-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-3001 JPCERT/CC 2014-08-06 <<< JPCERT/CC WEEKLY REPORT 2014-08-06 >>> ―――――――――――――――――――――――――――――――――――――― ■07/27(日)〜08/02(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Samba に任意のコードが実行可能な脆弱性 【2】ServerView Operations Manager にクロスサイトスクリプティングの脆弱性 【3】Silver Peak VX にクロスサイトリクエストフォージェリおよびクロスサイトスクリプティングの脆弱性 【4】アイ・オー・データ機器の複数の IP カメラに認証が回避される脆弱性 【5】Android 版 Outlook.com に SSL サーバ証明書の検証不備の脆弱性 【6】acmailer にクロスサイトリクエストフォージェリの脆弱性 【今週のひとくちメモ】EMET 5.0 正式リリース ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr143001.html https://www.jpcert.or.jp/wr/2014/wr143001.xml ============================================================================ 【1】Samba に任意のコードが実行可能な脆弱性 情報源 Samba - Security Announcement Archive CVE-2014-3560: Remote code execution in nmbd http://www.samba.org/samba/security/CVE-2014-3560 概要 Samba には、脆弱性があります。結果として、遠隔の第三者が、管理者権限で 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Samba 4.0.21 より前のバージョン - Samba 4.1.11 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Samba を更新することで解決します。詳細については、各ベンダや配布元 が提供する情報を参照してください。 関連文書 (英語) SANS ISC All Samba 4.x.x are vulnerable to a remote code execution vulnerability in the nmbd NetBIOS name services daemon https://isc.sans.edu/forums/diary/All+Samba+4xx+are+vulnerable+to+a+remote+code+execution+vulnerability+in+the+nmbd+NetBIOS+name+services+daemon/18471 【2】ServerView Operations Manager にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#22534185 ServerView Operations Manager におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN22534185/index.html 概要 ServerView Operations Manager には、クロスサイトスクリプティングの脆弱 性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のス クリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - ServerView Operations Manager V5.00.09 から V6.30.05 まで この問題は、富士通株式会社が提供する修正済みのバージョンに ServerView Operations Manager を更新することで解決します。詳細については、富士通 株式会社が提供する情報を参照して下さい。 関連文書 (日本語) 富士通株式会社 FUJITSU Server PRIMERGY [緊急]ServerView Operations Managerの脆弱性に関するお知らせ http://jp.fujitsu.com/platform/server/primergy/note/page20.html 富士通株式会社 FUJITSU Server PRIMEQUEST(プライムクエスト) 留意事項 http://jp.fujitsu.com/platform/server/primequest/products/2000/catalog/manual/support/note_140729_svom.html 【3】Silver Peak VX にクロスサイトリクエストフォージェリおよびクロスサイトスクリプティングの脆弱性 情報源 CERT/CC Vulnerability Note VU#867980 Silver Peak VX is vulnerable to cross-site request forgery and cross-site scripting https://www.kb.cert.org/vuls/id/867980 概要 Silver Peak VX には、クロスサイトリクエストフォージェリおよびクロスサ イトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、任 意の操作を実行したり、ユーザのブラウザ上で任意のスクリプトを実行したり する可能性があります。 対象となるバージョンは以下の通りです。 - Silver Peak VX version 6.2.2.0_47968 Silver Peak 社によると、バージョン 6.2.4 においてクロスサイトスクリプ ティングの対策が行われています。また、クロスサイトリクエストフォージェ リの対策は次にリリースされるバージョンで修正予定とのことです。詳細につ いては、Silver Peak が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97348300 Silver Peak VX に複数の脆弱性 https://jvn.jp/vu/JVNVU97348300/index.html 【4】アイ・オー・データ機器の複数の IP カメラに認証が回避される脆弱性 情報源 Japan Vulnerability Notes JVN#94592501 アイ・オー・データ機器製の複数の IP カメラにおける認証回避の脆弱性 https://jvn.jp/jp/JVN94592501/index.html 概要 アイ・オー・データ機器の複数の IP カメラには、認証が回避される脆弱性が あります。結果として、遠隔の第三者が、認証情報を含む設定内容を取得した り、取得した認証情報を使用して当該製品で任意の操作を実行する可能性があ ります。 対象となる製品およびバージョンは以下の通りです。 - TS-WLCAM ファームウェアバージョン 1.06 およびそれ以前 - TS-WLCAM/V ファームウェアバージョン 1.06 およびそれ以前 - TS-WPTCAM ファームウェアバージョン 1.08 およびそれ以前 - TS-PTCAM ファームウェアバージョン 1.08 およびそれ以前 - TS-PTCAM/POE ファームウェアバージョン 1.08 およびそれ以前 - TS-WLC2 ファームウェアバージョン 1.02 およびそれ以前 この問題は、アイ・オー・データ機器が提供する修正済みのバージョンに、対 応するファームウェアを更新することで解決します。詳細については、アイ・ オー・データ機器が提供する情報を参照して下さい。 関連文書 (日本語) 株式会社アイ・オー・データ機器 ネットワークカメラ「Qwatch(クウォッチ)」シリーズご愛用のお客様へお知らせ http://www.iodata.jp/support/information/2014/qwatch/ 【5】Android 版 Outlook.com に SSL サーバ証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#72950786 Android 版 Outlook.com における SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN72950786/index.html 概要 Android 版 Outlook.com には、SSL サーバ証明書の検証不備の脆弱性があり ます。結果として、遠隔の第三者が、中間者攻撃を行なうことによって、暗号 通信を盗聴する可能性があります。 対象となるバージョンは以下の通りです。 - Android 版 Outlook.com 7.8.2.12.49.7090 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに Android 版 Outlook.com を更新することで解決します。詳細については、開発者が提供す る情報を参照して下さい。 【6】acmailer にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#42511610 acmailer におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN42511610/index.html 概要 acmailer には、クロスサイトリクエストフォージェリの脆弱性があります。 結果として、遠隔の第三者が、当該製品に登録されている情報を改ざんしたり、 当該製品の管理者権限を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - acmailer 3.8.17 正式版より前のバージョン - acmailer 3.9.10β 開発版より前のバージョン この問題は、株式会社シーズが提供する修正済みのバージョンに acmailer を 更新することで解決します。詳細については、株式会社シーズが提供する情報 を参照して下さい。 関連文書 (日本語) 株式会社シーズ acmailer3.8.17正式版とacmailer3.9.10β開発版をリリース http://www.acmailer.jp/info/de.cgi?id=52 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○EMET 5.0 正式リリース 2014年7月31日、Microsoft は、Windows 上で動作するアプリケーションの脆 弱性の影響を緩和するためのツール (Enhanced Mitigation Experience Toolkit: 以下 EMET) の新バージョン EMET 5.0 を正式リリースしました。 EMET 5.0 では、プレビュー版にも含まれていた新しい緩和策 Attack Surface Reduction (ASR)、Export Address Table Filtering Plus (EAF+) が含まれて いるとのことです。 EMET は未修正の脆弱性の影響を緩和できることもありますので、これを機に 導入を検討されてみてはいかがでしょうか。 参考文献 (日本語) マイクロソフト 日本のセキュリティチーム EMET 5.0 公開しました http://blogs.technet.com/b/jpsecurity/archive/2014/08/01/emet-5-released.aspx 参考文献 (英語) Microsoft Enhanced Mitigation Experience Toolkit 5.0 http://www.microsoft.com/en-us/download/details.aspx?id=43714 Microsoft Security Research and Defense Blog Announcing EMET 5.0 http://blogs.technet.com/b/srd/archive/2014/07/31/announcing-emet-v5.aspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJT4YJ8AAoJEDF9l6Rp7OBIG5AH/0wKa0QVDydlmaWvL+iAmq7j wxeUCB9L1/Z7bNjSM2XipCxXB2vb0CHj4xsGd98u1oqbrLdp6nF2qlSOMtPEOF8u 4Ptz/lwgnv66AyuEVfMxlVqKB3mfQ8T5D0TFUQ3+JDWaKQVqoQTeqzYrf3EVdrDi GLNhNnDITN5EVetlaKXZ0ZYolfb8ZUrCO5fXUf+4LhUF/OUvPFjAeR9elWwO7lI1 TIiXEChpB35paElh/Xe0mllISlypW8ccRBGDs2d2Kh+2dW0JddXBrdbA0m1rwlMc 457HH34+CMfuZytxtxgBQQhOc3cXYsl9rSa8ggpRHsqFKYERIgpLYqiXxJmbDYs= =PQer -----END PGP SIGNATURE-----