<<< JPCERT/CC WEEKLY REPORT 2014-08-20 >>>
■08/10(日)〜08/16(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】Apple の Safari に複数の脆弱性
【4】Dominion KX2-101 にサービス運用妨害 (DoS) の脆弱性
【5】注意喚起「ウェブサイトの改ざん回避のために早急な対策を」
【今週のひとくちメモ】PHP 5.3 サポート終了
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr143201.txt
https://www.jpcert.or.jp/wr/2014/wr143201.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases August 2014 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2014/08/12/Microsoft-Releases-August-2014-Security-Bulletin
概要
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft SQL Server - Microsoft サーバー ソフトウェア - Microsoft .NET Framework - Microsoft Office - Internet Explorer この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。ただし、この更新プログラムの適用によって、不具合が発生す る場合があります。詳細については、Microsoft が提供する情報を参照して下 さい。
関連文書 (日本語)
マイクロソフト株式会社
2014 年 8 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-JP/library/security/ms14-augマイクロソフト株式会社 日本のセキュリティチーム
【リリース後に確認された問題】2014 年 8 月 13 日公開の更新プログラムの適用により問題が発生する場合がある
http://blogs.technet.com/b/jpsecurity/archive/2014/08/16/2982791-knownissue3.aspxJPCERT/CC Alert 2014-08-13
2014年8月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140031.html
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Flash Player, Adobe Reader and Acrobat
https://www.us-cert.gov/ncas/current-activity/2014/08/12/Adobe-Releases-Security-Updates-Flash-Player-Adobe-Reader-and
概要
複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 14.0.0.145 およびそれ以前 (Windows 版および Macintosh 版) - Adobe Flash Player 11.2.202.394 およびそれ以前 (Linux 版) - Adobe AIR 14.0.0.110 およびそれ以前 (Windows 版および Macintosh 版) - Adobe AIR 14.0.0.137 SDK およびそれ以前 - Adobe AIR 14.0.0.137 SDK & Compiler およびそれ以前 - Adobe AIR 14.0.0.137 およびそれ以前 (Android 版) - Adobe Reader XI (11.0.07) およびそれ以前 (Windows 版) - Adobe Reader X (10.1.10) およびそれ以前 (Windows 版) - Adobe Acrobat XI (11.0.07) およびそれ以前 (Windows 版) - Adobe Acrobat X (10.1.10) およびそれ以前 (Windows 版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。
関連文書 (日本語)
Adobeセキュリティ情報
Adobe Flash Player用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb14-18.htmlAdobeセキュリティ情報
Adobe ReaderおよびAcrobat用セキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/reader/apsb14-19.htmlJPCERT/CC Alert 2014-08-13
Adobe Flash Player の脆弱性 (APSB14-18) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140032.htmlJPCERT/CC Alert 2014-08-13
Adobe Reader および Acrobat の脆弱性 (APSB14-19) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140033.html
【3】Apple の Safari に複数の脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Update for Safari
https://www.us-cert.gov/ncas/current-activity/2014/08/14/Apple-Releases-Security-Update-Safari
概要
Apple の Safari には、複数の脆弱性があります。結果として、遠隔の第三者 が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりす る可能性があります。 対象となるバージョンは以下の通りです。 - Safari 7.0.6 より前のバージョン - Safari 6.1.6 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Safari を更新するこ とで解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (日本語)
Apple
Safari 6.1.6 および Safari 7.0.6 のセキュリティコンテンツについて
http://support.apple.com/kb/HT6367?viewlocale=ja_JPJapan Vulnerability Notes JVNVU#93577368
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93577368/index.html
【4】Dominion KX2-101 にサービス運用妨害 (DoS) の脆弱性
情報源
Japan Vulnerability Notes JVN#07957080
Dominion KX2-101 におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN07957080/index.html
概要
Dominion KX2-101 には、サービス運用妨害 (DoS) の脆弱性があります。結果 として、遠隔の第三者が、細工したパケットを送信することで、サービス運用 妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - Dominion KX2-101 開発者によると、Dominion KX2-101 は、販売を終了しており、後継製品であ る Dominion KX2-101 V2 で対策されているとのことです。詳細については、 開発者が提供する情報を参照して下さい。
関連文書 (日本語)
ラリタン・ジャパン株式会社
Dominion KX II-101 V2
http://www.raritan.co.jp/products/kvm-over-ip/KX-II-101/
【5】注意喚起「ウェブサイトの改ざん回避のために早急な対策を」
情報源
独立行政法人情報処理推進機構 (IPA)
プレス発表 注意喚起「ウェブサイトの改ざん回避のために早急な対策を」
https://www.ipa.go.jp/about/press/20140813.htmlJPCERT/CC からのお知らせ
注意喚起「ウェブサイトの改ざん回避のために早急な対策を」
https://www.jpcert.or.jp/pr/2014/pr140003.html
概要
独立行政法人情報処理推進機構 (IPA) および JPCERT/CC は、Web サイト改 ざんのインシデント報告が後を絶たないことを受け、Web サイト運営者および 管理者に対し、改めて点検と備えを呼びかけています。 昨年は6月時点で Web サイト改ざんの報告件数が過去最多に達し、その後 8月に一旦の落ち着きを見せたものの、9月には再度増加するといった傾向が見 られました。今年も9月を控え、同じ時期の改ざん増加を懸念しています。Web サイト運営者および管理者は自組織の Web サイトの点検および対策、緊急時 の体制整備等を行ってください。
関連文書 (日本語)
JPCERT/CC
インシデントの報告
https://www.jpcert.or.jp/form/
■今週のひとくちメモ
○PHP 5.3 サポート終了
PHP 5.3 系は、2013年7月以降、セキュリティ対応のみを行う体制となってい ましたが、2014年8月14日の 5.3.29 のリリースに合せてサポート終了がアナ ウンスされました。 今後、5.3 系に対するセキュリティ上の脅威が高まることが懸念されます。自 社サイトで PHP をお使いの場合、現在使っている PHP のバージョンの確認と、 サポートが行われているバージョンへの移行をお勧めします。
参考文献 (日本語)
JPCERT/CC
PHP のアップデートを確認しましょう
https://www.jpcert.or.jp/tips/2014/wr142501.html
参考文献 (英語)
The PHP Group
Last 5.3 release ever available: PHP 5.3.29 - 5.3 now EOL
http://php.net/archive/2014.php#id2014-08-14-1
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/