-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-1701 JPCERT/CC 2014-05-01 <<< JPCERT/CC WEEKLY REPORT 2014-05-01 >>> ―――――――――――――――――――――――――――――――――――――― ■04/20(日)〜04/26(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Internet Explorer に脆弱性 【2】Apache Struts 2 に ClassLoader が操作可能な脆弱性 【3】複数の Apple 製品に脆弱性 【4】POCO C++ Libraries の NetSSL ライブラリにワイルドカード証明書を適切に検証しない脆弱性 【5】x86 Linux で稼働する IBM Notes および Domino のスタックが実行可能にされている問題 【今週のひとくちメモ】EMET 使ってますか? ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr141701.html https://www.jpcert.or.jp/wr/2014/wr141701.xml ============================================================================ 【1】Microsoft Internet Explorer に脆弱性 情報源 CERT/CC Vulnerability Note VU#222929 Microsoft Internet Explorer use-after-free vulnerability https://www.kb.cert.org/vuls/id/222929 概要 Microsoft Internet Explorer には、脆弱性があります。結果として、遠隔の 第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Microsoft Internet Explorer 6 - Microsoft Internet Explorer 7 - Microsoft Internet Explorer 8 - Microsoft Internet Explorer 9 - Microsoft Internet Explorer 10 - Microsoft Internet Explorer 11 なお、この脆弱性を使用した攻撃が行われていることが報告されています。 2014年4月30日現在、対策済みのバージョンは公開されていません。以下の回避 策を適用することで、本脆弱性の影響を軽減することが可能です。 - Microsoft Enhanced Mitigation Experience Toolkit (EMET) を利用する その他、複数の回避策が紹介されています。詳細については、マイクロソフトが 提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ 2963983 Internet Explorer の脆弱性により、リモートでコードが実行される https://technet.microsoft.com/ja-JP/library/security/2963983 独立行政法人情報処理推進機構 (IPA) Internet Explorer の脆弱性対策について(CVE-2014-1776) https://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html Japan Vulnerability Notes JVNVU#92280347 Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性 https://jvn.jp/vu/JVNVU92280347/index.html JPCERT/CC Alert 2014-04-28 2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140018.html 【2】Apache Struts 2 に ClassLoader が操作可能な脆弱性 情報源 CERT/CC Vulnerability Note VU#719225 Apache Struts2 ClassLoader allows access to class properties via request parameters https://www.kb.cert.org/vuls/id/719225 概要 Apache Struts 2 には、ClassLoader を操作可能な脆弱性があります。結果とし て、遠隔の第三者が、Apache Struts 2 が動作しているサーバ上で、情報を窃取 したり、任意のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Apache Struts 2.3.16.1 およびそれ以前 なお、開発者による公式サポートが終了している Apache Struts 1系についても 類似の脆弱性が確認されています。 この問題は、Apache Struts Project が提供する修正済みのバージョンに Apache Struts 2 を更新することで解決します。詳細については、Apache Struts Project が提供する情報を参照して下さい。 関連文書 (日本語) 独立行政法人情報処理推進機構 (IPA) Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113) https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html Japan Vulnerability Notes JVN#19294237 Apache Struts において ClassLoader が操作可能な脆弱性 https://jvn.jp/jp/JVN19294237/index.html 関連文書 (英語) Struts Announcements Struts 2.3.16.2 General Availability Release - Security Fix Release https://struts.apache.org/announce.html#a20140424 Apache Struts 2 Documentation S2-021 https://struts.apache.org/development/2.x/docs/s2-021.html 【3】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for OS X, iOS devices, and Apple TV https://www.us-cert.gov/ncas/current-activity/2014/04/23/Apple-Releases-Security-Updates-Mac-OS-X-and-iOS US-CERT Current Activity Firmware Update for Apple AirPort Devices https://www.us-cert.gov/ncas/current-activity/2014/04/23/Firmware-Update-Apple-AirPort-Devices 概要 複数の Apple 製品には脆弱性があります。結果として、遠隔の第三者が、認証 を回避したり、任意のコードを実行したり、情報を取得したりする可能性があり ます。 対象となるバージョンは以下の通りです。 - OS X Mavericks v10.9.2 より前のバージョン - OS X Mountain Lion v10.8.5 より前のバージョン - OS X Lion v10.7.5 より前のバージョン - OS X Lion Server v10.7.5 より前のバージョン - iOS 7.1.1 より前のバージョン - Apple TV 6.1.1 より前のバージョン - AirPort Base Station ファームウェアバージョン 7.7.3 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新するこ とで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95860341 複数の Apple 製品の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU95860341/index.html 関連文書 (英語) Apple Security Update 2014-002 http://support.apple.com/kb/HT6207 Apple About the security content of iOS 7.1.1 http://support.apple.com/kb/HT6208 Apple About the security content of Apple TV 6.1.1 http://support.apple.com/kb/HT6209 Apple AirPort Base Station Firmware Update 7.7.3 http://support.apple.com/kb/HT6203 【4】POCO C++ Libraries の NetSSL ライブラリにワイルドカード証明書を適切に検証しない脆弱性 情報源 CERT/CC Vulnerability Note VU#118748 POCO C++ Libraries NetSSL library fails to properly validate wildcard certificates https://www.kb.cert.org/vuls/id/118748 概要 POCO C++ Libraries の NetSSL ライブラリには、ワイルドカード証明書を適切 に検証しない脆弱性があります。結果として、遠隔の第三者が、正規の Web サ イトを偽造したり、中間者攻撃を実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - poco-1.4.6p2 およびそれ以前 - 開発版 poco-1.5.0 から 1.5.2 まで この問題は、Applied Informatics GmbH が提供する修正済みのバージョンに POCO C++ Libraries を更新することで解決します。詳細については、Applied Informatics GmbH が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90945962 POCO C++ Libraries の NetSSL ライブラリにおけるワイルドカード証明書を適切に検証しない脆弱性 https://jvn.jp/vu/JVNVU90945962/index.html 関連文書 (英語) Applied Informatics Software Engineering GmbH This is the changelog file for the POCO C++ Libraries. https://raw.github.com/pocoproject/poco/poco-1.4.6p4-release/CHANGELOG 【5】x86 Linux で稼働する IBM Notes および Domino のスタックが実行可能にされている問題 情報源 CERT/CC Vulnerability Note VU#350089 IBM Notes and Domino on x86 Linux specify an executable stack https://www.kb.cert.org/vuls/id/350089 概要 x86 Linux で稼働する IBM Notes および Domino は、実行不可属性によるメモ リ領域の保護が行われていません。結果として、他の脆弱性を使用した攻撃の際 に、悪用される可能性があります。 対象となるバージョンは以下の通りです。 - IBM Notes 9.0.1 およびそれ以前 - IBM Domino 9.0.1 Interim Fix 2 およびそれ以前 - IBM Notes 8.5.x - IBM Domino 8.5.x この問題は、IBM が提供する修正済みのバージョンに IBM Notes および Domino を更新することで解決します。詳細については、IBM が提供する情報を参照して 下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98935174 IBM Notes および IBM Domino に問題 https://jvn.jp/vu/JVNVU98935174/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○EMET 使ってますか? マイクロソフト社は脆弱性緩和ツール Enhanced Mitigation Experience Toolkit (EMET) を提供しています。現在提供されているバージョンは、「3.0」 「4.1」「5.0 Technical Preview」ですが、今週紹介しているInternet Explorer の未修正の脆弱性 (CVE-2014-1776) を使用した攻撃は、EMET 3.0 で は回避することができません。EMET 4.1 あるいは EMET 5.0 Technical Preview 版を使用することが必要です。 EMET の推奨構成を適用することで、Windows の主要なプログラムに対する攻撃 の影響を緩和することが可能です。主要なプログラム以外にも、お使いのアプリ ケーションに対して EMET の保護を設定することができますので、検討してみて はいかがでしょうか。 参考文献 (日本語) マイクロソフト セキュリティ TechCenter Enhanced Mitigation Experience Toolkit http://technet.microsoft.com/ja-jp/security/jj653751 マイクロソフト 日本のセキュリティチーム EMET 5.0 Technical Preview 公開しました http://blogs.technet.com/b/jpsecurity/archive/2014/02/26/3623734.aspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTYZpdAAoJEDF9l6Rp7OBITAAH/2aD133tSYa4QUOe5g9Pmjjf OgFY6XWB/lgqSimnFhsigGKXNhREaIID9N3HkjLgo1jL74FHdG9+HZ4ZeNaLP265 d6sZUQ4hdmZBRjEqKvHhGuAFydqCCy0dnTzgnZHvUFTZTax1dqve4WQ9e384j/I4 IQ0rNoKQ1KF1BnJ0GVCE+Ss3f7JGQ6LLZbCZ8YTVsN/16M66S+m+W+OXxVKzspkX sSNv+HRr4sQ8e77cMPyaihhUHfz12GkALLnyWdhC0BziD54SooVTEulsNKtSUNCn VRVjth2R1Z8a14i0m+iHDvlhMEMAFlqBaKMynBdVYKySmsx2oUzrPcmQ4N9gJZ0= =ze1I -----END PGP SIGNATURE-----