-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-4101 JPCERT/CC 2013-10-17 <<< JPCERT/CC WEEKLY REPORT 2013-10-17 >>> ―――――――――――――――――――――――――――――――――――――― ■10/06(日)〜10/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft 製品の複数の脆弱性に対するアップデート 【2】Adobe の複数の製品に脆弱性 【3】GnuPG にサービス運用妨害 (DoS) の脆弱性 【4】無線 LAN アクセスポイント Ruckus Wireless Zoneflex に認証機構が回避される脆弱性 【今週のひとくちメモ】Internet Explorer 11 Blocker Toolkit ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr134101.html https://www.jpcert.or.jp/wr/2013/wr134101.xml ============================================================================ 【1】Microsoft 製品の複数の脆弱性に対するアップデート 情報源 US-CERT Current Activity Microsoft Releases October 2013 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2013/10/08/Microsoft-Releases-October-2013-Security-Bulletin 概要 Microsoft 製品には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、ユーザの情報を取得したりする可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Office - Microsoft サーバー ソフトウェア - Internet Explorer - Microsoft .Net Framework - Microsoft Silverlight この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適 用することで解決します。詳細については、Microsoft が提供する情報を参照 して下さい。 関連文書 (日本語) マイクロソフト株式会社 2013 年 10 月のセキュリティ情報 http://technet.microsoft.com/ja-jp/security/bulletin/ms13-oct JPCERT/CC Alert 2013-10-09 2013年10月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130041.html 【2】Adobe の複数の製品に脆弱性 情報源 US-CERT Current Activity Security Updates Available for Adobe Reader and Acrobat https://www.us-cert.gov/ncas/current-activity/2013/10/08/Security-Updates-Available-Adobe-Reader-and-Acrobat 概要 Adobe の複数の製品には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Adobe Reader - Adobe Acrobat - Adobe RoboHelp この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。 関連文書 (日本語) Adobe Acrobat Help APSB13-25: Adobe Reader および Acrobat に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/acrobat/kb/cq10071716.html Adobe RoboHelp Help APSB13-24: RoboHelp に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/robohelp/kb/cq10071713.html JPCERT/CC Alert 2013-10-09 Adobe Reader 及び Acrobat の脆弱性 (APSB13-25) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130042.html 【3】GnuPG にサービス運用妨害 (DoS) の脆弱性 情報源 GnuPG [Announce] [security fix] GnuPG 2.0.22 released http://lists.gnupg.org/pipermail/gnupg-announce/2013q4/000333.html GnuPG [Announce] [security fix] GnuPG 1.4.15 released http://lists.gnupg.org/pipermail/gnupg-announce/2013q4/000334.html 概要 GnuPG には、細工された圧縮データを展開する際に無限ループが発生する脆弱 性があります。結果として、遠隔の第三者が、細工したデータを送りつけるこ とで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下のとおりです。 - GnuPG 1.4.15 より前のバージョン - GnuPG 2.0.22 より前のバージョン この問題は、GnuPG を最新バージョンに更新することで解決します。詳細につ いては、開発者が提供する情報を参照して下さい。 関連文書 (英語) Taylor R. Campbell's blag 2013-10-08 On compression in data formats http://mumble.net/~campbell/blag.txt 【4】無線 LAN アクセスポイント Ruckus Wireless Zoneflex に認証機構が回避される脆弱性 情報源 CERT/CC Vulnerability Note VU#742932 Ruckus Wireless Zoneflex 2942 Wireless Access Point vulnerable to authentication bypass http://www.kb.cert.org/vuls/id/742932 概要 無線 LAN アクセスポイント Ruckus Wireless Zoneflex には、認証機構が回避 される脆弱性があります。結果として第三者が、デバイスの設定用ウェブペー ジにアクセスしたり、アクセスポイントを再起動させてサービスの運用を妨害 したりする可能性があります。 対象となるバージョンは以下の通りです。 - Ruckus Wireless Zoneflex 2942 Wireless Access Point バージョン 9.6.0.0.267 およびそれ以前のバージョン 2013年10月16日現在、対策方法はありません。以下の回避策を適用することで、 本脆弱性の影響を軽減することが可能です。 - ネットワークへのアクセスを制限する - WAN デバイスマネジメントを無効化する 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99397682 無線 LAN アクセスポイント ZoneFlex 2942 に認証回避の脆弱性 https://jvn.jp/cert/JVNVU99397682/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Internet Explorer 11 Blocker Toolkit Microsoft は、Windows Update サービスを通じた Internet Explorer 11 の自 動配布を予定しています。これに先だち、Internet Explorer 11 の自動配布を ブロックする Internet Explorer 11 Blocker Toolkit の提供が開始されまし た。 業務アプリケーションなどで Internet Explorer を使用している環境において、 自動更新を行いたくない場合、このツールを使って Internet Explorer 11 へ の自動更新をブロックすることが可能です。 参考文献 (日本語) Microsoft Internet Explorer 11 自動配布の無効化ツールキット http://www.microsoft.com/ja-jp/download/details.aspx?id=40722 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJSXzenAAoJEDF9l6Rp7OBIRp0H/i/lYXeHyjBNL4VywwZO5Brt jS/PmDTiVrI2VmSxhPjt7Txw3WcbZmQnCXkri42zbmi1gsc0JlmVtVvbfWDndomB yGTNrX10AwUD5Jjc2CFYy5j/5QqMGdsqC5VVq54sE+lBtoU4hjfvi8p84GLRE7mH okxvonsZu8e0Ulp7suEwkumhrYqmOScJgJ6PmARBTcSfAoUKmhFJZEI6Nu5fWvHs vThF6cf+OLyjEXa9zNvfGWyNlfUpfICPqPqT/XKRt/bfsHljmKfFGTXGOIOyXVL5 NZVOMNikmWh53/pky9efXf6Qe/T/HV7kwsp6dKiRIgmtqxV3jq0iz0CIUniWUk4= =yBDK -----END PGP SIGNATURE-----