<<< JPCERT/CC WEEKLY REPORT 2014-01-08 >>>
■12/22(日)〜01/04(土) のセキュリティ関連情報
目 次
【1】VMware ESX および ESXi に任意のファイルにアクセス可能な脆弱性
【2】サイボウズ ガルーンに複数の脆弱性
【3】RealPlayer に複数の脆弱性
【今週のひとくちメモ】IME のクラウド関連機能に関するセキュリティ上の注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr140101.txt
https://www.jpcert.or.jp/wr/2014/wr140101.xml
【1】VMware ESX および ESXi に任意のファイルにアクセス可能な脆弱性
情報源
Japan Vulnerability Notes JVN#13154935
VMware ESX および ESXi において任意のファイルにアクセス可能な問題
https://jvn.jp/jp/JVN13154935/index.html
概要
VMware ESX および ESXi には、任意のファイルにアクセスできる脆弱性があり ます。結果として、vCenter Server において、Add New Disk または Add Existing Disk を実行できる権限を持っているユーザが、ESX または ESXi の 任意のファイルを読み取る可能性があります。 対象となるバージョンは以下の通りです。 - VMware ESXi 5.5 without patch ESXi550-201312001 - VMware ESXi 5.1 without patch ESXi510-201310001 - VMware ESXi 5.0 without patch update-from-esxi5.0-5.0_update03 - VMware ESXi 4.1 without patch ESXi410-201312001 - VMware ESXi 4.0 without patch ESXi400-201310001 - VMware ESX 4.1 without patch ESX410-201312001 - VMware ESX 4.0 without patch ESX400-201310001 この問題は VMWare が提供する修正済みのバージョンに VMware ESX および ESXi を更新することで解決します。詳細については、VMWare が提供する情報 を参照して下さい。
関連文書 (英語)
VMware
VMware ESXi and ESX unauthorized file access through vCenter Server and ESX
http://www.vmware.com/security/advisories/VMSA-2013-0016.html
【2】サイボウズ ガルーンに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#60997973
サイボウズ ガルーンにおける SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN60997973/index.htmlJapan Vulnerability Notes JVN#81706478
サイボウズ ガルーンのケータイ機能における認証回避の脆弱性
https://jvn.jp/jp/JVN81706478/index.html
概要
サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第三 者が、データベース内の情報を改ざんしたり、ケータイ機能を使用しているユー ザの権限で情報にアクセスしたりする可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ ガルーン 3.7 Service Pack 2 およびそれ以前 この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ ガルー ンを更新することで解決します。詳細については、サイボウズが提供する情報 を参照して下さい。
関連文書 (日本語)
サイボウズ株式会社
APIに関するSQLインジェクションの脆弱性
https://support.cybozu.com/ja-jp/article/7889サイボウズ株式会社
ケータイに関する不適切な認証の脆弱性
https://support.cybozu.com/ja-jp/article/7893
【3】RealPlayer に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#698278
RealPlayer version 16.0.3.51 contains a buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/698278
概要
RealPlayer には複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性が あります。 対象となるバージョンは以下の通りです。 - Windows 版 RealPlayer 17.0.4.61 より前のバージョン - Mac OS X 版 RealPlayer 12.0.1.1738 より前のバージョン この問題は、RealNetworks が提供する修正済みのバージョンに RealPlayer を 更新することで解決します。詳細については、RealNetworks が提供する情報を 参照して下さい。
関連文書 (日本語)
RealNetworks, Inc.
RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/12202013_player/ja/
■今週のひとくちメモ
○IME のクラウド関連機能に関するセキュリティ上の注意
最近の日本語入力に使われる IME には、学習履歴を複数の端末で共有するため に外部サーバに履歴を保存したり、変換精度を向上させるために外部サーバと 通信したりする、クラウド関連機能が実装されている製品があります。 このような機能を持つ IME は、一部のメーカ製 PC にプリインストールされて いたり、他のアプリケーションと一緒にインストールされたりする場合があり ます。 クラウド関連機能は、ユーザが端末で入力した内容を外部サーバへ送信するこ とによって実現されていますが、ユーザの意図しない通信を行っている事例が 指摘されています。 IME のクラウド関連機能を使う場合は、入力内容が外部に送信される可能性が あることを認識しておきましょう。
参考文献 (日本語)
IIJ-SECT Security Diary
IMEのオンライン機能利用における注意について
https://sect.iij.ad.jp/d/2013/12/104971.htmlAndroid用日本語IME Simeji
緊急リリース版について
http://simeji.me/blog/news/news_131228/id=3829
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/