<<< JPCERT/CC WEEKLY REPORT 2015-05-20 >>>

■05/10(日)〜05/16(土) のセキュリティ関連情報

目　次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】Mozilla 製品群に複数の脆弱性

【4】複数の Cisco TelePresence 製品に脆弱性

【5】PHP に複数の脆弱性

【6】QEMU に任意のコード実行が可能な脆弱性

【7】メールディーラーにクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】IPA、「SSL/TLS暗号設定ガイドライン」を公開

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases May 2015 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2015/05/12/Microsoft-Releases-May-2015-Security-Bulletin

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office
- Microsoft サーバー ソフトウェア
- Microsoft .NET Framework
- Microsoft Lync
- Microsoft Silverlight

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細については、Microsoft が提供する情報を参照してくださ
い。

関連文書 (日本語)

マイクロソフト株式会社
2015 年 5 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms15-may

JPCERT/CC Alert 2015-05-13
2015年5月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150012.html

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Flash Player, Reader, and Acrobat
https://www.us-cert.gov/ncas/current-activity/2015/05/12/Adobe-Releases-Security-Updates-Flash-Player-Reader-and-Acrobat

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player 17.0.0.169 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 13.0.0.281 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 11.2.202.457 およびそれ以前 (Linux 版)
- AIR Desktop Runtime 17.0.0.144 およびそれ以前
- AIR SDK and SDK & Compiler 17.0.0.144 およびそれ以前
- Adobe Reader XI (11.0.10) およびそれ以前
- Adobe Reader X (10.1.13) およびそれ以前
- Adobe Acrobat XI (11.0.10) およびそれ以前
- Adobe Acrobat X (10.1.13) およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Adobe が提供する情報を参照してくだ
さい。

関連文書 (日本語)

Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb15-09.html

Adobe セキュリティ情報
Adobe Reader および Acrobat 用セキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/reader/apsb15-10.html

JPCERT/CC Alert 2015-05-13
Adobe Flash Player の脆弱性 (APSB15-09) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150013.html

JPCERT/CC Alert 2015-05-13
Adobe Reader および Acrobat の脆弱性 (APSB15-10) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150014.html

【3】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.us-cert.gov/ncas/current-activity/2015/05/12/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-and

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Firefox 38 より前のバージョン
- Firefox ESR 31.7 より前のバージョン
- Thunderbird 31.7 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
ください。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 5 月 12 日)
http://www.mozilla-japan.org/security/announce/

【4】複数の Cisco TelePresence 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Advisories for TelePresence Products
https://www.us-cert.gov/ncas/current-activity/2015/05/14/Cisco-Releases-Security-Advisories-TelePresence-Products

概要

複数の Cisco TelePresence 製品には、脆弱性があります。結果として、遠隔
の第三者が、任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Cisco TelePresence MX Series
- Cisco TelePresence System EX Series
- Cisco TelePresence Integrator C Series
- Cisco TelePresence Profiles Series
- Cisco TelePresence Quick Set Series
- Cisco TelePresence System T Series
- Cisco TelePresence VX Clinical Assistant
- Cisco TelePresence Advanced Media Gateway Series
- Cisco TelePresence IP Gateway Series
- Cisco TelePresence IP VCR Series
- Cisco TelePresence ISDN Gateway
- Cisco TelePresence MCU 4200 Series
- Cisco TelePresence MCU 4500 Series
- Cisco TelePresence MCU 5300 Series
- Cisco TelePresence MCU MSE 8420
- Cisco TelePresence MCU MSE 8510
- Cisco TelePresence Serial Gateway Series
- Cisco TelePresence Server 7010
- Cisco TelePresence Server MSE 8710
- Cisco TelePresence Server on Multiparty Media 310
- Cisco TelePresence Server on Multiparty Media 320
- Cisco TelePresence Server on Virtual Machine

この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Cisco が提供する情報を参照してくだ
さい。

関連文書 (英語)

Cisco Security Advisory
Multiple Vulnerabilities in Cisco TelePresence TC and TE Software
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150513-tc

Cisco Security Advisory
Command Injection Vulnerability in Multiple Cisco TelePresence Products
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150513-tp

【5】PHP に複数の脆弱性

情報源

PHP Group
PHP 5.6.9 is available
https://php.net/archive/2015.php#id2015-05-14-3

PHP Group
PHP 5.5.25 is available
https://php.net/archive/2015.php#id2015-05-14-1

PHP Group
PHP 5.4.41 Released
https://php.net/archive/2015.php#id2015-05-14-2

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- PHP 5.6.9 より前のバージョン
- PHP 5.5.25 より前のバージョン
- PHP 5.4.41 より前のバージョン

この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細については、開発者や配布元が提供する情報を参
照してください。

関連文書 (英語)

PHP Group
PHP 5 ChangeLog Version 5.6.9
https://php.net/ChangeLog-5.php#5.6.9

PHP Group
PHP 5 ChangeLog Version 5.5.25
https://php.net/ChangeLog-5.php#5.5.25

PHP Group
PHP 5 ChangeLog Version 5.4.41
https://php.net/ChangeLog-5.php#5.4.41

【6】QEMU に任意のコード実行が可能な脆弱性

情報源

VENOM
VIRTUALIZED ENVIRONMENT NEGLECTED OPERATIONS MANIPULATION
http://venom.crowdstrike.com/

概要

QEMU の仮想フロッピードライブコントローラには、脆弱性があります。結果
として、ゲストOS の管理者権限を持つユーザが、ホスト OS 上で任意のコー
ドを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- QEMU
- QEMU の仮想フロッピードライブコントローラを使用するハイパーバイザ

この問題は、開発者や配布元が提供する修正済みのバージョンに製品を更新す
ることで解決します。詳細については、開発者や配布元が提供する情報を参照
してください。

関連文書 (英語)

CROWDSTRIKE
VENOM Vulnerability Details
http://blog.crowdstrike.com/venom-vulnerability-details/

qemu.git
fdc: force the fifo access to be in bounds of the allocated buffer
http://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c

【7】メールディーラーにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#20133698
メールディーラーにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN20133698/

概要

メールディーラーには、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。

対象となるバージョンは以下の通りです。

- メールディーラー 11.2.1 およびそれ以前

この問題は、株式会社ラクスが提供する修正済みのバージョンにメールディー
ラーを更新することで解決します。詳細については、株式会社ラクスが提供す
る情報を参照してください。

関連文書 (日本語)

株式会社ラクス
メールディーラーの脆弱性について
http://support.maildealer.jp/announce/150511.php

■今週のひとくちメモ

○IPA、「SSL/TLS暗号設定ガイドライン」を公開

2015年5月12日、情報処理推進機構 (IPA) は、「SSL/TLS暗号設定ガイドライ
ン」を公開しました。この文書は暗号技術評価プロジェクト (CRYPTREC) が作
成したもので、SSL/TLS サーバの構築者や実際のサーバ管理やサービス提供に
責任を持つことになるサーバ管理者ならびに SSL/TLS サーバの構築を発注す
るシステム担当者を対象としてまとめられています。
このガイドラインでは、3つの設定基準「高セキュリティ型」「推奨セキュリ
ティ型」「セキュリティ例外型」を設け、各基準で要求される設定項目をまと
めたほか、個別製品での具体的な設定方法や、設定項目のチェックリストなど
も掲載されています。

参考文献 (日本語)

独立行政法人情報処理推進機構 (IPA)
SSL/TLS 暗号設定ガイドライン〜安全なウェブサイトのために（暗号設定対策編）〜
https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html

■JPCERT/CC からのお願い