-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-2601 JPCERT/CC 2014-07-09 <<< JPCERT/CC WEEKLY REPORT 2014-07-09 >>> ―――――――――――――――――――――――――――――――――――――― ■06/29(日)〜07/05(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Apple 製品に脆弱性 【2】Cisco の Unified Communications Domain Manager に複数の脆弱性 【3】Autodesk の VRED に OS コマンドインジェクションの脆弱性 【4】SX-2000WG にサービス運用妨害 (DoS) の脆弱性 【今週のひとくちメモ】DNS Summer Days 2014 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr142601.html https://www.jpcert.or.jp/wr/2014/wr142601.xml ============================================================================ 【1】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for OS X, Safari, iOS devices, and Apple TV https://www.us-cert.gov/ncas/current-activity/2014/07/01/Apple-Releases-Security-Updates-OS-X-Safari-iOS-devices-and-Apple 概要 複数の Apple 製品には脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性 があります。 対象となるバージョンは以下の通りです。 - OS X Mavericks 10.9.4 より前のバージョン - Safari 6.1.5 および Safari 7.0.5 より前のバージョン - iOS 7.1.2 より前のバージョン - Apple TV 6.2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する ことで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99696049 複数の Apple 製品の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU99696049/index.html 関連文書 (英語) Apple About the security content of Safari 6.1.5 and Safari 7.0.5 http://support.apple.com/kb/HT6293 Apple About the security content of OS X Mavericks v10.9.4 and Security Update 2014-003 http://support.apple.com/kb/HT6296 Apple About the security content of iOS 7.1.2 http://support.apple.com/kb/HT6297 Apple About the security content of Apple TV 6.2 http://support.apple.com/kb/HT6298 【2】Cisco の Unified Communications Domain Manager に複数の脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Advisory for Unified Communications Domain Manager https://www.us-cert.gov/ncas/current-activity/2014/07/02/Cisco-Releases-Security-Advisory-Unified-Communications-Domain 概要 Cisco の Unified Communications Domain Manager には、複数の脆弱性があ ります。結果として、遠隔の第三者が、任意のコードを実行したり、権限を昇 格したりする可能性があります。 対象となる製品は以下の通りです。 - Cisco Unified CDM Application Software - Cisco Unified CDM Platform Software この問題は、Cisco が提供する修正済みのバージョンに Unified Communications Domain Manager を更新することで解決します。詳細について は、Cisco が提供する情報を参照して下さい。 関連文書 (英語) Cisco Security Advisory Multiple Vulnerabilities in Cisco Unified Communications Domain Manager http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140702-cucdm 【3】Autodesk の VRED に OS コマンドインジェクションの脆弱性 情報源 CERT/CC Vulnerability Note VU#402020 Autodesk VRED contains an unauthenticated remote code execution vulnerability https://www.kb.cert.org/vuls/id/402020 概要 Autodesk の VRED には、OS コマンドインジェクションの脆弱性があります。 結果として、遠隔の第三者が、当該製品を実行している権限で、OS コマンド を実行する可能性があります。 対象となるバージョンは以下の通りです。 - Autodesk VRED 2014 SR1 SP8 より前のバージョン この問題は、Autodesk が提供する修正済みのバージョンに VRED を更新する ことで解決します。詳細については、Autodesk が提供する情報を参照して下 さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91860797 Autodesk VRED に OS コマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU91860797/index.html 【4】SX-2000WG にサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVN#85571806 SX-2000WG におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN85571806/index.html Japan Vulnerability Notes JVN#35998716 SX-2000WG におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN35998716/index.html 概要 SX-2000WG には脆弱性があります。結果として、遠隔の第三者が、サービス運 用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - SX-2000WG ファームウェア Ver 1.5.4 より前のバージョン この問題は、サイレックス・テクノロジー株式会社が提供する修正済みのバー ジョンに SX-2000WG のファームウェアを更新することで解決します。詳細に ついては、サイレックス・テクノロジー株式会社が提供する情報を参照して下 さい。 関連文書 (日本語) サイレックス・テクノロジー株式会社 ダウンロード http://www.silex.jp/support/download/firm_sx2000wg.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○DNS Summer Days 2014 2014年6月26、27日に、日本DNSオペレーターズグループ (DNSOPS.JP) 主催 の DNS Summer Days 2014 が開催されました。 1日目は、DNS の基本的な知識をおさらいするチュートリアルが開催され、2日 目は DNS を取り巻く現状や昨今の様々なインシデントについて議論するワーク ショップが開催されました。 DNSOPS.JP の Web サイトで、これら各セッションの資料が公開されています。 DNS の仕組みや運用の実状をよりよく理解するために、ぜひ参考にしてみてく ださい。 参考文献 (日本語) 日本DNSオペレーターズグループ (DNSOPS.JP) DNS Summer Days 2014 http://dnsops.jp/event20140626.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTvJY1AAoJEDF9l6Rp7OBIsLUH/REf9Z6YRVRh0ProSUiUiaIb 1YLMTyTcr+bL47d9MnybZHWY03S/mZ2GCua7sI6rGyed087XSW5FTomnweeo2fqJ DckNTYpVDKszEJ5t/8zJ0gX8DVFJbndD/IjGlVSZ4M99nJhFlgS8ErHTen12te33 mqutAFJVuU0oZrczEeGH5cuu7fPXTzC5EJrhhoY1iOI0HrtDB21Kd9la37cO9PW4 wCSyY748og1DTixezbxfphuXV2hEsx/gkKAGnc0whsvIIhyMjCetB8zUku/TLGSx SQIK5gRUPOxwIzfR/O0jObFFz7g8OodxgQjnjj+4NgbLmdUo+n3yE9tY1uCmmB8= =2myi -----END PGP SIGNATURE-----