JPCERT コーディネーションセンター

Weekly Report 2015-10-15号

JPCERT-WR-2015-3901
JPCERT/CC
2015-10-15

<<< JPCERT/CC WEEKLY REPORT 2015-10-15 >>>

■10/04(日)〜10/10(土) のセキュリティ関連情報

目 次

【1】サイボウズ ガルーンに複数の脆弱性

【2】島根県CMS に SQL インジェクションの脆弱性

【3】phpRechnung に SQL インジェクションの脆弱性

【今週のひとくちメモ】JPNIC 管理下の逆引きゾーンへ DNSSEC 導入

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr153901.txt
https://www.jpcert.or.jp/wr/2015/wr153901.xml

【1】サイボウズ ガルーンに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#21025396
サイボウズ ガルーンにおいて任意の PHP コードが実行される複数の脆弱性
https://jvn.jp/jp/JVN21025396/

Japan Vulnerability Notes JVN#38369032
サイボウズ ガルーンにおける LDAP インジェクションの脆弱性
https://jvn.jp/jp/JVN38369032/

概要

サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第
三者が、任意の PHP コードを実行したり、認証サーバの情報を取得したりす
るなどの可能性があります。

対象となるバージョンは以下の通りです。

- サイボウズ ガルーン 3.0.0 から 4.0.3 まで

この問題は、サイボウズ株式会社が提供する修正済みのバージョンにサイボウ
ズ ガルーンを更新することで解決します。詳細は、サイボウズ株式会社が提
供する情報を参照してください。

関連文書 (日本語)

サイボウズ株式会社
[CyVDB-863]任意のPHPを実行される脆弱性
https://support.cybozu.com/ja-jp/article/8809

サイボウズ株式会社
[CyVDB-866] RSSリーダーに関する不適切な入力確認の脆弱性
https://support.cybozu.com/ja-jp/article/8810

サイボウズ株式会社
[CyVDB-867] 任意のPHPを実行される脆弱性
https://support.cybozu.com/ja-jp/article/8811

サイボウズ株式会社
[CyVDB-1018][CyVDB-1021]ログイン認証に関するLDAPインジェクションの脆弱性
https://support.cybozu.com/ja-jp/article/9176

独立行政法人情報処理推進機構 (IPA)
「サイボウズ ガルーン」における複数の脆弱性の対策について(JVN#21025396)(JVN#38369032)
https://www.ipa.go.jp/security/ciadr/vul/20151007-jvn.html

【2】島根県CMS に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#84982142
島根県CMS における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN84982142/

概要

島根県CMS には、SQL インジェクションの脆弱性があります。結果として、ロ
グイン可能なユーザが、任意の SQL 文を実行する可能性があります。

対象となるバージョンは以下の通りです。

- 島根県CMS バージョン 2.0.0

この問題は、株式会社ネットワーク応用通信研究所が提供する修正済みのバー
ジョンに島根県CMS を更新することで解決します。詳細は、株式会社ネット
ワーク応用通信研究所が提供する情報を参照してください。

関連文書 (日本語)

株式会社ネットワーク応用通信研究所
島根県CMS バージョン2
https://github.com/NaCl-Ltd/pref-shimane-cms

【3】phpRechnung に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#02671769
phpRechnung における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN02671769/

概要

phpRechnung には、SQL インジェクションの脆弱性があります。結果として、
ログイン可能なユーザが、データベース内の情報を取得したり、改ざんしたり
する可能性があります。

対象となるバージョンは以下の通りです。

- phpRechnung 1.6.4 およびそれ以前

この問題は、開発者が提供する修正済みのバージョンに phpRechnung を更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

■今週のひとくちメモ

○JPNIC 管理下の逆引きゾーンへ DNSSEC 導入

JPNIC は、管理する IP アドレスの逆引きゾーンへの DNSSEC の導入や、逆引
きゾーンの更新間隔の短縮を、2015年11月9日に実施する予定です。それに伴
い、2015年10月9日、JPNIC は関連する JPNIC公開文書を改定し、公開しまし
た。DNS サーバを管理している方は、参考文献を確認することをおすすめしま
す。

参考文献 (日本語)

一般社団法人日本ネットワークインフォメーションセンター(JPNIC)
IPアドレス管理業務に関するJPNIC文書公開のお知らせ - 逆引きDNSへのDNSSEC導入および更新間隔短縮 -
https://www.nic.ad.jp/ja/topics/2015/20151009-02.html

一般社団法人日本ネットワークインフォメーションセンター(JPNIC)
2015年11月9日から有効となるJPNIC公開文書
https://www.nic.ad.jp/ja/ip/doc/20151109.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter