<<< JPCERT/CC WEEKLY REPORT 2015-08-26 >>>

■08/16(日)〜08/22(土) のセキュリティ関連情報

目　次

【1】Internet Explorer に任意のコードが実行可能な脆弱性

【2】Drupal に複数の脆弱性

【3】Trend Micro Deep Discovery Inspector に複数の脆弱性

【4】Cisco Prime Infrastructure に脆弱性

【5】Adobe LiveCycle Data Services に情報漏えいの脆弱性

【6】Windows 版 QuickTime に任意のコードが実行可能な脆弱性

【7】複数のアイ・オー・データ製ルータに脆弱性

【今週のひとくちメモ】「サイバーセキュリティ2015（案）」コメント募集

【1】Internet Explorer に任意のコードが実行可能な脆弱性

情報源

US-CERT Current Activity
Microsoft Releases Critical Security Update for Internet Explorer
https://www.us-cert.gov/ncas/current-activity/2015/08/19/Microsoft-Releases-Critical-Security-Update-Internet-Explorer

概要

Internet Explorer には、任意のコードが実行可能な脆弱性があります。結果
として、遠隔の第三者が、ユーザに不正なページへアクセスを行わせることで、
任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Internet Explorer 7
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11

この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを
適用することで解決します。詳細は、Microsoft が提供する情報を参照してく
ださい。

関連文書 (日本語)

マイクロソフト株式会社
Internet Explorer 用のセキュリティ更新プログラム (3088903)
https://technet.microsoft.com/library/security/MS15-093

JPCERT/CC Alert 2015-08-19
マイクロソフト セキュリティ情報 (MS15-093) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150030.html

【2】Drupal に複数の脆弱性

情報源

US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2015/08/19/Drupal-Releases-Security-Updates

概要

Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
の SQL コマンドを実行したり、ユーザのブラウザ上で任意のスクリプトを実
行したりするなどの可能性があります。

対象となるバージョンは以下の通りです。

- Drupal 6.37 より前のバージョン
- Drupal 7.39 より前のバージョン

この問題は、Drupal が提供する修正済みのバージョンに Drupal を更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)

Drupal Security advisories
Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2015-003
https://www.drupal.org/SA-CORE-2015-003

【3】Trend Micro Deep Discovery Inspector に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#248692
Trend Micro Deep Discovery threat appliance contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/248692

概要

Trend Micro Deep Discovery Inspector には、複数の脆弱性があります。結
果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行し
たり、認証を回避したりする可能性があります。

対象となるバージョンは以下の通りです。

- Trend Micro Deep Discovery Inspector 3.8 (英語版、日本語版)
- Trend Micro Deep Discovery Inspector 3.7 (英語版、日本語版、中国語版)
- Trend Micro Deep Discovery Inspector 3.6 (英語版)
- Trend Micro Deep Discovery Inspector 3.5 (英語版、日本語版、中国語版)

この問題は、Trend Micro が提供する修正済みのバージョンに Trend Micro
Deep Discovery Inspector を更新することで解決します。詳細は、Trend Micro
が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90416059
Trend Micro Deep Discovery Inspector に複数の脆弱性
https://jvn.jp/vu/JVNVU90416059/

関連文書 (英語)

Trend Micro
Discovery Inspector (DDI) Authentication Bypass (CVE-2015-2873) and Cross-Site Scripting (XSS) Vulnerability (CVE-2015-2872)
https://esupport.trendmicro.com/solution/en-US/1112206.aspx

【4】Cisco Prime Infrastructure に脆弱性

情報源

CERT/CC Vulnerability Note VU#300820
Cisco Prime Infrastructure contains SUID root binaries
https://www.kb.cert.org/vuls/id/300820

概要

Cisco Prime Infrastructure には、SUID root された実行ファイルが、全ユーザ
から実行可能な状態で存在する問題があります。結果として、当該製品にアク
セス可能なユーザが、root 権限で任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Cisco Prime Infrastructure version 2.2

