JPCERT-WR-2014-2301 2014-06-18 2014-06-08 2014-06-14

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2014/06/10/Microsoft-Releases-June-2014-Security-Bulletin

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office - Microsoft Lync - Microsoft Lync サーバー この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。なお、この更新には、 JPCERT/CC REPORT 2014-05-28 号【1】 で紹介した問題に対する修正も含まれています。詳細については、Microsoft が提供する情報を参照して下さい。

マイクロソフト株式会社 https://technet.microsoft.com/ja-jp/library/security/ms14-jun 独立行政法人情報処理推進機構 (IPA) https://www.ipa.go.jp/security/ciadr/vul/20140611-ms.html 警察庁 @Police https://www.npa.go.jp/cyberpolice/topics/?seq=13952 JPCERT/CC Alert 2014-06-11 https://www.jpcert.or.jp/at/2014/at140025.html Microsoft Security TechCenter https://technet.microsoft.com/en-us/security/bulletin/ms14-jun JPCERT/CC WEEKLY REPORT 2014-05-28 号 https://www.jpcert.or.jp/wr/2014/wr142001.html#1

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2014/06/10/Adobe-Releases-Security-Updates-Flash-Player-and-Air

Adobe の Flash Player および Air には、複数の脆弱性があります。結果と して、遠隔の第三者が、任意のコードを実行したり、アクセス制限を回避した りする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 13.0.0.214 およびそれ以前 (Windows、Macintosh 版) - Adobe Flash Player 11.2.202.359 およびそれ以前 (Linux 版) - Adobe AIR 13.0.0.111 およびそれ以前 (Windows、Macintosh および Android 版) - Adobe AIR SDK and Compiler 13.0.0.111 およびそれ以前 - Adobe AIR SDK 13.0.0.111 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Flash Player および Air を更新することで解決します。詳細については、Adobe が提供する情報を 参照して下さい。

Adobeセキュリティ情報 https://helpx.adobe.com/jp/security/products/flash-player/apsb14-16.html 独立行政法人情報処理推進機構 (IPA) https://www.ipa.go.jp/security/ciadr/vul/20140611-adobeflashplayer.html JPCERT/CC Alert 2014-06-11 https://www.jpcert.or.jp/at/2014/at140026.html Adobe Security Bulletin https://helpx.adobe.com/security/products/flash-player/apsb14-16.html

Japan Vulnerability Notes JVN#50129191 https://jvn.jp/jp/JVN50129191/index.html

複数のジャストシステム製品に同梱されたオンラインアップデートプログラム には、アップデートモジュールの電子署名が不正であった場合でも、アップデ ートプログラムを実行してしまう脆弱性があります。結果として、不正なアッ プデートモジュールを実行することで、遠隔の第三者が任意のコードを実行す る可能性があります。 影響を受ける製品は広範囲に及び、以下のプログラムが添付されている全製品 が影響を受けます。詳細については、ジャストシステムが提供する情報を参照 して下さい。 - JUSTオンラインアップデート - JUSTオンラインアップデート for J-License および管理ツール この問題は、ジャストシステムが提供する修正済みのバージョンに「JUSTオン ラインアップデート」および「JUSTオンラインアップデート for J-License、 およびその管理ツール」を更新することで解決します。詳細については、ジャ ストシステムが提供する情報を参照して下さい。

ジャストシステム株式会社 https://www.justsystems.com/jp/info/js14002.html 独立行政法人情報処理推進機構 (IPA) https://www.ipa.go.jp/security/ciadr/vul/20140611-jvn.html

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2014/06/13/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-Thunderbird

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、クリックジャッキング攻撃を実行したりする可能 性があります。 対象となるバージョンは以下の通りです。 - Firefox 30.0 より前のバージョン - Firefox ESR 24.6 より前のバージョン - Thunderbird 24.6 より前のバージョン - Seamonkey 2.26.1 より前のバージョン - Netscape Portable Runtime 4.10.6 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。

Mozilla Japan http://www.mozilla.jp/firefox/30.0/releasenotes/ Mozilla http://www.mozilla.org/security/announce/

ISC Knowledge Base https://kb.isc.org/article/AA-01166/

ISC BIND 9 には、EDNS0 のオプションの処理に問題があります。結果として、 遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - 9.10.0 および 9.10.0-P1 この問題は、ISC が提供する修正済みのバージョンに ISC BIND 9 を更新する ことで解決します。詳細については、ISC が提供する情報を参照して下さい。

JPRS http://jprs.jp/tech/security/2014-06-12-bind9-vuln-edns-option.html JPNIC https://www.nic.ad.jp/ja/topics/2014/20140612-02.html JPCERT/CC Alert 2014-06-12 https://www.jpcert.or.jp/at/2014/at140027.html

CERT/CC Vulnerability Note VU#613308 https://www.kb.cert.org/vuls/id/613308

Cisco の AsyncOS には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Email Security Appliance 8.0 およびそれ以前 - Cisco Web Security Appliance 8.0 およびそれ以前 - Cisco Content Security Management Appliance 8.3 およびそれ以前 この問題は、Cisco が提供する修正済みのバージョンに AsyncOS を更新する ことで解決します。詳細については、Cisco が提供する情報を参照して下さい。

Japan Vulnerability Notes JVNVU#98777725 https://jvn.jp/vu/JVNVU98777725/index.html Cisco Security Notice http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3289

Japan Vulnerability Notes JVN#10724763 https://jvn.jp/jp/JVN10724763/index.html

SEIL シリーズには、サービス運用妨害 (DoS) の脆弱性があります。結果とし て、遠隔の第三者が、細工した TCP パケットを送信することで、PPPAC 機能 を用いて接続したセッションを切断したり、接続の受付を停止させたりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - SEIL/x86 1.00 から 3.10 まで - SEIL/X1 1.00 から 4.50 まで - SEIL/X2 1.00 から 4.50 まで - SEIL/B1 1.00 から 4.50 まで - SEIL/Turbo 1.80 から 2.17 まで - SEIL/neu 2FE Plus 1.80 から 2.17 まで この問題は、株式会社インターネットイニシアティブが提供する修正済みのバ ージョンにファームウェアを更新することで解決します。詳細については、株 式会社インターネットイニシアティブが提供する情報を参照して下さい。

株式会社インターネットイニシアティブ http://www.seil.jp/support/security/a01443.html

2014年5月19日、経済産業省は「IT製品の調達におけるセキュリティ要件リス ト」を公開しました。また、これにあわせて、情報処理推進機構 (IPA) は 「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」を公開 しました。 これは、デジタル複合機 (MFP) やファイアウォールなど 7つの製品分野を対 象として、製品に対する脅威とその対策をまとめたものです。 社内システムの調達において、要件を策定する際の参考として活用してみては いかがでしょうか。 経済産業省 http://www.meti.go.jp/press/2014/05/20140519003/20140519003.html 独立行政法人情報処理推進機構 (IPA) https://www.ipa.go.jp/security/it-product/guidebook.html