JPCERT コーディネーションセンター

Weekly Report 2015-04-15号

JPCERT-WR-2015-1501
JPCERT/CC
2015-04-15

<<< JPCERT/CC WEEKLY REPORT 2015-04-15 >>>

■04/05(日)〜04/11(土) のセキュリティ関連情報

目 次

【1】複数の Apple 製品に脆弱性

【2】ntpd に複数の脆弱性

【3】Lhaplus に複数の脆弱性

【4】WordPress 用プラグイン WP Super Cache にクロスサイトスクリプティングの脆弱性

【5】S2Struts の Validator に脆弱性

【今週のひとくちメモ】なりすましECサイト対策協議会「なりすましECサイト 対策マニュアル」公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr151501.txt
https://www.jpcert.or.jp/wr/2015/wr151501.xml

【1】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates for OS X, iOS, Safari, and Apple TV
https://www.us-cert.gov/ncas/current-activity/2015/04/08/Apple-Releases-Security-Updates-OS-X-iOS-Safari-and-Apple-TV

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Safari 8.0.5 より前のバージョン
- Safari 7.1.5 より前のバージョン
- Safari 6.2.5 より前のバージョン
- OS X Yosemite v10.10.3 より前のバージョン
- iOS 8.3 より前のバージョン
- Apple TV 7.2 より前のバージョン
- Xcode 6.3 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する
ことで解決します。詳細については、Apple が提供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#91828320
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU91828320/

関連文書 (英語)

Apple
About the security content of Safari 8.0.5, Safari 7.1.5, and Safari 6.2.5
https://support.apple.com/en-us/HT204658

Apple
About the security content of OS X Yosemite v10.10.3 and Security Update 2015-004
https://support.apple.com/en-us/HT204659

Apple
About the security content of iOS 8.3
https://support.apple.com/en-us/HT204661

Apple
About the security content of Apple TV 7.2
https://support.apple.com/en-us/HT204662

Apple
About the security content of Xcode 6.3
https://support.apple.com/en-us/HT204663

【2】ntpd に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#374268
NTP Project ntpd reference implementation contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/374268

概要

ntpd には、複数の脆弱性があります。結果として、遠隔の第三者が、時刻同
期を妨害するなどの可能性があります。

対象となるバージョンは以下の通りです。

- ntp-4.2.8p2 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに ntpd を更新すること
で解決します。詳細については、開発者が提供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#95993136
NTP daemon (ntpd) に複数の脆弱性
https://jvn.jp/vu/JVNVU95993136/

関連文書 (英語)

Network Time Protocol
Security Notice
http://support.ntp.org/bin/view/Main/SecurityNotice#April_2015_NTP_Security_Vulnerab

【3】Lhaplus に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#12329472
Lhaplus において任意のコードを実行される脆弱性
https://jvn.jp/jp/JVN12329472/

Japan Vulnerability Notes JVN#02527990
Lhaplus におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN02527990/

概要

Lhaplus には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
のコードを実行したり、名前を細工したファイルをユーザに開かせることで、
任意のファイルを操作するなどの可能性があります。

対象となるバージョンは以下の通りです。

- Lhaplus Version 1.70 およびそれ以前

この問題は、開発者が提供する修正済みのバージョンに Lhaplus を更新する
ことで解決します。詳細については、開発者が提供する情報を参照して下さい。

関連文書 (日本語)

HoeHoe.com
Lhaplus Version 1.71 [ 2015/04/02 ]
http://www7a.biglobe.ne.jp/~schezo/

【4】WordPress 用プラグイン WP Super Cache にクロスサイトスクリプティングの脆弱性

情報源

US-CERT Current Activity
WP Super Cache Cross-Site Scripting (XSS) Vulnerability
https://www.us-cert.gov/ncas/current-activity/2015/04/09/WP-Super-Cache-Cross-Site-Scripting-XSS-Vulnerability

概要

WordPress 用プラグイン WP Super Cache には、クロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で
任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- WP Super Cache 1.4.4 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに WP Super Cache を更
新することで解決します。詳細については、開発者が提供する情報を参照して
下さい。

関連文書 (英語)

WordPress Plugin Directory
WP Super Cache
https://wordpress.org/plugins/wp-super-cache/

Sucuri Blog
Security Advisory: Persistent XSS in WP-Super-Cache
https://blog.sucuri.net/2015/04/security-advisory-persistent-xss-in-wp-super-cache.html

【5】S2Struts の Validator に脆弱性

情報源

Japan Vulnerability Notes JVN#91383083
S2Struts の Validator に入力値検査回避の脆弱性
https://jvn.jp/jp/JVN91383083/

概要

S2Struts の Validator には、脆弱性があります。結果として、遠隔の第三者
が、入力値検査を回避する可能性があります。

対象となるバージョンは以下の通りです。

- S2Struts 1.2.13 およびそれ以前
- S2Struts 1.3.2 およびそれ以前

この問題は、Seasar ファウンデーションが提供する修正済みのバージョンに
S2Struts を更新することで解決します。詳細については、Seasar ファウンデー
ションが提供する情報を参照して下さい。

関連文書 (日本語)

特定非営利活動法人 Seasar ファウンデーション
SeasarWhatsNew/2015-03-29
https://www.seasar.org/wiki/index.php?SeasarWhatsNew%2F2015-03-29

SourceForge.JP
Apache Struts 1.2.9 with SP2 by TERASOLUNA
http://sourceforge.jp/projects/terasoluna/wiki/StrutsPatch2-JP

■今週のひとくちメモ

○なりすましECサイト対策協議会「なりすましECサイト 対策マニュアル」公開

2015年4月6日、なりすましECサイト対策協議会は、EC サイト事業者向けに
「なりすましECサイト 対策マニュアル」を公開しました。このマニュアルに
は、なりすまし EC サイトで商品を購入した消費者が代金を騙し取られたり、
なりすまされたサイトが信頼を失墜したりするといった被害の実態や、自社サ
イトを模倣したなりすまし EC サイトを発見した場合の対処法などがまとめら
れています。

参考文献 (日本語)

なりすましECサイト対策協議会
なりすましECサイト対策協議会 対策マニュアルを公開
http://www.saferinternet.or.jp/info/764/

なりすましECサイト対策協議会
被害実態調査結果2014
http://www.saferinternet.or.jp/narisumashi/report/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter