PHP OpenID Library に脆弱性

JPCERT-WR-2013-3401 2013-08-28 2013-08-18 2013-08-24

PHP OpenID Library に脆弱性 Japan Vulnerability Notes JVN#24713981 PHP OpenID Library における XML 外部実体参照に関する脆弱性 https://jvn.jp/jp/JVN24713981/index.html

PHP OpenID Library には、脆弱性があります。結果として、遠隔の第三者が、サーバ上の情報を取得する可能性があります。対象となるバージョンは以下の通りです。 - PHP OpenID Library バージョン 2.2.2 およびそれ以前この問題は、開発者が提供する修正済みのバージョンに PHP OpenID Library を更新することで解決します。詳細については、開発者が提供する情報を参照して下さい。

PHP OpenID Library Project disable external XML entities and libxml errors https://github.com/openid/php-openid/commit/625c16bb28bb120d262b3f19f89c2c06cb9b0da9

McAfee Email Gateway SMTP にサービス運用妨害 (DoS) の脆弱性 JC3 Bulletin V-225: McAfee Email Gateway SMTP Processing Flaw Lets Remote Users Deny Service http://energy.gov/cio/articles/v-225-mcafee-email-gateway-smtp-processing-flaw-lets-remote-users-deny-service

McAfee Email Gateway SMTP には、サービス運用妨害 (DoS) の脆弱性があります。結果として、遠隔の第三者が細工したメールを送信することで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。対象となるバージョンは以下の通りです。 - McAfee Email Gateway (MEG) 7.5 この問題は、McAfee が提供する修正済みのパッチを McAfee Email Gateway に適用することで解決します。詳細については、McAfee が提供する情報を参照して下さい。

McAfee Technical Articles MEG 7.5 SMTP proxy stops responding when scanning specifically formatted emails http://kc.mcafee.com/corporate/index?page=content&id=KB79117

HP StoreOnce D2D Backup Systems にサービス運用妨害 (DoS) の脆弱性 JC3 Bulletin V-226: HP StoreOnce D2D Backup Systems Denial of Service Vulnerability http://energy.gov/cio/articles/v-226-hp-storeonce-d2d-backup-systems-denial-service-vulnerability

HP StoreOnce D2D Backup Systems には、サービス運用妨害 (DoS) の脆弱性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。対象となるバージョンは以下の通りです。 - HP StoreOnce D2D Backup Systems 1.2.18 以前のバージョン 1.x - HP StoreOnce D2D Backup Systems 2.2.18 以前のバージョン 2.x この問題は、HP が提供する修正済みのバージョンに StoreOnce D2D Backup Systems を更新することで解決します。詳細については、HP が提供する情報を参照して下さい。

HP SUPPORT COMMUNICATION - SECURITY BULLETIN HPSBST02897 rev.1 - HP StoreOnce D2D Backup System, Remote Denial of Service (DoS) https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03828580

ヤフーのスマートフォン向けアプリに SSL サーバ証明書検証不備の脆弱性 Japan Vulnerability Notes JVN#75084836 Android 版 Yahoo!ショッピングにおける SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN75084836/index.html Japan Vulnerability Notes JVN#68156832 ヤフオク! における SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN68156832/index.html

ヤフー株式会社が提供する複数のスマートフォン向けアプリには、SSL サーバ証明書検証不備の脆弱性があります。結果として、遠隔の第三者が、暗号通信を盗聴する可能性があります。対象となるバージョンは以下の通りです。 - Yahoo!ショッピング ver.1.4 およびそれ以前 (Android 版) - ヤフオク! ver.4.3.0 およびそれ以前 (iOS 版、Android 版) この問題は、ヤフー株式会社が提供する修正済みのバージョンに該当する製品を更新することで解決します。詳細については、ヤフー株式会社が提供する情報を参照して下さい。

マイクロソフトが MD5 ハッシュの利用制限プログラムを公開マイクロソフトは 8月に MD5 ハッシュの利用制限のセキュリティ更新プログラムを公開しました。このプログラムを適用すると、いくつかの条件では MD5 ハッシュを利用した証明書が利用できなくなります。現在は、ダウンロードセンターのみで公開されていますが、来年の 2月以降、 WindowsUpdate などによる自動更新が予定されています。使用している環境で問題が発生しないか、事前に検証し、適用準備をしましょう。 Microsoft TechNet blog 日本のセキュリティチームセキュリティアドバイザリ 2862973 〜ルート証明書プログラムにおける MD5ハッシュの利用制限 http://blogs.technet.com/b/jpsecurity/archive/2013/08/14/3590346.aspx CRYPTREC 電子政府における調達のために参照すべき暗号のリスト（ＣＲＹＰＴＲＥＣ暗号リスト） http://www.cryptrec.go.jp/images/cryptrec_ciphers_list_2013.pdf