<<< JPCERT/CC WEEKLY REPORT 2014-06-18 >>>
■06/08(日)〜06/14(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】ジャストシステムのオンラインアップデートプログラムに任意のコードが実行される脆弱性
【4】Mozilla 製品群に複数の脆弱性
【5】ISC BIND 9.10.0 にサービス運用妨害 (DoS) の脆弱性
【6】Cisco の AsyncOS にクロスサイトスクリプティングの脆弱性
【7】SEIL シリーズにサービス運用妨害 (DoS) の脆弱性
【今週のひとくちメモ】IT製品の調達におけるセキュリティ要件リスト
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr142301.txt
https://www.jpcert.or.jp/wr/2014/wr142301.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases June 2014 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2014/06/10/Microsoft-Releases-June-2014-Security-Bulletin
概要
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office - Microsoft Lync - Microsoft Lync サーバー この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。なお、この更新には、 JPCERT/CC REPORT 2014-05-28 号【1】 で紹介した問題に対する修正も含まれています。詳細については、Microsoft が提供する情報を参照して下さい。
関連文書 (日本語)
マイクロソフト株式会社
2014 年 6 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms14-jun独立行政法人情報処理推進機構 (IPA)
Microsoft 製品の脆弱性対策について(2014年6月)
https://www.ipa.go.jp/security/ciadr/vul/20140611-ms.html警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS14-030,031,032,033,034,035,036)
https://www.npa.go.jp/cyberpolice/topics/?seq=13952JPCERT/CC Alert 2014-06-11
2014年6月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140025.htmlJPCERT/CC WEEKLY REPORT 2014-05-28 号
Microsoft Internet Explorer 8 に解放済みメモリ使用の脆弱性
https://www.jpcert.or.jp/wr/2014/wr142001.html#1
関連文書 (英語)
Microsoft Security TechCenter
Microsoft Security Bulletin Summary for June 2014
https://technet.microsoft.com/en-us/security/bulletin/ms14-jun
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Flash Player and Air
https://www.us-cert.gov/ncas/current-activity/2014/06/10/Adobe-Releases-Security-Updates-Flash-Player-and-Air
概要
Adobe の Flash Player および Air には、複数の脆弱性があります。結果と して、遠隔の第三者が、任意のコードを実行したり、アクセス制限を回避した りする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 13.0.0.214 およびそれ以前 (Windows、Macintosh 版) - Adobe Flash Player 11.2.202.359 およびそれ以前 (Linux 版) - Adobe AIR 13.0.0.111 およびそれ以前 (Windows、Macintosh および Android 版) - Adobe AIR SDK and Compiler 13.0.0.111 およびそれ以前 - Adobe AIR SDK 13.0.0.111 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Flash Player および Air を更新することで解決します。詳細については、Adobe が提供する情報を 参照して下さい。
関連文書 (日本語)
Adobeセキュリティ情報
Adobe Flash Player用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb14-16.html独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性対策について(APSB14-16)(CVE-2014-0531等)
https://www.ipa.go.jp/security/ciadr/vul/20140611-adobeflashplayer.htmlJPCERT/CC Alert 2014-06-11
Adobe Flash Player の脆弱性 (APSB14-16) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140026.html
関連文書 (英語)
Adobe Security Bulletin
Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb14-16.html
【3】ジャストシステムのオンラインアップデートプログラムに任意のコードが実行される脆弱性
情報源
Japan Vulnerability Notes JVN#50129191
複数のジャストシステム製品同梱のオンラインアップデートプログラムに任意のコード実行可能な脆弱性
https://jvn.jp/jp/JVN50129191/index.html
概要
複数のジャストシステム製品に同梱されたオンラインアップデートプログラム には、アップデートモジュールの電子署名が不正であった場合でも、アップデ ートプログラムを実行してしまう脆弱性があります。結果として、不正なアッ プデートモジュールを実行することで、遠隔の第三者が任意のコードを実行す る可能性があります。 影響を受ける製品は広範囲に及び、以下のプログラムが添付されている全製品 が影響を受けます。詳細については、ジャストシステムが提供する情報を参照 して下さい。 - JUSTオンラインアップデート - JUSTオンラインアップデート for J-License および管理ツール この問題は、ジャストシステムが提供する修正済みのバージョンに「JUSTオン ラインアップデート」および「JUSTオンラインアップデート for J-License、 およびその管理ツール」を更新することで解決します。詳細については、ジャ ストシステムが提供する情報を参照して下さい。
関連文書 (日本語)
ジャストシステム株式会社
[JS14002] ジャストシステム商品に添付のオンラインアップデート機能の脆弱性対策
https://www.justsystems.com/jp/info/js14002.html独立行政法人情報処理推進機構 (IPA)
複数のジャストシステム製品同梱の「オンラインアップデートプログラム」に任意のコード実行可能な脆弱性について(JVN#50129191)
https://www.ipa.go.jp/security/ciadr/vul/20140611-jvn.html
【4】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, Thunderbird, and Netscape Portable Runtime
https://www.us-cert.gov/ncas/current-activity/2014/06/13/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-Thunderbird
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、クリックジャッキング攻撃を実行したりする可能 性があります。 対象となるバージョンは以下の通りです。 - Firefox 30.0 より前のバージョン - Firefox ESR 24.6 より前のバージョン - Thunderbird 24.6 より前のバージョン - Seamonkey 2.26.1 より前のバージョン - Netscape Portable Runtime 4.10.6 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。
関連文書 (日本語)
Mozilla Japan
Firefox リリースノート バージョン 30.0 - 2014/06/10 リリース
http://www.mozilla.jp/firefox/30.0/releasenotes/
関連文書 (英語)
Mozilla
Mozilla Foundation Security Advisories (June 10, 2014)
http://www.mozilla.org/security/announce/
【5】ISC BIND 9.10.0 にサービス運用妨害 (DoS) の脆弱性
情報源
ISC Knowledge Base
CVE-2014-3859: BIND named can crash due to a defect in EDNS printing processing
https://kb.isc.org/article/AA-01166/
概要
ISC BIND 9 には、EDNS0 のオプションの処理に問題があります。結果として、 遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - 9.10.0 および 9.10.0-P1 この問題は、ISC が提供する修正済みのバージョンに ISC BIND 9 を更新する ことで解決します。詳細については、ISC が提供する情報を参照して下さい。
関連文書 (日本語)
JPRS
(緊急)BIND 9.10.xの脆弱性(DNSサービスの停止)について(2014年6月12日公開)
http://jprs.jp/tech/security/2014-06-12-bind9-vuln-edns-option.htmlJPNIC
ISC BIND 9.10に関する脆弱性について(2014年6月)
https://www.nic.ad.jp/ja/topics/2014/20140612-02.htmlJPCERT/CC Alert 2014-06-12
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2014-3859) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140027.html
【6】Cisco の AsyncOS にクロスサイトスクリプティングの脆弱性
情報源
CERT/CC Vulnerability Note VU#613308
Cisco AsyncOS contains a reflected cross-site scripting (XSS) vulnerability
https://www.kb.cert.org/vuls/id/613308
概要
Cisco の AsyncOS には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Email Security Appliance 8.0 およびそれ以前 - Cisco Web Security Appliance 8.0 およびそれ以前 - Cisco Content Security Management Appliance 8.3 およびそれ以前 この問題は、Cisco が提供する修正済みのバージョンに AsyncOS を更新する ことで解決します。詳細については、Cisco が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98777725
Cisco AsyncOS 製品にクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU98777725/index.html
関連文書 (英語)
Cisco Security Notice
Cisco AsyncOS Cross-Site Scripting Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3289
【7】SEIL シリーズにサービス運用妨害 (DoS) の脆弱性
情報源
Japan Vulnerability Notes JVN#10724763
SEIL シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN10724763/index.html
概要
SEIL シリーズには、サービス運用妨害 (DoS) の脆弱性があります。結果とし て、遠隔の第三者が、細工した TCP パケットを送信することで、PPPAC 機能 を用いて接続したセッションを切断したり、接続の受付を停止させたりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - SEIL/x86 1.00 から 3.10 まで - SEIL/X1 1.00 から 4.50 まで - SEIL/X2 1.00 から 4.50 まで - SEIL/B1 1.00 から 4.50 まで - SEIL/Turbo 1.80 から 2.17 まで - SEIL/neu 2FE Plus 1.80 から 2.17 まで この問題は、株式会社インターネットイニシアティブが提供する修正済みのバ ージョンにファームウェアを更新することで解決します。詳細については、株 式会社インターネットイニシアティブが提供する情報を参照して下さい。
関連文書 (日本語)
株式会社インターネットイニシアティブ
PPPアクセスコンセントレータ(PPPAC)機能のサービス運用妨害(DoS)の脆弱性
http://www.seil.jp/support/security/a01443.html
■今週のひとくちメモ
○IT製品の調達におけるセキュリティ要件リスト
2014年5月19日、経済産業省は「IT製品の調達におけるセキュリティ要件リス ト」を公開しました。また、これにあわせて、情報処理推進機構 (IPA) は 「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」を公開 しました。 これは、デジタル複合機 (MFP) やファイアウォールなど 7つの製品分野を対 象として、製品に対する脅威とその対策をまとめたものです。 社内システムの調達において、要件を策定する際の参考として活用してみては いかがでしょうか。
参考文献 (日本語)
経済産業省
「IT製品の調達におけるセキュリティ要件リスト」を策定しました
http://www.meti.go.jp/press/2014/05/20140519003/20140519003.html独立行政法人情報処理推進機構 (IPA)
「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」の公開
https://www.ipa.go.jp/security/it-product/guidebook.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/