JPCERT コーディネーションセンター

Weekly Report 2015-01-07号

JPCERT-WR-2015-0101
JPCERT/CC
2015-01-07

<<< JPCERT/CC WEEKLY REPORT 2015-01-07 >>>

■12/21(日)〜01/03(土) のセキュリティ関連情報

目 次

【1】Git クライアントおよび Mercurial クライアントに脆弱性

【2】「ntpd に複数の脆弱性」に関する追加情報

【今週のひとくちメモ】担当者が選ぶ 2014年重大ニュース

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr150101.txt
https://www.jpcert.or.jp/wr/2015/wr150101.xml

【1】Git クライアントおよび Mercurial クライアントに脆弱性

情報源

Git Blame
Git 1.8.5.6, 1.9.5, 2.0.5, 2.1.4 and 2.2.1 and thanking friends in Mercurial land
http://git-blame.blogspot.com.es/2014/12/git-1856-195-205-214-and-221-and.html

概要

Git クライアントおよび Mercurial クライアントには脆弱性があります。結
果として、第三者が、細工したリポジトリデータにローカルリポジトリを同期
させることでメタ情報を上書きし、クライアントマシン上で任意のコマンドを
実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Git 1.8.5.6 より前のバージョン
- Git 1.9.5 より前のバージョン
- Git 2.0.5 より前のバージョン
- Git 2.1.4 より前のバージョン
- Git 2.2.1 より前のバージョン
- Mercurial 3.2.3 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、開発者が提供する情報を参照して下さ
い。

関連文書 (日本語)

Mercurial 日本語ユーザグループ
【緊急セキュリティ対処】 Mercurial 3.2.3 is released !
https://groups.google.com/forum/#!topic/mercurial-ja/GWE55H-hNp8

関連文書 (英語)

Git Blame
Git 1.8.5.6, 1.9.5, 2.0.5, 2.1.4 and 2.2.1 and thanking friends in Mercurial land
http://git-blame.blogspot.com.es/2014/12/git-1856-195-205-214-and-221-and.html

Apple
About the security content of Xcode 6.2 beta 3
http://support.apple.com/en-us/HT204147

Microsoft
Git vulnerability with .git config
http://blogs.msdn.com/b/bharry/archive/2014/12/18/git-vulnerability-with-git-config.aspx

Mercurial Release Notes
2. Mercurial 3.2.3 (2014-12-18)
http://mercurial.selenic.com/wiki/WhatsNew#Mercurial_3.2.3_.282014-12-18.29

【2】「ntpd に複数の脆弱性」に関する追加情報

情報源

US-CERT Current Activity
Apple Releases Security Updates for OS X
https://www.us-cert.gov/ncas/current-activity/2014/12/23/Apple-Releases-Security-Updates-OS-X

概要

JPCERT/CC WEEKLY REPORT 2014-12-25号【1】で紹介した「ntpd に複数の脆弱
性」に関する追加情報です。

Apple が Mac OS X 向けのアップデートを 2014年12月22日に公開しました。
詳細については、Apple が提供する情報を参照して下さい。

関連文書 (英語)

Apple
About OS X NTP Security Update
http://support.apple.com/en-us/HT6601

■今週のひとくちメモ

○担当者が選ぶ 2014年重大ニュース

2015年が始まりました。この場をお借りして、担当者が選んだ 2014年の重大
ニュースを紹介したいと思います。

- Windows XP および関連製品のサポート終了

  2014年4月9日で、Windows XP のサポートが終了しました。あわせて Microsoft
  Office 2003、Windows XP 向け Internet Explorer 6 もサポートが終了し
  ました。

  Microsoft
  Windows XP と Office 2003 のサポートを終了させていただきました
  https://www.microsoft.com/ja-jp/windows/lifecycle/xp_eos.aspx

- Heartbleed、Shellshock など影響の大きい脆弱性が複数発見

  OpenSSL や Bash など、企業の Web サイトやシステムで広く使われている
  複数のソフトウェアに、重大な脆弱性が見つかり話題となりました。

  JPCERT/CC
  OpenSSL の脆弱性に関する注意喚起
  https://www.jpcert.or.jp/at/2014/at140013.html

