JPCERT-WR-2014-2801
2014-07-24
2014-07-13
2014-07-19
2014年7月 Oracle Critical Patch Update について
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。
詳細については、Oracle が提供する情報を参照して下さい。
Oracle
Oracle Critical Patch Update Advisory - July 2014
http://www.oracle.com/technetwork/jp/topics/ojkbcpujul2014-2244696-ja.html
独立行政法人情報処理推進機構 (IPA)
Oracle Java の脆弱性対策について(CVE-2014-4227等)
https://www.ipa.go.jp/security/ciadr/vul/20140716-jre.html
JPCERT/CC Alert 2014-07-16
2014年7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2014/at140030.html
Oracle
July 2014 Critical Patch Update Released
https://blogs.oracle.com/security/entry/july_2014_critical_patch_update
Cisco の Wireless Residential Gateway に脆弱性
Cisco の Wireless Residential Gateway には、脆弱性があります。結果とし
て、遠隔の第三者が、任意のコードを実行する可能性があります。
対象となる製品は以下の通りです。
- Cisco DPC3212 VoIP Cable Modem
- Cisco DPC3825 8x4 DOCSIS 3.0 Wireless Residential Gateway
- Cisco EPC3212 VoIP Cable Modem
- Cisco EPC3825 8x4 DOCSIS 3.0 Wireless Residential Gateway
- Cisco Model DPC3010 DOCSIS 3.0 8x4 Cable Modem
- Cisco Model DPC3925 8x4 DOCSIS 3.0 with Wireless Residential Gateway with EDVA
- Cisco Model DPQ3925 8x4 DOCSIS 3.0 Wireless Residential Gateway with EDVA
- Cisco Model EPC3010 DOCSIS 3.0 Cable Modem
- Cisco Model EPC3925 8x4 DOCSIS 3.0 with Wireless Residential Gateway with EDVA
この問題は、Cisco が提供する修正済みのバージョンに Wireless
Residential Gateway を更新することで解決します。詳細については、Cisco
が提供する情報を参照して下さい。
Cisco Security Advisory
Cisco Wireless Residential Gateway Remote Code Execution Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/ciscosa-20140716-cm
サイボウズ ガルーンに複数の脆弱性
サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第
三者が、任意のコマンドを実行するなどの可能性があります。
対象となるバージョンは以下の通りです。
- サイボウズ ガルーン 2.0.0 から 3.7 Service Pack 3 まで
この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ ガルー
ンを更新することで解決します。詳細については、サイボウズが提供する情報
を参照して下さい。
サイボウズ株式会社
任意のコマンドを実行される脆弱性【CY14-004-001】
http://cs.cybozu.co.jp/information/gr20140421news01.php
サイボウズ株式会社
APIに関するアクセス制限回避の脆弱性(1)【CyVDB-265】
http://cs.cybozu.co.jp/information/gr20140714up01.php
サイボウズ株式会社
[Internet Explorer 6の現象]地図検索に関するクロスサイトスクリプティングの脆弱性【CyVDB-341】
http://cs.cybozu.co.jp/information/gr20140714up02.php
サイボウズ株式会社
お知らせポートレットに関するクロスサイトスクリプティングの脆弱性【CyVDB-440】
http://cs.cybozu.co.jp/information/gr20140714up03.php
サイボウズ株式会社
ポートレットに関するアクセス制限回避の脆弱性【CyVDB-441】
http://cs.cybozu.co.jp/information/gr20140714up04.php
サイボウズ株式会社
メッセージに関するクロスサイトスクリプティングの脆弱性【CyVDB-443】
http://cs.cybozu.co.jp/information/gr20140714up05.php
Kaseya エージェントドライバーに NULL ポインタ参照の脆弱性
Kaseya エージェントのドライバーには、NULL ポインタ参照の脆弱性がありま
す。結果として、Virtual System Administrator が管理している PC のユー
ザが、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- Kaseya Virtual System Administrator バージョン 7.0
- Kaseya Virtual System Administrator バージョン 6.5
- Kaseya Virtual System Administrator バージョン 6.3 およびそれ以前
この問題は、Kaseya が提供する修正済みのバージョンに Virtual System
Administrator を更新することで解決します。詳細については、Kaseya が提
供する情報を参照して下さい。
Japan Vulnerability Notes JVNVU#90228827
Kaseya エージェントドライバーに NULL ポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU90228827/index.html
Kaseya, Inc.
Response to NULL Pointer Dereference Vulnerability (CVE-2014-2926)
https://helpdesk.kaseya.com/entries/84456013-Response-to-NULL-Pointer-Dereference-Vulnerability-CVE-2014-2926-
S2Struts に ClassLoader が操作可能な脆弱性
S2Struts には、ClassLoader が操作可能な脆弱性があります。結果として、
遠隔の第三者が、情報を取得したり、当該製品が動作しているサーバ上で任意
のコードを実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- S2Struts 1.2.12 およびそれ以前
- S2Struts 1.3.1 およびそれ以前
この問題は、Seasar ファウンデーションが提供する修正済みのバージョンに
S2Struts を更新することで解決します。詳細については、Seasar ファウンデ
ーションが提供する情報を参照して下さい。
Seasar ファウンデーション
SeasarWhatsNew/2014-07-12
https://www.seasar.org/wiki/index.php?SeasarWhatsNew%2F2014-07-12
FuelPHP に任意のコードが実行される脆弱性
FuelPHP には、Request_Curl クラスの処理に脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- FuelPHP バージョン 1.1 から 1.7.1 まで
この問題を解決するには、FuelPHP が提供する修正済みのバージョンに
FuelPHP を更新し、アプリケーションが Request_Curl クラスを使用している
場合は FuelPHP が提供する情報を参照して対応を行って下さい。
FuelPHP Security Advisories
SEC-CORE-004: auto-format of Curl responses may lead to code execution
http://fuelphp.com/security-advisories
フィッシング対策協議会の公開ドキュメント
2014年7月16日、フィッシング対策協議会は 2013年のフィッシング事例につい
てまとめた「フィッシングレポート2014」を公開しました。最近の傾向として、
同協議会への届出件数自体が増加していることに加え、オンラインゲームや金
融機関を対象としたフィッシングの届出が増加していることが報告されていま
す。
また、事業者向けおよび利用者向けの「フィッシング対策ガイドライン2014年
版」や、Anti-Phishing Working Group (APWG) が昨年公開したレポートを日
本語化した「フィッシングに関する国際調査報告書(2013年上半期の傾向とド
メイン名利用)」も公開されています。
最近のフィッシング状況を把握するために一読をおすすめします。
フィッシング対策協議会
「フィッシングレポート2014」公開のお知らせ
https://www.antiphishing.jp/news/info/press_phishing_report2014.html
フィッシング対策協議会
資料公開: フィッシング対策ガイドラインの改訂について
https://www.antiphishing.jp/report/guideline/antiphishing_guideline2014.html
フィッシング対策協議会
Global Phishing Survey:Trends and Domain Name Use in 1H2013 日本語
https://www.antiphishing.jp/report/wg/apwg_report_1h2013.html