<<< JPCERT/CC WEEKLY REPORT 2014-10-01 >>>
■09/21(日)〜09/27(土) のセキュリティ関連情報
目 次
【1】GNU bash に任意のコードが実行可能な脆弱性
【2】Mozilla Network Security Services (NSS) に RSA 署名検証不備の脆弱性
【今週のひとくちメモ】PHP 5.4 系最後のリリース
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr143801.txt
https://www.jpcert.or.jp/wr/2014/wr143801.xml
【1】GNU bash に任意のコードが実行可能な脆弱性
情報源
US-CERT Current Activity
Bourne Again Shell (Bash) Remote Code Execution Vulnerability
https://www.us-cert.gov/ncas/current-activity/2014/09/24/Bourne-Again-Shell-Bash-Remote-Code-Execution-Vulnerability
概要
GNU bash には複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行するなどの可能性があります。 対象となるバージョンは複数存在します。 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに GNU bash を更新することで解決します。詳細については、GNU Project が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97219505
GNU Bash に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU97219505/index.htmlJPCERT/CC Alert 2014-09-25
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html
関連文書 (英語)
GNU Project
bug-bash (thread)
https://lists.gnu.org/archive/html/bug-bash/2014-09/threads.htmlGNU Project
GNU Project Archives
https://ftp.gnu.org/gnu/bash/US-CERT Alert (TA14-268A)
GNU Bourne Again Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271, CVE-2014-7169)
https://www.us-cert.gov/ncas/alerts/TA14-268A
【2】Mozilla Network Security Services (NSS) に RSA 署名検証不備の脆弱性
情報源
US-CERT Current Activity
Mozilla Network Security Services (NSS) Library Vulnerability
https://www.us-cert.gov/ncas/current-activity/2014/09/24/Mozilla-Network-Security-Services-NSS-Library-Vulnerability
概要
Mozilla Network Security Services (NSS) ライブラリには、RSA 署名検証不 備の脆弱性があります。結果として、遠隔の第三者が、正規の Web サイトを 偽造したり、中間者攻撃を実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - NSS 3.16.2.1 より前のバージョン - NSS 3.16.5 より前のバージョン - NSS 3.17.1 より前のバージョン また、上記のライブラリを使用している以下のソフトウエアが、この問題の影 響をうけることが確認されています。 - Firefox 32.0.3 より前のバージョン - Firefox ESR 24.8.1 より前のバージョン - Firefox ESR 31.1.1 より前のバージョン - Thunderbird 31.1.2 より前のバージョン - Thunderbird 24.8.1 より前のバージョン - SeaMonkey 2.29.1 より前のバージョン - Google Chrome 37.0.2062.124 より前のバージョン - Google Chrome OS 37.0.2062.120 (Platform version: 5978.98.1/5978.98.2) より前のバージョン その他のソフトウエアも、この問題の影響を受ける可能性があります。 この問題は、Mozilla が提供する修正済みのバージョンに NSS ライブラリを 更新する、あるいはソフトウエアベンダが提供する修正済みのバージョンにソ フトウエアを更新することで解決します。詳細については、Mozilla および各 ソフトウエアベンダが提供する情報を参照して下さい。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ 2014-73
http://www.mozilla-japan.org/security/announce/2014/mfsa2014-73.htmlJapan Vulnerability Notes JVNVU#94190107
Mozilla Network Security Services (NSS) に RSA 署名検証不備の脆弱性
https://jvn.jp/vu/JVNVU94190107/index.html
関連文書 (英語)
Chrome Releases
Stable Channel Update for Chrome OS
http://googlechromereleases.blogspot.jp/2014/09/stable-channel-update-for-chrome-os_24.htmlChrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.jp/2014/09/stable-channel-update_24.html
■今週のひとくちメモ
○PHP 5.4 系最後のリリース
2014年9月18日、PHP 5.4 系最後のリリースとなる 5.4.33 が公開されました。 これ以降、5.4 系は約 1年間、セキュリティ対応のみのサポートを行う体制と なります。 PHP 5.4 系においてバグが見つかった場合、修正が行われないため、PHP 5.6 系や、PHP 5.5 系への移行を検討しておくことをお勧めします。
参考文献 (日本語)
The PHP Group
PHP 5.4.x から PHP 5.5.x への移行
https://www.php.net/manual/ja/migration55.phpThe PHP Group
PHP 5.5.x から PHP 5.6.x への移行
https://php.net/manual/ja/migration56.php
参考文献 (英語)
The PHP Group
PHP 5.4.33 Released
https://php.net/archive/2014.php#id2014-09-18-2
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
