-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-2201 JPCERT/CC 2014-06-11 <<< JPCERT/CC WEEKLY REPORT 2014-06-11 >>> ―――――――――――――――――――――――――――――――――――――― ■06/01(日)〜06/07(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】OpenSSL に複数の脆弱性 【2】SOY CMS におけるクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】名前衝突問題 (Name Collision) ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr142201.html https://www.jpcert.or.jp/wr/2014/wr142201.xml ============================================================================ 【1】OpenSSL に複数の脆弱性 情報源 OpenSSL Project OpenSSL Security Advisory [05 Jun 2014] https://www.openssl.org/news/secadv_20140605.txt 概要 OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、中間者攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.0.1g およびそれ以前 - OpenSSL 1.0.0l およびそれ以前 - OpenSSL 0.9.8y およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに OpenSSL を更新することで解決します。詳細については、開発者が提供 する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVN#61247051 OpenSSL における Change Cipher Spec メッセージの処理に脆弱性 https://jvn.jp/jp/JVN61247051/index.html 【2】SOY CMS におけるクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#54650130 SOY CMS におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN54650130/index.html 概要 SOY CMS には、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは以下の通りです。 - SOY CMS Ver.1.4.0c およびそれ以前 この問題は、株式会社日本情報化農業研究所が提供する修正済みのバージョン に SOY CMS を更新することで解決します。詳細については、株式会社日本情 報化農業研究所が提供する情報を参照して下さい。 関連文書 (日本語) SOY CMS SOY CMSのXSS脆弱性(JVN#54650130)の対策について http://www.soycms.net/topics/article/SOY_CMS%E3%81%AEXSS%E8%84%86%E5%BC%B1%E6%80%A7%EF%BC%88JVN_54650130%EF%BC%89%E3%81%AE%E5%AF%BE%E7%AD%96%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○名前衝突問題 (Name Collision) JPNIC や JPRS は、名前衝突問題とその対策を周知し、対策の適用を呼びかけ ています。 近年、gTLD が大量に導入されていますが、「既存の gTLD と衝突しない」と して組織内で利用していた名前が新しく gTLD として追加されることで、様々 な問題が発生する懸念が高まっています。 例えば、内部ネットワークに閉じていた通信が意図せずに外部向けに行われた り、またはその逆の通信が行われたりして、「サービスが利用できない」「情 報が漏えいする」といった混乱が想定されます。 本問題は多くのユーザに多様な影響が出る可能性があります。参考文献に挙げ たドキュメントをお読みいただき、本問題の影響について確認と対策を行うこ とをお勧めします。 参考文献 (日本語) JPNIC 名前衝突(Name Collision)問題 https://www.nic.ad.jp/ja/dom/new-gtld/name-collision/ JPNIC 名前衝突(Name Collision)問題の周知と対策実施のお願い https://www.nic.ad.jp/ja/topics/2014/20140609-01.html JPRS IT専門家のための名前衝突の確認および抑止方法ガイド http://jprs.jp/tech/material/name-collision-mitigation-05dec13-ja-1.0.pdf 参考文献 (英語) ICANN Name Collision Resources & Information https://www.icann.org/resources/pages/name-collision-2013-12-06-en ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTl6uXAAoJEDF9l6Rp7OBIy3UH/joLC67p/jPr4ojXIatnvfkI hS9zx7RgiHZKQS7dZ+I5ZcewfGIlW/9s7S6YxNHHLuEg+B8Ms1UcV49EHbSOWeUz 4o8yUmZmgjHbxS/C+4yipXGlIRGwk/U/HmLAEbz8/I/4IxpjwcMPu2nnjdItVIQ4 FejUQR6f2zpz+V4/rVYl0JfS5T+4n7t3A5M8/hWMIWKFyzU71Ycu7yW8xT+fsKOj RBeM5bqCNIQk2ClA1AuDJHI8nYVME7VZuXPn4g3KXA3wMlBy7+BzHh8SZ5JsCqQ8 9llOXxkRzqDfQgruJLbotgrZFbnLyjoT+h83B7nIDwQYayvWNmE81kmEa1PTc80= =OsNC -----END PGP SIGNATURE-----