  JPCERT/CC
  GNU bash の脆弱性に関する注意喚起
  https://www.jpcert.or.jp/at/2014/at140037.html

- 大規模な個人情報漏えい事件発生と個人情報保護ガイドライン改正

  大規模な個人情報漏えい事件が複数発生し、大きなニュースになりました。
  これらの個人情報漏えい事件発生などをうけ、経済産業省では、経済産業分
  野の個人情報保護ガイドラインを改正しています。

  経済産業省
  経済産業分野の「個人情報保護ガイドライン」を改正しました
  http://www.meti.go.jp/press/2014/12/20141212002/20141212002.html

- 国際的なボットネットのテイクダウン作戦開始

  インターネットバンキングに係わる不正送金事案に使用されているとみられ
  る「Game Over Zeus」が世界的に蔓延していることをうけ、国際的なボット
  ネットのテイクダウン作戦を開始しました。

  JPCERT/CC
  国際的なボットネットのテイクダウン作戦
  https://www.jpcert.or.jp/pr/2014/pr140002.html

- パスワードリスト攻撃による不正ログイン多発

  複数のインターネットサービスで同じパスワードを使い回していることが原
  因で生じる不正なログイン、いわゆるパスワードリスト攻撃による被害が多
  発しました。

  JPCERT/CC
  STOP!! パスワード使い回し!! パスワードリスト攻撃による不正ログイン防
  止に向けた呼びかけ
  https://www.jpcert.or.jp/pr/2014/pr140004.html

  JPCERT/CC
  「STOP!パスワード使い回し!」キャンペーンにご賛同いただける企業の募集
  https://www.jpcert.or.jp/pr/2014/pr140005.html

- サイバーセキュリティ基本法が成立

  2014年11月6日、サイバーセキュリティ基本法が成立しました。国の行政機
  関等におけるサイバーセキュリティの確保、教育および学習の振興・普及啓
  発、国際協力の推進などの施策が盛り込まれています。

    衆議院
    サイバーセキュリティ基本法案
    http://www.shugiin.go.jp/internet/itdb_gian.nsf/html/gian/honbun/houan/g18601035.htm

    内閣官房情報セキュリティセンター
    サイバーセキュリティ基本法案の概要
    http://www.nisc.go.jp/conference/seisaku/dai40/pdf/40shiryou0102.pdf

- ドメイン名ハイジャック発生

  国内組織が使用している .com ドメイン名の登録情報が不正に書き換えられ
  るドメイン名ハイジャックのインシデントが複数発生しました。

  JPCERT/CC
  登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起
  https://www.jpcert.or.jp/at/2014/at140044.html

- 日本発のセキュリティ国際会議 CODE BLUE 開催

  2014年2月、セキュリティ国際会議 CODE BLUE が開催されました。この会議
  は、国内の優れたセキュリティ研究および専門家を海外に発信することを目
  的のひとつに掲げており、12月には第2回が開催されました。

  CODE BLUE
  世界トップクラスの専門家による情報セキュリティ国際会議「CODE BLUE(コードブルー)」
  http://codeblue.jp/

- サイバーセキュリティ対策活動への協力者に感謝状贈呈

  JPCERT/CC では、サイバーセキュリティインシデントの被害低減に大きく貢
  献した方に感謝の意を表する「JPCERT/CC 感謝状制度」を、2014年4月に制
  定しました。2014年は 2名の方に感謝状を贈呈させていただきました。

  JPCERT/CC
  サイバーセキュリティ対策活動への協力者に感謝状贈呈
  -「JPCERT/CC 感謝状制度」を制定 -
  https://www.jpcert.or.jp/press/priz/2014/PR20140703-priz.html

- FIRST 理事に JPCERT/CC 小宮山功一朗が就任

  国際的な CSIRT フォーラム FIRST の総会が 2014年6月に開催され、10人の
  理事のうち半数が改選されました。この選挙で、新たな理事の一人として、
  JPCERT/CC の小宮山功一朗が選ばれました。

  FIRST
  FIRST.Org, Inc., Board of Directors
  http://www.first.org/about/organization/directors

本年が皆様にとって良い年になることを、編集担当一同祈っております。本年も
Weekly Report をどうぞよろしくお願いします。

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter