<<< JPCERT/CC WEEKLY REPORT 2015-04-30 >>>
■04/19(日)〜04/25(土) のセキュリティ関連情報
目 次
【1】Firefox に解放済みメモリ使用の脆弱性
【2】WordPress に複数の脆弱性
【3】PowerDNS に脆弱性
【4】Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題
【5】TransmitMail に複数の脆弱性
【今週のひとくちメモ】「Interop Tokyo 2015」開催
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr151701.txt
https://www.jpcert.or.jp/wr/2015/wr151701.xml
【1】Firefox に解放済みメモリ使用の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Update for Firefox
https://www.us-cert.gov/ncas/current-activity/2015/04/21/Mozilla-Releases-Security-Update-Firefox
概要
Firefox には、解放済みメモリ使用の脆弱性があります。結果として、遠隔の 第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 37.0.2 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新する ことで解決します。詳細は、Mozilla が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 4 月 20 日)
http://www.mozilla-japan.org/security/announce/
【2】WordPress に複数の脆弱性
情報源
US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2015/04/23/WordPress-Releases-Security-Update
概要
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行したり、当該製品が参照するデータ ベースに対して、任意の SQL コマンドを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.1.1 およびそれ以前 この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細については、WordPress が提供する情報を参照 してください。
関連文書 (日本語)
WordPress
WordPress 4.1.2 セキュリティリリース
https://ja.wordpress.org/2015/04/22/wordpress-4-1-2/
【3】PowerDNS に脆弱性
情報源
株式会社日本レジストリサービス(JPRS)
PowerDNS Authoritative Server及びPowerDNS Recursorの脆弱性
http://jprs.jp/tech/security/2015-04-27-powerdns-vuln-decompression.html
概要
PowerDNS には、脆弱性があります。結果として、遠隔の第三者が、サービ ス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - PowerDNS Authoritative Server 3.4.4より前のバージョン - PowerDNS Recursor 3.6.3より前のバージョン - PowerDNS Recursor 3.7.2より前のバージョン この問題は、開発者が提供する修正済みのバージョンに PowerDNS を更新する ことで解決します。詳細については、開発者が提供する情報を参照してくださ い。
関連文書 (英語)
PowerDNS Security Advisory 2015-01
Label decompression bug can cause crashes on specific platforms
https://doc.powerdns.com/md/security/powerdns-advisory-2015-01/
【4】Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題
情報源
CERT/CC Vulnerability Note VU#260780
NetNanny uses a shared private key and root CA
http://www.kb.cert.org/vuls/id/260780
概要
Net Nanny は共有の秘密鍵とルート CA 証明書を使用します。この証明書の生 成に用いられる秘密鍵は、直接平文で取得できる形でプログラムに含まれてい ます。攻撃者は、この秘密鍵を用いることで Net Nanny によって信頼される 証明書を生成することが可能です。 問題が確認されたバージョンは以下の通りですが、他のバージョンも影響を受 ける可能性があります。 - Net Nanny 7.2.4.2 2015年4月28日現在、対策済みのバージョンは公開されていません。以下のいず れかの回避策を適用することで、影響を軽減することが可能です。 - SSL フィルタリングを無効にし、Net Nanny がインストールした証明書を削 除する - Net Nanny をアンインストールする
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90912447
Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題
https://jvn.jp/vu/JVNVU90912447/
関連文書 (英語)
CERT/CC Blog
The Risks of SSL Inspection
https://www.cert.org/blogs/certcc/post.cfm?EntryID=221
【5】TransmitMail に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#41653647
TransmitMail におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN41653647/Japan Vulnerability Notes JVN#26860747
TransmitMail におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN26860747/
概要
TransmitMail には、複数の脆弱性があります。結果として、遠隔の第三者が、 サーバ上の任意のファイルを閲覧したり、ユーザのブラウザ上で任意のスクリ プトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - TransmitMail 1.0.11 から 1.5.8 まで この問題は、開発者が提供する修正済みのバージョンに TransmitMail を更新 することで解決します。詳細については、開発者が提供する情報を参照してく ださい。
関連文書 (日本語)
どうのこうの
TransmitMail の脆弱性について
http://dounokouno.com/2015/04/20/
■今週のひとくちメモ
○「Interop Tokyo 2015」開催
「Interop Tokyo 2015」が、2015年6月8日から 12日にかけて開催されます。 6月8日から 9日にはカンファレンス、6月10日から 12日には展示会が開催され ます。JPCERT/CC は、カンファレンスの企画・運営の協力と後援をしており、 CSIRT 構築・運用の事例を紹介する以下のプログラムでは、スピーカーも務め ます。ふるってご参加ください。 6月8日のプログラム: C3-3 CSIRT構築のすすめ Building CSIRT by Example https://reg.f2ff.jp/public/session/view/3094
参考文献 (日本語)
Interop Tokyo 2015
Interop Tokyo 2015 カンファレンスサイト
http://www.interop.jp/2015/conf/index.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/