<<< JPCERT/CC WEEKLY REPORT 2012-07-11 >>>
■07/01(日)〜07/07(土) のセキュリティ関連情報
目 次
【1】WordPress に複数の脆弱性
【2】RSA Access Manager に脆弱性
【3】HP Network Node Manager i (NNMi) に脆弱性
【4】HP Photosmart に脆弱性
【5】Zenphoto にクロスサイトスクリプティングの脆弱性
【6】Movable Type 用プラグイン MT4i にクロスサイトスクリプティングの脆弱性
【7】YY-BOARD にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Thunderbird の開発方針に関する新たな提案
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr122602.txt
https://www.jpcert.or.jp/wr/2012/wr122602.xml
【1】WordPress に複数の脆弱性
情報源
JC3-CIRC Technical Bulletin U-206
U-206: WordPress Flaws Permit Cross-Site Scripting, Cross-Site Request Forgery, and Information Disclosure Attacks
http://circ.jc3.doe.gov/bulletins/u-206.shtml
概要
WordPress には複数の脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で任意のスクリプトを実行したり、情報を取得したりする可能性 があります。 対象となるバージョンは以下の通りです。 - WordPress バージョン 3.4.1 より前のバージョン この問題は、WordPress が提供する修正済みのバージョンに WordPress を更新 することで解決します。詳細については、WordPress が提供する情報を参照し て下さい。
関連文書 (英語)
WordPress News
WordPress 3.4.1 Maintenance and Security Release
http://wordpress.org/news/2012/06/wordpress-3-4-1/WordPress Codex
Version 3.4.1
http://codex.wordpress.org/Version_3.4.1
【2】RSA Access Manager に脆弱性
情報源
JC3-CIRC Technical Bulletin U-205
U-205: RSA Access Manager Session Replay Flaw Lets Remote Users Access the System
http://circ.jc3.doe.gov/bulletins/u-205.shtml
概要
RSA Access Manager にはセッションリプレイの脆弱性があります。結果として、 遠隔の第三者がシステムにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - RSA Access Manager Server バージョン 6.0.x、6.1、6.1 SP1、6.1 SP2、6.1 SP3 - RSA Access Manager Agent の全てのバージョン この問題は、RSA が提供する更新プログラムを適用するとともに、RSA Access Manager Agent の設定を変更することで解決します。詳細については、RSA が 提供する情報を参照して下さい。
関連文書 (英語)
RSA
RSA Worldwide Customer Support
https://knowledge.rsasecurity.com/
【3】HP Network Node Manager i (NNMi) に脆弱性
情報源
JC3-CIRC Technical Bulletin U-204
U-204: HP Network Node Manager I Input Validation Hole Permits Cross-Site Scripting Attacks
http://circ.jc3.doe.gov/bulletins/u-204.shtml
概要
HP Network Node Manager i (NNMi) にはクロスサイトスクリプティングの脆弱 性があります。結果として、遠隔の第三者がユーザのブラウザ上で、任意のス クリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - HP Network Node Manager i (NNMi) バージョン 8.x、9.0x、9.1x この問題は、HP が提供する修正済みのバージョンに NNMi をアップデートする ことで解決します。詳細については、HP が提供する情報を参照して下さい。
関連文書 (英語)
HP SUPPORT COMMUNICATION - SECURITY BULLETIN
HPSBMU02783 SSRT100806 rev.1 - HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS)
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03343724
【4】HP Photosmart に脆弱性
情報源
JC3-CIRC Technical Bulletin U-203
U-203: HP Photosmart Bug Lets Remote Users Deny Service
http://circ.jc3.doe.gov/bulletins/u-203.shtml
概要
HP Photosmart には脆弱性があります。結果として、遠隔の第三者が細工した データを送信することで、サービス運用妨害 (DoS) 攻撃を行う可能性がありま す。 対象となるバージョンは以下の通りです。 - HP Photosmart Wireless e-All-in-One Printer series - B110 - HP Photosmart e-All-in-One Printer series - D110 - HP Photosmart Plus e-All-in-One Printer series - B210 - HP Photosmart eStation All-in-One Printer series - C510 - HP Photosmart Ink Advantage e-All-in-One Printer series - K510 - HP Photosmart Premium Fax e-All-in-One Printer series - C410 この問題は、HP が提供する修正済みのファームウェアに更新することで解決し ます。詳細については、HP が提供する情報を参照して下さい。
関連文書 (英語)
HP SUPPORT COMMUNICATION - SECURITY BULLETIN
HPSBPI02794 SSRT100542 rev.1 - Certain HP Photosmart Printers, Remote Denial of Service (DoS)
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02931414
【5】Zenphoto にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#59842447
Zenphoto におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN59842447/index.html
概要
Zenphoto にはクロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があ ります。 対象となるバージョンは以下の通りです。 - Zenphoto 1.4.2.4 およびそれ以前 この問題は、Zenphoto が提供する修正済みのバージョンに Zenphoto を更新す ることで解決します。詳細については、Zenphoto が提供する情報を参照して下 さい。
関連文書 (英語)
Zenphoto
Zenphoto 1.4.3
http://www.zenphoto.org/news/zenphoto-1.4.3
【6】Movable Type 用プラグイン MT4i にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#80835745
Movable Type 用プラグイン MT4i におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN80835745/index.html
概要
MT4i にはクロスサイトスクリプティングの脆弱性があります。結果として、遠 隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - MT4i 3.1 β4 およびそれ以前 この問題は、MT4i が提供する修正済みのバージョンに MT4i を更新することで 解決します。詳細については、MT4i が提供する情報を参照して下さい。
関連文書 (日本語)
【7】YY-BOARD にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#03582364
YY-BOARD におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN03582364/index.html
概要
YY-BOARD にはクロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - YY-BOARD Ver.6.4 より前のバージョン この問題は、ウェブクリエイトが提供する修正済みのバージョンに更新するこ とで解決します。
関連文書 (日本語)
株式会社ウェブクリエイト
YY-BOARD
http://www.kent-web.com/bbs/yybbs.html
■今週のひとくちメモ
○Thunderbird の開発方針に関する新たな提案
メーラソフト Thunderbird は、これまで Firefox と同期して開発が行われて きましたが、Mozilla プロジェクトでは、Thunderbird について、安定性を維 持することが最も重要であるとして、今後の開発方針に関する新たな提案を行っ ています。 この提案では、セキュリティ上必要なアップデートは提供し、新機能の開発や サポートについてはコミュニティに委ねるといった内容になっています。 Mozilla プロジェクトでは、9月までこの新たな開発方針に関する議論を続けた いとして、関心のある個人や企業からの意見を求めています。
参考文献 (日本語)
Mozilla Japan ブログ
Thunderbird: 安定性とコミュニティによる革新
http://www.mozilla.jp/blog/entry/9697/
参考文献 (英語)
Mozilla Wiki
Thunderbird/Proposal: New Release and Governance Model
https://wiki.mozilla.org/Thunderbird/Proposal:_New_Release_and_Governance_Model
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/