この問題は、Cisco が提供する修正済みのバージョンに Cisco Prime Infrastructure
を更新することで解決します。また、以下の回避策を適用することで、本脆弱
性の影響を軽減することが可能です。

- runShellCommand および runShellAsRoot のファイルパーミッションを変更し、
  ローカルアカウントがこれらの実行ファイルを使用できないようにする

詳細は、Cisco が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#95685556
Cisco Prime Infrastructure に SUID root された実行ファイルが存在する問題
https://jvn.jp/vu/JVNVU95685556/

【5】Adobe LiveCycle Data Services に情報漏えいの脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Update for LiveCycle Data Services
https://www.us-cert.gov/ncas/current-activity/2015/08/18/Adobe-Releases-Security-Update-LiveCycle-Data-Services

概要

Adobe LiveCycle Data Services には、脆弱性があります。結果として、遠隔
の第三者が、当該製品が動作するサーバ内の情報を取得する可能性があります。

対象となるバージョンは以下の通りです。

- LiveCycle Data Services 4.7、4.6.2、4.5、3.0.x (Windows 版、Macintosh 版、Unix 版)

この問題は、Adobe が提供する修正済みのバージョンに LiveCycle Data Services
を更新することで解決します。詳細は、Adobe が提供する情報を参照してくだ
さい。

関連文書 (日本語)

Adobe セキュリティ情報
LiveCycle Data Services 対象のセキュリティホットフィックス
https://helpx.adobe.com/jp/security/products/livecycleds/apsb15-20.html

【6】Windows 版 QuickTime に任意のコードが実行可能な脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Update for QuickTime
https://www.us-cert.gov/ncas/current-activity/2015/08/20/Apple-Releases-Security-Update-QuickTime

概要

Windows 版 QuickTime には、任意のコードが実行可能な脆弱性があります。
結果として、遠隔の第三者が、ユーザに細工したファイルを開かせることで、
任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- QuickTime 7.7.8 より前のバージョン (Windows 版)

この問題は、Apple が提供する修正済みのバージョンに QuickTime を更新す
ることで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (英語)

Apple
About the security content of QuickTime 7.7.8
https://support.apple.com/en-us/HT205046

【7】複数のアイ・オー・データ製ルータに脆弱性

情報源

Japan Vulnerability Notes JVN#17964918
複数のアイ・オー・データ製ルータにおける UPnP に関する脆弱性
https://jvn.jp/jp/JVN17964918/

概要

株式会社アイ・オー・データ機器が提供する複数のルータ製品には、UPnP に
関する脆弱性があります。結果として、遠隔の第三者が、当該製品を DDoS 攻
撃の踏み台として使用する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- NP-BBRS
- WN-G54/R2 ファームウェア Ver.1.03 より前のバージョン

NP-BBRS はサポートを終了していますので、使用を停止してください。
WN-G54/R2 は、株式会社アイ・オー・データ機器が提供する修正済みのバージョン
にファームウェアを更新することで解決します。詳細は、株式会社アイ・オー・
データ機器が提供する情報を参照してください。

関連文書 (日本語)

株式会社アイ・オー・データ機器
無線ルーター「WN-G54/R2」、有線ルーター「NP-BBRS」セキュリティの脆弱性の対処に関するご案内
http://www.iodata.jp/support/information/2015/wn-g54r2/

■今週のひとくちメモ

○「サイバーセキュリティ2015（案）」コメント募集

2015年8月20日、内閣官房内閣サイバーセキュリティセンター (NISC) は「サ
イバーセキュリティ2015（案）」を公開し、パブリックコメントの募集を開始
しました。

この案は、政府が 2015年度に実施する具体的な取組みを示しており、政府機
関における連携はもとより、重要インフラ事業者や企業、個人とも連携しつつ
取組みを推進していくとしています。この案に対するパブリックコメントは
2015年9月3日まで受け付けています。

参考文献 (日本語)

内閣官房内閣サイバーセキュリティセンター (NISC)
「サイバーセキュリティ2015（案）」に関する意見の募集
http://www.nisc.go.jp/active/kihon/cyber-security2015.html

■JPCERT/CC からのお願い