JPCERT コーディネーションセンター

Weekly Report 2015-06-03号

JPCERT-WR-2015-2101
JPCERT/CC
2015-06-03

<<< JPCERT/CC WEEKLY REPORT 2015-06-03 >>>

■05/24(日)〜05/30(土) のセキュリティ関連情報

目 次

【1】Zenphoto および ZenPhoto20 にクロスサイトスクリプティングの脆弱性

【2】Apache Sling の Sling API コンポーネントおよび Servlets Post コンポーネントにクロスサイトスクリプティングの脆弱性

【3】Blue Coat SSL Visibility Appliance に複数の脆弱性

【4】Synology の OS X 向け Cloud Station Client ユーティリティに一般ユーザによるシステムファイルの所有者変更が可能になる問題

【5】「Interop Tokyo 2015」展示会場内セミナー開催

【今週のひとくちメモ】IPA「サイバー情報共有イニシアティブ(J-CSIP) 2014年度 活動レポート」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr152101.txt
https://www.jpcert.or.jp/wr/2015/wr152101.xml

【1】Zenphoto および ZenPhoto20 にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#68452022
Zenphoto におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN68452022/

Japan Vulnerability Notes JVN#51176150
ZenPhoto20 におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN51176150/

概要

Zenphoto および ZenPhoto20 には、クロスサイトスクリプティングの脆弱性が
あります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプ
トを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Zenphoto 1.4.7 およびそれ以前
- ZenPhoto20 1.1.3 およびそれ以前

この問題は、開発者が提供する修正済みのバージョンに該当する製品を更新する
ことで解決します。詳細については、開発者が提供する情報を参照してください。

関連文書 (英語)

Zenphoto
Zenphoto 1.4.8
https://www.zenphoto.org/news/zenphoto-1.4.8

GitHub
ZenPhoto20/ZenPhoto20
https://github.com/ZenPhoto20/ZenPhoto20

【2】Apache Sling の Sling API コンポーネントおよび Servlets Post コンポーネントにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#61328139
Apache Sling の Sling API コンポーネントおよび Servlets Post コンポーネントにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN61328139/

概要

Apache Sling の Sling API コンポーネントおよび Servlets Post コンポーネ
ントには、クロスサイトスクリプティングの脆弱性があります。結果として、遠
隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があり
ます。

対象となるバージョンは以下の通りです。

- Apache Sling API バージョン 2.2.0 およびそれ以前
- Apache Sling Servlets Post バージョン 2.1.0 およびそれ以前

この問題は、The Apache Software Foundation が提供する修正済みのバージョン
に該当する製品を更新することで解決します。詳細については、The Apache
Software Foundation が提供する情報を参照してください。

関連文書 (英語)

The Apache Software Foundation
XSS vulnerability: HtmlResponse output does not escape URLs in HTML
https://issues.apache.org/jira/browse/SLING-2082

【3】Blue Coat SSL Visibility Appliance に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#498348
Blue Coat SSL Visibility Appliance contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/498348

概要

Blue Coat SSL Visibility Appliance には、複数の脆弱性があります。結果と
して、遠隔の第三者が、任意の操作を行ったり、情報を取得したりするなどの可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- Blue Coat SSL Visibility Appliance ファミリー (SV800、SV1800、SV2800、SV3800) 
  バージョン 3.6.x から 3.8.3 まで

この問題は、Blue Coat Systems が提供する修正済みのバージョンに該当する製
品を更新することで解決します。詳細については、Blue Coat Systems が提供す
る情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVN#97084421
Blue Coat SSL Visibility Appliance に複数の脆弱性
https://jvn.jp/vu/JVNVU97084421/

関連文書 (英語)

Blue Coat Systems
SSL Visibility v3.8.4 Released
https://bto.bluecoat.com/news/ssl-visibility-v3.8.4-released

【4】Synology の OS X 向け Cloud Station Client ユーティリティに一般ユーザによるシステムファイルの所有者変更が可能になる問題

情報源

CERT/CC Vulnerability Note VU#551972
Synology Cloud Station sync client for OS X allows regular users to claim ownership of system files
http://www.kb.cert.org/vuls/id/551972

概要

OS X 向け Cloud Station Client ユーティリティには、一般ユーザが任意のシ
ステムファイルの所有者を変更できる問題があります。結果として、ユーザが
root 権限を取得する可能性があります。

対象となるバージョンは以下の通りです。

- Cloud Station Client バージョン 1.1-2291 から 3.1-3320 まで

この問題は、Synology が提供する修正済みのバージョンに Cloud Station
Client を更新することで解決します。詳細については、Synology が提供する情
報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98783868
Synology の OS X 向け Cloud Station Client ユーティリティに一般ユーザによるシステムファイルの所有者変更が可能になる問題
https://jvn.jp/vu/JVNVU98783868/

【5】「Interop Tokyo 2015」展示会場内セミナー開催

情報源

Interop Tokyo 2015
展示会場内セミナー
https://reg.f2ff.jp/public/application/add/392

概要

2015年4月30日号のひとくちメモで Interop Tokyo 2015 カンファレンスをご紹
介しました。カンファレンスの翌日からは幕張メッセにおいて展示会が開催され
ます。この展示会においてもセミナーが企画されています。6月11日(木) には、
JPCERT/CC も講演します。こちらもお楽しみください。

    6月11日(木) のプログラム: EB-08
    企業における情報セキュリティ緊急対応体制
    講演者: 満永 拓邦
    https://reg.f2ff.jp/public/session/view/3182

関連文書 (日本語)

JPCERT/CC ひとくちメモ
「Interop Tokyo 2015」開催
https://www.jpcert.or.jp/tips/2015/wr151701.html

■今週のひとくちメモ

○IPA「サイバー情報共有イニシアティブ(J-CSIP) 2014年度 活動レポート」を公開

2015年5月27日、情報処理推進機構 (IPA) は、国内重要産業における標的型攻
撃の情報共有の枠組みである「サイバー情報共有イニシアティブ」(J-CSIP) 
の2014年度の活動レポートを公開しました。2014年度の年間報告に加え、これ
までの J-CSIP の活動で得られた情報をもとに、標的型攻撃に使用されたメー
ルの類型一覧や、攻撃内容の分析結果を別冊で報告しています。

参考文献 (日本語)

独立行政法人情報処理推進機構 (IPA)
プレス発表 サイバー情報共有イニシアティブ(J-CSIP)2014年度 活動レポートの公開
https://www.ipa.go.jp/about/press/20150527.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter