<<< JPCERT/CC WEEKLY REPORT 2015-04-30 >>>

■04/19(日)〜04/25(土) のセキュリティ関連情報

目　次

【1】Firefox に解放済みメモリ使用の脆弱性

【2】WordPress に複数の脆弱性

【3】PowerDNS に脆弱性

【4】Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題

【5】TransmitMail に複数の脆弱性

【今週のひとくちメモ】「Interop Tokyo 2015」開催

【1】Firefox に解放済みメモリ使用の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Update for Firefox
https://www.us-cert.gov/ncas/current-activity/2015/04/21/Mozilla-Releases-Security-Update-Firefox

概要

Firefox には、解放済みメモリ使用の脆弱性があります。結果として、遠隔の
第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Firefox 37.0.2 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新する
ことで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 4 月 20 日)
http://www.mozilla-japan.org/security/announce/

【2】WordPress に複数の脆弱性

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2015/04/23/WordPress-Releases-Security-Update

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザのブラウザ上で任意のスクリプトを実行したり、当該製品が参照するデータ
ベースに対して、任意の SQL コマンドを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- WordPress 4.1.1 およびそれ以前

この問題は、WordPress が提供する修正済みのバージョンに WordPress を更
新することで解決します。詳細については、WordPress が提供する情報を参照
してください。

関連文書 (日本語)

WordPress
WordPress 4.1.2 セキュリティリリース
https://ja.wordpress.org/2015/04/22/wordpress-4-1-2/

【3】PowerDNS に脆弱性

情報源

株式会社日本レジストリサービス(JPRS)
PowerDNS Authoritative Server及びPowerDNS Recursorの脆弱性
http://jprs.jp/tech/security/2015-04-27-powerdns-vuln-decompression.html

概要

PowerDNS には、脆弱性があります。結果として、遠隔の第三者が、サービ
ス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- PowerDNS Authoritative Server 3.4.4より前のバージョン
- PowerDNS Recursor 3.6.3より前のバージョン
- PowerDNS Recursor 3.7.2より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに PowerDNS を更新する
ことで解決します。詳細については、開発者が提供する情報を参照してくださ
い。

関連文書 (英語)

PowerDNS Security Advisory 2015-01
Label decompression bug can cause crashes on specific platforms
https://doc.powerdns.com/md/security/powerdns-advisory-2015-01/

【4】Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題

情報源

CERT/CC Vulnerability Note VU#260780
NetNanny uses a shared private key and root CA
http://www.kb.cert.org/vuls/id/260780

概要

Net Nanny は共有の秘密鍵とルート CA 証明書を使用します。この証明書の生
成に用いられる秘密鍵は、直接平文で取得できる形でプログラムに含まれてい
ます。攻撃者は、この秘密鍵を用いることで Net Nanny によって信頼される
証明書を生成することが可能です。

問題が確認されたバージョンは以下の通りですが、他のバージョンも影響を受
ける可能性があります。

- Net Nanny 7.2.4.2

2015年4月28日現在、対策済みのバージョンは公開されていません。以下のいず
れかの回避策を適用することで、影響を軽減することが可能です。

- SSL フィルタリングを無効にし、Net Nanny がインストールした証明書を削
  除する
- Net Nanny をアンインストールする

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90912447
Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題
https://jvn.jp/vu/JVNVU90912447/

関連文書 (英語)

CERT/CC Blog
The Risks of SSL Inspection
https://www.cert.org/blogs/certcc/post.cfm?EntryID=221

【5】TransmitMail に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#41653647
TransmitMail におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN41653647/

Japan Vulnerability Notes JVN#26860747
TransmitMail におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN26860747/

概要

TransmitMail には、複数の脆弱性があります。結果として、遠隔の第三者が、
サーバ上の任意のファイルを閲覧したり、ユーザのブラウザ上で任意のスクリ
プトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- TransmitMail 1.0.11 から 1.5.8 まで

この問題は、開発者が提供する修正済みのバージョンに TransmitMail を更新
することで解決します。詳細については、開発者が提供する情報を参照してく
ださい。

関連文書 (日本語)

どうのこうの
TransmitMail の脆弱性について
http://dounokouno.com/2015/04/20/

■今週のひとくちメモ

○「Interop Tokyo 2015」開催

「Interop Tokyo 2015」が、2015年6月8日から 12日にかけて開催されます。
6月8日から 9日にはカンファレンス、6月10日から 12日には展示会が開催され
ます。JPCERT/CC は、カンファレンスの企画・運営の協力と後援をしており、
CSIRT 構築・運用の事例を紹介する以下のプログラムでは、スピーカーも務め
ます。ふるってご参加ください。

6月8日のプログラム: C3-3
 CSIRT構築のすすめ
 Building CSIRT by Example
 https://reg.f2ff.jp/public/session/view/3094

参考文献 (日本語)

Interop Tokyo 2015
Interop Tokyo 2015 カンファレンスサイト
http://www.interop.jp/2015/conf/index.html

■JPCERT/CC からのお願い