語)

JPNIC
名前衝突(Name Collision)問題
https://www.nic.ad.jp/ja/dom/new-gtld/name-collision/

JPNIC
名前衝突(Name Collision)問題の周知と対策実施のお願い
https://www.nic.ad.jp/ja/topics/2014/20140609-01.html

JPRS
IT専門家のための名前衝突の確認および抑止方法ガイド
http://jprs.jp/tech/material/name-collision-mitigation-05dec13-ja-1.0.pdf

参考文献 (英語)

ICANN
Name Collision Resources & Information
https://www.icann.org/resources/pages/name-collision-2013-12-06-en

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter