JPCERT-WR-2014-2301

JPCERT/CC

2014-06-18

<<< JPCERT/CC WEEKLY REPORT 2014-06-18 >>>

■06/08(日)〜06/14(土) のセキュリティ関連情報

目　次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】ジャストシステムのオンラインアップデートプログラムに任意のコードが実行される脆弱性

【4】Mozilla 製品群に複数の脆弱性

【5】ISC BIND 9.10.0 にサービス運用妨害 (DoS) の脆弱性

【6】Cisco の AsyncOS にクロスサイトスクリプティングの脆弱性

【7】SEIL シリーズにサービス運用妨害 (DoS) の脆弱性

【今週のひとくちメモ】IT製品の調達におけるセキュリティ要件リスト

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr142301.txt
https://www.jpcert.or.jp/wr/2014/wr142301.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases June 2014 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2014/06/10/Microsoft-Releases-June-2014-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office
- Microsoft Lync
- Microsoft Lync サーバー

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。なお、この更新には、 JPCERT/CC REPORT 2014-05-28 号【1】
で紹介した問題に対する修正も含まれています。詳細については、Microsoft
が提供する情報を参照して下さい。

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Flash Player and Air
https://www.us-cert.gov/ncas/current-activity/2014/06/10/Adobe-Releases-Security-Updates-Flash-Player-and-Air

概要

Adobe の Flash Player および Air には、複数の脆弱性があります。結果と
して、遠隔の第三者が、任意のコードを実行したり、アクセス制限を回避した
りする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player 13.0.0.214 およびそれ以前 (Windows、Macintosh 版)
- Adobe Flash Player 11.2.202.359 およびそれ以前 (Linux 版)
- Adobe AIR 13.0.0.111 およびそれ以前 (Windows、Macintosh および Android 版)
- Adobe AIR SDK and Compiler 13.0.0.111 およびそれ以前
- Adobe AIR SDK 13.0.0.111 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに Flash Player および
Air を更新することで解決します。詳細については、Adobe が提供する情報を
参照して下さい。

【3】ジャストシステムのオンラインアップデートプログラムに任意のコードが実行される脆弱性

情報源

Japan Vulnerability Notes JVN#50129191
複数のジャストシステム製品同梱のオンラインアップデートプログラムに任意のコード実行可能な脆弱性
https://jvn.jp/jp/JVN50129191/index.html

概要

複数のジャストシステム製品に同梱されたオンラインアップデートプログラム
には、アップデートモジュールの電子署名が不正であった場合でも、アップデ
ートプログラムを実行してしまう脆弱性があります。結果として、不正なアッ
プデートモジュールを実行することで、遠隔の第三者が任意のコードを実行す
る可能性があります。

影響を受ける製品は広範囲に及び、以下のプログラムが添付されている全製品
が影響を受けます。詳細については、ジャストシステムが提供する情報を参照
して下さい。

- JUSTオンラインアップデート
- JUSTオンラインアップデート for J-License および管理ツール

この問題は、ジャストシステムが提供する修正済みのバージョンに「JUSTオン
ラインアップデート」および「JUSTオンラインアップデート for J-License、
およびその管理ツール」を更新することで解決します。詳細については、ジャ
ストシステムが提供する情報を参照して下さい。

【4】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, Thunderbird, and Netscape Portable Runtime
https://www.us-cert.gov/ncas/current-activity/2014/06/13/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-Thunderbird

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、クリックジャッキング攻撃を実行したりする可能
性があります。

対象となるバージョンは以下の通りです。

- Firefox 30.0 より前のバージョン
- Firefox ESR 24.6 より前のバージョン
- Thunderbird 24.6 より前のバージョン
- Seamonkey 2.26.1 より前のバージョン
- Netscape Portable Runtime 4.10.6 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。

【5】ISC BIND 9.10.0 にサービス運用妨害 (DoS) の脆弱性

情報源

ISC Knowledge Base
CVE-2014-3859: BIND named can crash due to a defect in EDNS printing processing
https://kb.isc.org/article/AA-01166/

概要

ISC BIND 9 には、EDNS0 のオプションの処理に問題があります。結果として、
遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

 - 9.10.0 および 9.10.0-P1

この問題は、ISC が提供する修正済みのバージョンに ISC BIND 9 を更新する
ことで解決します。詳細については、ISC が提供する情報を参照して下さい。

【6】Cisco の AsyncOS にクロスサイトスクリプティングの脆弱性

情報源

CERT/CC Vulnerability Note VU#613308
Cisco AsyncOS contains a reflected cross-site scripting (XSS) vulnerability
https://www.kb.cert.org/vuls/id/613308

概要

Cisco の AsyncOS には、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Cisco Email Security Appliance 8.0 およびそれ以前
- Cisco Web Security Appliance 8.0 およびそれ以前
- Cisco Content Security Management Appliance 8.3 およびそれ以前

この問題は、Cisco が提供する修正済みのバージョンに AsyncOS を更新する
ことで解決します。詳細については、Cisco が提供する情報を参照して下さい。

【7】SEIL シリーズにサービス運用妨害 (DoS) の脆弱性

情報源

Japan Vulnerability Notes JVN#10724763
SEIL シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN10724763/index.html

概要

SEIL シリーズには、サービス運用妨害 (DoS) の脆弱性があります。結果とし
て、遠隔の第三者が、細工した TCP パケットを送信することで、PPPAC 機能
を用いて接続したセッションを切断したり、接続の受付を停止させたりする可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- SEIL/x86 1.00 から 3.10 まで
- SEIL/X1 1.00 から 4.50 まで
- SEIL/X2 1.00 から 4.50 まで
- SEIL/B1 1.00 から 4.50 まで
- SEIL/Turbo 1.80 から 2.17 まで
- SEIL/neu 2FE Plus 1.80 から 2.17 まで

この問題は、株式会社インターネットイニシアティブが提供する修正済みのバ
ージョンにファームウェアを更新することで解決します。詳細については、株
式会社インターネットイニシアティブが提供する情報を参照して下さい。

■今週のひとくちメモ

○IT製品の調達におけるセキュリティ要件リスト

2014年5月19日、経済産業省は「IT製品の調達におけるセキュリティ要件リス
ト」を公開しました。また、これにあわせて、情報処理推進機構 (IPA) は
「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」を公開
しました。

これは、デジタル複合機 (MFP) やファイアウォールなど 7つの製品分野を対
象として、製品に対する脅威とその対策をまとめたものです。

社内システムの調達において、要件を策定する際の参考として活用してみては
いかがでしょうか。

参考文献 (日本語)

経済産業省
「IT製品の調達におけるセキュリティ要件リスト」を策定しました
http://www.meti.go.jp/press/2014/05/20140519003/20140519003.html

独立行政法人情報処理推進機構 (IPA)
「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」の公開
https://www.ipa.go.jp/security/it-product/guidebook.html

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2014-06-18号

<<< JPCERT/CC WEEKLY REPORT 2014-06-18 >>>

■06/08(日)〜06/14(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○IT製品の調達におけるセキュリティ要件リスト

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次