-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-3601 JPCERT/CC 2014-09-18 <<< JPCERT/CC WEEKLY REPORT 2014-09-18 >>> ―――――――――――――――――――――――――――――――――――――― ■09/07(日)〜09/13(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】Adobe Flash Player および Adobe Air に複数の脆弱性 【3】Cisco Unified Computing System E シリーズに脆弱性 【4】Embarcadero Delphi と C++Builder の VCL にバッファオーバーフローの脆弱性 【5】PowerDNS Recursor にサービス運用妨害 (DoS) の脆弱性 【今週のひとくちメモ】Public Key Pinning Extension for HTTP ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr143601.html https://www.jpcert.or.jp/wr/2014/wr143601.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases September 2014 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2014/09/09/Microsoft-Releases-September-2014-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Lync Server - Microsoft .NET Framework - Internet Explorer この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。 なお、Microsoft Lync Server 2010 用のセキュリティ更新プログラム 2982385 にインストールを妨げる問題が見つかったため、9月16日現在、 Microsoft はこのセキュリティ更新プログラムの配信を停止しています。 関連文書 (日本語) マイクロソフト株式会社 2014 年 9 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms14-Sep JPCERT/CC Alert 2014-09-10 2014年9月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140034.html 【2】Adobe Flash Player および Adobe Air に複数の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player and Air https://www.us-cert.gov/ncas/current-activity/2014/09/09/Adobe-Releases-Security-Updates-Flash-Player-and-Air 概要 Adobe Flash Player および Adobe Air には、複数の脆弱性があります。結果 として、遠隔の第三者が、任意のコードを実行するなどの可能性があります。 対象となる製品とバージョンは以下の通りです。 - Adobe Flash Player 14.0.0.179 およびそれ以前 (Windows 版および Macintosh 版) - Adobe Flash Player 13.0.0.241 およびそれ以前 (Windows 版および Macintosh 版) - Adobe Flash Player 11.2.202.400 およびそれ以前 (Linux 版) - Adobe AIR デスクトップランタイム 14.0.0.178 およびそれ以前 (Windows 版および Macintosh 版) - Adobe AIR SDK 14.0.0.178 およびそれ以前 (Windows 版、Macintosh 版および iOS 版) - Adobe AIR SDK & Compiler 14.0.0.178 およびそれ以前 (Windows 版、Macintosh 版および iOS 版) - Adobe AIR 14.0.0.179 およびそれ以前 (Android 版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。 関連文書 (日本語) Adobeセキュリティ情報 Adobe Flash Player用のセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb14-21.html JPCERT/CC Alert 2014-09-10 Adobe Flash Player の脆弱性 (APSB14-21) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140035.html 【3】Cisco Unified Computing System E シリーズに脆弱性 情報源 US-CERT Current Activity Cisco Integrated Management Controller Vulnerability https://www.us-cert.gov/ncas/current-activity/2014/09/11/Cisco-Integrated-Management-Controller-Vulnerability 概要 Cisco Unified Computing System E シリーズの Cisco Integrated Management Controller (Cisco IMC) に含まれる SSH モジュールには、脆弱 性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃 を行う可能性があります。 対象となる製品は以下の通りです。 - Cisco UCS E140D - Cisco UCS E140DP - Cisco UCS E160D - Cisco UCS E160DP - Cisco UCS E140S M1 - Cisco UCS E140S M2 - Cisco UCS EN120S M2 この問題は、Cisco が提供する修正済みのバージョンに Unified Computing System を更新することで解決します。詳細については、Cisco が提供する情報 を参照して下さい。 関連文書 (英語) Cisco Security Advisory Cisco Unified Computing System E-Series Blade Servers Cisco Integrated Management Controller SSH Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140908-ucse 【4】Embarcadero Delphi と C++Builder の VCL にバッファオーバーフローの脆弱性 情報源 CERT/CC Vulnerability Note VU#646748 Embarcadero Delphi and C++Builder VCL BMP file processing buffer overflow http://www.kb.cert.org/vuls/id/646748 概要 Embarcadero Delphi および C++ Builder に含まれている Visual Component Library (VCL) の BMP ファイルの処理には、バッファオーバーフローの脆弱 性があります。結果として、第三者が、当該製品を使って作成されたアプリ 上で、任意のコードを実行する可能性があります。 脆弱性が確認された製品およびバージョンは以下の通りですが、他のバージョ ンも影響を受ける可能性があります。 - Embarcadero Delphi XE6 Version 20.0.15596.9843 - Embarcadero C++Builder XE6 Version 20.0.15596.9843 この問題は、該当する製品に対して、更新プログラムの適用、あるいは該当す るソースコードの修正のどちらかを行った上で、アプリを再構築することで解 決します。詳細については、Embarcadero が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97910946 Embarcadero Delphi と C++Builder の VCL にバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU97910946/index.html 関連文書 (英語) Embarcadero Delphi and C++ Builder VCL Library Buffer Overflow http://support.embarcadero.com/article/44015 【5】PowerDNS Recursor にサービス運用妨害 (DoS) の脆弱性 情報源 JPRS ■PowerDNS Recursor の脆弱性(DNSサービスの停止)について(2014年9月11日公開) http://jprs.jp/tech/security/2014-09-11-powerdns-recursor-vuln.html 概要 PowerDNS Recursor には、パケットの処理に脆弱性があります。結果として、 遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - PowerDNS Recursor 3.6.0 この問題は、PowerDNS.COM BV が提供する修正済みのバージョンに PowerDNS Recursor を更新することで解決します。詳細については、PowerDNS.COM BV が提供する情報を参照して下さい。 関連文書 (英語) PowerDNS.COM BV 13. PowerDNS Security Advisory 2014-01: PowerDNS Recursor 3.6.0 can be crashed remotely https://doc.powerdns.com/html/powerdns-advisory-2014-01.html PowerDNS.COM BV Security Update: PowerDNS Recursor 3.6.1 http://blog.powerdns.com/2014/09/10/security-update-powerdns-recursor-3-6-1/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Public Key Pinning Extension for HTTP 前回の Weekly Report では、Pre-loaded Public Key Pinning をご紹介しま した。今回は IETF の websec WG で議論が進められている Public Key Pinning Extension for HTTP をご紹介します。 Public Key Pinning Extension for HTTP では、各 Web サイトが、サーバ証 明書の検証で使用される公開鍵情報のハッシュ値を HTTP レスポンスヘッダに 付加して Web ブラウザに伝えます。Web ブラウザは、ハッシュ値を保存し、 次回アクセスからサーバ証明書の検証において、該当する公開鍵情報が証明書 チェーンで使用されていることを確認します。 公開鍵情報のハッシュ値を保存している状態で不正なサーバにアクセスした場 合、該当する公開鍵情報が証明書チェーンで使用されていないことを検出し、 不正なサーバを識別することができます。 参考文献 (日本語) JPCERT/CC WEEKLY REPORT 2014-09-10 Pre-loaded Public Key Pinning https://www.jpcert.or.jp/wr/2014/wr143501.html#Memo 参考文献 (英語) IETF Public Key Pinning Extension for HTTP https://datatracker.ietf.org/doc/draft-ietf-websec-key-pinning/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUQHk7AAoJEDF9l6Rp7OBIzBwH/iDgT03MDIFJ8Ujw/T6sG8SW yAn45lHVAKxG32h+6mXeV49BLuyt30IQxq91WAK23EH5hsxB4yP81DGfVpsiD7Sq fndVwDCU5foBTxDyLOAafPsai/SN9djtgT6fcPfRafNoCbbLQYrSaqkAQW2f+wYM 1j6fZ/ATLKfCO8J5teseCDNE1CqRpWb4a+W5auPmH1qdd2ExBsA/K3lwCo/VEsuO oV8t2QybNJ4vQ8dCVrkqJWiUDTC6zE7nr+70r6eL8pl1Ph6xUCSDoMPqbTWbKUN0 5sLmfOzpihA8pnMjZXFrpgikyONB9paLtSRMkEwPT2uaTB1CEBkVCSvGuYXNDQs= =HESX -----END PGP SIGNATURE-----