JPCERT コーディネーションセンター

Weekly Report 2014-08-27号

JPCERT-WR-2014-3301
JPCERT/CC
2014-08-27

<<< JPCERT/CC WEEKLY REPORT 2014-08-27 >>>

■08/17(日)〜08/23(土) のセキュリティ関連情報

目 次

【1】PHP に複数の脆弱性

【2】Ruby 1.9.2 に脆弱性

【3】WordPress 用テーマ Cakifo にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】SECCON 2014 開催

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr143301.txt
https://www.jpcert.or.jp/wr/2014/wr143301.xml

【1】PHP に複数の脆弱性

情報源

PHP Group
PHP 5.5.16 is released
https://php.net/archive/2014.php#id2014-08-22-1

PHP Group
PHP 5.4.32 Released
https://php.net/archive/2014.php#id2014-08-21-1

概要

PHP には複数の脆弱性があります。結果として、遠隔の第三者が任意のコード
を実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- PHP 5.5.16 より前のバージョン
- PHP 5.4.32 より前のバージョン

この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細については、開発者や配布元が提供する情報を参
照して下さい。

関連文書 (英語)

PHP Group
PHP 5 ChangeLog Version 5.5.16
https://php.net/ChangeLog-5.php#5.5.16

PHP Group
PHP 5 ChangeLog Version 5.4.32
https://php.net/ChangeLog-5.php#5.4.32

【2】Ruby 1.9.2 に脆弱性

情報源

Ruby
Ruby 1.9.2-p330 リリース
https://www.ruby-lang.org/ja/news/2014/08/19/ruby-1.9.2-p330-released/

概要

Ruby 1.9.2 には脆弱性があります。結果として、遠隔の第三者が、サービス
運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- Ruby 1.9.2 系列の p330 より前のバージョン

Ruby 1.9.2 は、2014年7月31日でサポート終了とされていましたが、今回、セ
キュリティ上致命的な問題があるとして、新たなリリースがなされたものです。
Ruby 1.9.3 については、リリース前に問題が修正されていたため、1.9.3-p0 
以降には影響はありません。

この問題は、開発者や配布元が提供する修正済みのバージョンに Ruby 1.9.2 
を更新することで解決します。詳細については、開発者や配布元が提供する情
報を参照して下さい。

関連文書 (日本語)

Ruby
Ruby 1.8.7 および 1.9.2 のサポート終了について
https://www.ruby-lang.org/ja/news/2014/07/01/eol-for-1-8-7-and-1-9-2/

【3】WordPress 用テーマ Cakifo にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#27531188
WordPress 用テーマ Cakifo におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN27531188/index.html

概要

WordPress 用テーマの Cakifo には、クロスサイトスクリプティングの脆弱性
があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスク
リプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Cakifo 1.0 から 1.6.1 まで

この問題は、開発者が提供する修正済みのバージョンに Cakifo を更新すること
で解決します。詳細については、開発者が提供する情報を参照して下さい。

関連文書 (英語)

Jayj.dk
Cross-site Scripting vulnerability in Cakifo
http://jayj.dk/security/JVN27531188.html

■今週のひとくちメモ

○SECCON 2014 開催

情報システムに対する攻撃技術や解析能力などのセキュリティ技術を競う大会 
SECCON 2014 が開催されます。今年は、9月の横浜大会を皮切りに、その後各地
で地方大会が開催されます。来年2月には、東京で全国大会が開催される予定で
す。

このイベントは、所属や年齢を問わず、学生から社会人まで参加することがで
きます。興味のある方は、Web サイトの募集要項を参考に応募してみてはいか
がでしょうか。

参考文献 (日本語)

Security Contest 2014
SECCON 2014 開催大会スケジュール
http://2014.seccon.jp/

NPO日本ネットワークセキュリティ協会
日本国内最大のセキュリティコンテスト「SECCON 2014」を実施
http://www.jnsa.org/seccon/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter