-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-2301 JPCERT/CC 2014-06-18 <<< JPCERT/CC WEEKLY REPORT 2014-06-18 >>> ―――――――――――――――――――――――――――――――――――――― ■06/08(日)〜06/14(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】ジャストシステムのオンラインアップデートプログラムに任意のコードが実行される脆弱性 【4】Mozilla 製品群に複数の脆弱性 【5】ISC BIND 9.10.0 にサービス運用妨害 (DoS) の脆弱性 【6】Cisco の AsyncOS にクロスサイトスクリプティングの脆弱性 【7】SEIL シリーズにサービス運用妨害 (DoS) の脆弱性 【今週のひとくちメモ】IT製品の調達におけるセキュリティ要件リスト ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr142301.html https://www.jpcert.or.jp/wr/2014/wr142301.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases June 2014 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2014/06/10/Microsoft-Releases-June-2014-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office - Microsoft Lync - Microsoft Lync サーバー この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。なお、この更新には、 JPCERT/CC REPORT 2014-05-28 号【1】 で紹介した問題に対する修正も含まれています。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト株式会社 2014 年 6 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms14-jun 独立行政法人情報処理推進機構 (IPA) Microsoft 製品の脆弱性対策について(2014年6月) https://www.ipa.go.jp/security/ciadr/vul/20140611-ms.html 警察庁 @Police マイクロソフト社のセキュリティ修正プログラムについて(MS14-030,031,032,033,034,035,036) https://www.npa.go.jp/cyberpolice/topics/?seq=13952 JPCERT/CC Alert 2014-06-11 2014年6月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140025.html JPCERT/CC WEEKLY REPORT 2014-05-28 号 Microsoft Internet Explorer 8 に解放済みメモリ使用の脆弱性 https://www.jpcert.or.jp/wr/2014/wr142001.html#1 関連文書 (英語) Microsoft Security TechCenter Microsoft Security Bulletin Summary for June 2014 https://technet.microsoft.com/en-us/security/bulletin/ms14-jun 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player and Air https://www.us-cert.gov/ncas/current-activity/2014/06/10/Adobe-Releases-Security-Updates-Flash-Player-and-Air 概要 Adobe の Flash Player および Air には、複数の脆弱性があります。結果と して、遠隔の第三者が、任意のコードを実行したり、アクセス制限を回避した りする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 13.0.0.214 およびそれ以前 (Windows、Macintosh 版) - Adobe Flash Player 11.2.202.359 およびそれ以前 (Linux 版) - Adobe AIR 13.0.0.111 およびそれ以前 (Windows、Macintosh および Android 版) - Adobe AIR SDK and Compiler 13.0.0.111 およびそれ以前 - Adobe AIR SDK 13.0.0.111 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Flash Player および Air を更新することで解決します。詳細については、Adobe が提供する情報を 参照して下さい。 関連文書 (日本語) Adobeセキュリティ情報 Adobe Flash Player用のセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb14-16.html 独立行政法人情報処理推進機構 (IPA) Adobe Flash Player の脆弱性対策について(APSB14-16)(CVE-2014-0531等) https://www.ipa.go.jp/security/ciadr/vul/20140611-adobeflashplayer.html JPCERT/CC Alert 2014-06-11 Adobe Flash Player の脆弱性 (APSB14-16) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140026.html 関連文書 (英語) Adobe Security Bulletin Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsb14-16.html 【3】ジャストシステムのオンラインアップデートプログラムに任意のコードが実行される脆弱性 情報源 Japan Vulnerability Notes JVN#50129191 複数のジャストシステム製品同梱のオンラインアップデートプログラムに任意のコード実行可能な脆弱性 https://jvn.jp/jp/JVN50129191/index.html 概要 複数のジャストシステム製品に同梱されたオンラインアップデートプログラム には、アップデートモジュールの電子署名が不正であった場合でも、アップデ ートプログラムを実行してしまう脆弱性があります。結果として、不正なアッ プデートモジュールを実行することで、遠隔の第三者が任意のコードを実行す る可能性があります。 影響を受ける製品は広範囲に及び、以下のプログラムが添付されている全製品 が影響を受けます。詳細については、ジャストシステムが提供する情報を参照 して下さい。 - JUSTオンラインアップデート - JUSTオンラインアップデート for J-License および管理ツール この問題は、ジャストシステムが提供する修正済みのバージョンに「JUSTオン ラインアップデート」および「JUSTオンラインアップデート for J-License、 およびその管理ツール」を更新することで解決します。詳細については、ジャ ストシステムが提供する情報を参照して下さい。 関連文書 (日本語) ジャストシステム株式会社 [JS14002] ジャストシステム商品に添付のオンラインアップデート機能の脆弱性対策 https://www.justsystems.com/jp/info/js14002.html 独立行政法人情報処理推進機構 (IPA) 複数のジャストシステム製品同梱の「オンラインアップデートプログラム」に任意のコード実行可能な脆弱性について(JVN#50129191) https://www.ipa.go.jp/security/ciadr/vul/20140611-jvn.html 【4】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox, Firefox ESR, Thunderbird, and Netscape Portable Runtime https://www.us-cert.gov/ncas/current-activity/2014/06/13/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-Thunderbird 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、クリックジャッキング攻撃を実行したりする可能 性があります。 対象となるバージョンは以下の通りです。 - Firefox 30.0 より前のバージョン - Firefox ESR 24.6 より前のバージョン - Thunderbird 24.6 より前のバージョン - Seamonkey 2.26.1 より前のバージョン - Netscape Portable Runtime 4.10.6 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。 関連文書 (日本語) Mozilla Japan Firefox リリースノート バージョン 30.0 - 2014/06/10 リリース http://www.mozilla.jp/firefox/30.0/releasenotes/ 関連文書 (英語) Mozilla Mozilla Foundation Security Advisories (June 10, 2014) http://www.mozilla.org/security/announce/ 【5】ISC BIND 9.10.0 にサービス運用妨害 (DoS) の脆弱性 情報源 ISC Knowledge Base CVE-2014-3859: BIND named can crash due to a defect in EDNS printing processing https://kb.isc.org/article/AA-01166/ 概要 ISC BIND 9 には、EDNS0 のオプションの処理に問題があります。結果として、 遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - 9.10.0 および 9.10.0-P1 この問題は、ISC が提供する修正済みのバージョンに ISC BIND 9 を更新する ことで解決します。詳細については、ISC が提供する情報を参照して下さい。 関連文書 (日本語) JPRS (緊急)BIND 9.10.xの脆弱性(DNSサービスの停止)について(2014年6月12日公開) http://jprs.jp/tech/security/2014-06-12-bind9-vuln-edns-option.html JPNIC ISC BIND 9.10に関する脆弱性について(2014年6月) https://www.nic.ad.jp/ja/topics/2014/20140612-02.html JPCERT/CC Alert 2014-06-12 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2014-3859) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140027.html 【6】Cisco の AsyncOS にクロスサイトスクリプティングの脆弱性 情報源 CERT/CC Vulnerability Note VU#613308 Cisco AsyncOS contains a reflected cross-site scripting (XSS) vulnerability https://www.kb.cert.org/vuls/id/613308 概要 Cisco の AsyncOS には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Email Security Appliance 8.0 およびそれ以前 - Cisco Web Security Appliance 8.0 およびそれ以前 - Cisco Content Security Management Appliance 8.3 およびそれ以前 この問題は、Cisco が提供する修正済みのバージョンに AsyncOS を更新する ことで解決します。詳細については、Cisco が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98777725 Cisco AsyncOS 製品にクロスサイトスクリプティングの脆弱性 https://jvn.jp/vu/JVNVU98777725/index.html 関連文書 (英語) Cisco Security Notice Cisco AsyncOS Cross-Site Scripting Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3289 【7】SEIL シリーズにサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVN#10724763 SEIL シリーズにおけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN10724763/index.html 概要 SEIL シリーズには、サービス運用妨害 (DoS) の脆弱性があります。結果とし て、遠隔の第三者が、細工した TCP パケットを送信することで、PPPAC 機能 を用いて接続したセッションを切断したり、接続の受付を停止させたりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - SEIL/x86 1.00 から 3.10 まで - SEIL/X1 1.00 から 4.50 まで - SEIL/X2 1.00 から 4.50 まで - SEIL/B1 1.00 から 4.50 まで - SEIL/Turbo 1.80 から 2.17 まで - SEIL/neu 2FE Plus 1.80 から 2.17 まで この問題は、株式会社インターネットイニシアティブが提供する修正済みのバ ージョンにファームウェアを更新することで解決します。詳細については、株 式会社インターネットイニシアティブが提供する情報を参照して下さい。 関連文書 (日本語) 株式会社インターネットイニシアティブ PPPアクセスコンセントレータ(PPPAC)機能のサービス運用妨害(DoS)の脆弱性 http://www.seil.jp/support/security/a01443.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IT製品の調達におけるセキュリティ要件リスト 2014年5月19日、経済産業省は「IT製品の調達におけるセキュリティ要件リス ト」を公開しました。また、これにあわせて、情報処理推進機構 (IPA) は 「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」を公開 しました。 これは、デジタル複合機 (MFP) やファイアウォールなど 7つの製品分野を対 象として、製品に対する脅威とその対策をまとめたものです。 社内システムの調達において、要件を策定する際の参考として活用してみては いかがでしょうか。 参考文献 (日本語) 経済産業省 「IT製品の調達におけるセキュリティ要件リスト」を策定しました http://www.meti.go.jp/press/2014/05/20140519003/20140519003.html 独立行政法人情報処理推進機構 (IPA) 「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」の公開 https://www.ipa.go.jp/security/it-product/guidebook.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJToPC1AAoJEDF9l6Rp7OBIMJcIAIEI9G4sdVQ4gKvhcSfACHZt VXknQtXr6y628M67lsg4P3RKi8GpbIDauI1GGUWVZmMOJ4TgN2TiZd67oz4KNzJa yuSlTZVdTnAL4OLzJVhJH//iY3+9p4Mx9e08DsuVbl7WlluSwDMYGitL8E4fbe2R dNCJsyNa/g1+q93Pz93qlsP6/jdwHZ7Fg1rl5slyyYvL+N6NuX+eF2Ff69LrXP4L 2UxgSycHFCmhIeAJ4gxlVDq6n6WUxHeYnNENEu2ygF3QdkUgmelixWQKnJLXsd+J wxRUBqGDZ/S4RIxhyBNZYeaJxqLleTJwiuQd9N/NTa8YLLrcuARtcXGOanemJ0U= =WHlN -----END PGP SIGNATURE-----