JPCERT-WR-2014-3601
2014-09-18
2014-09-07
2014-09-13
複数の Microsoft 製品に脆弱性
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。
対象となる製品は以下の通りです。
- Microsoft Windows
- Microsoft Lync Server
- Microsoft .NET Framework
- Internet Explorer
この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細については、Microsoft が提供する情報を参照して下さい。
なお、Microsoft Lync Server 2010 用のセキュリティ更新プログラム
2982385 にインストールを妨げる問題が見つかったため、9月16日現在、
Microsoft はこのセキュリティ更新プログラムの配信を停止しています。
マイクロソフト株式会社
2014 年 9 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms14-Sep
JPCERT/CC Alert 2014-09-10
2014年9月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140034.html
Adobe Flash Player および Adobe Air に複数の脆弱性
Adobe Flash Player および Adobe Air には、複数の脆弱性があります。結果
として、遠隔の第三者が、任意のコードを実行するなどの可能性があります。
対象となる製品とバージョンは以下の通りです。
- Adobe Flash Player 14.0.0.179 およびそれ以前 (Windows 版および Macintosh 版)
- Adobe Flash Player 13.0.0.241 およびそれ以前 (Windows 版および Macintosh 版)
- Adobe Flash Player 11.2.202.400 およびそれ以前 (Linux 版)
- Adobe AIR デスクトップランタイム 14.0.0.178 およびそれ以前 (Windows 版および Macintosh 版)
- Adobe AIR SDK 14.0.0.178 およびそれ以前 (Windows 版、Macintosh 版および iOS 版)
- Adobe AIR SDK & Compiler 14.0.0.178 およびそれ以前 (Windows 版、Macintosh 版および iOS 版)
- Adobe AIR 14.0.0.179 およびそれ以前 (Android 版)
この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Adobe が提供する情報を参照して下さ
い。
Adobeセキュリティ情報
Adobe Flash Player用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb14-21.html
JPCERT/CC Alert 2014-09-10
Adobe Flash Player の脆弱性 (APSB14-21) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140035.html
Cisco Unified Computing System E シリーズに脆弱性
Cisco Unified Computing System E シリーズの Cisco Integrated
Management Controller (Cisco IMC) に含まれる SSH モジュールには、脆弱
性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃
を行う可能性があります。
対象となる製品は以下の通りです。
- Cisco UCS E140D
- Cisco UCS E140DP
- Cisco UCS E160D
- Cisco UCS E160DP
- Cisco UCS E140S M1
- Cisco UCS E140S M2
- Cisco UCS EN120S M2
この問題は、Cisco が提供する修正済みのバージョンに Unified Computing
System を更新することで解決します。詳細については、Cisco が提供する情報
を参照して下さい。
Cisco Security Advisory
Cisco Unified Computing System E-Series Blade Servers Cisco Integrated Management Controller SSH Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140908-ucse
Embarcadero Delphi と C++Builder の VCL にバッファオーバーフローの脆弱性
Embarcadero Delphi および C++ Builder に含まれている Visual Component
Library (VCL) の BMP ファイルの処理には、バッファオーバーフローの脆弱
性があります。結果として、第三者が、当該製品を使って作成されたアプリ
上で、任意のコードを実行する可能性があります。
脆弱性が確認された製品およびバージョンは以下の通りですが、他のバージョ
ンも影響を受ける可能性があります。
- Embarcadero Delphi XE6 Version 20.0.15596.9843
- Embarcadero C++Builder XE6 Version 20.0.15596.9843
この問題は、該当する製品に対して、更新プログラムの適用、あるいは該当す
るソースコードの修正のどちらかを行った上で、アプリを再構築することで解
決します。詳細については、Embarcadero が提供する情報を参照して下さい。
Japan Vulnerability Notes JVNVU#97910946
Embarcadero Delphi と C++Builder の VCL にバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU97910946/index.html
Embarcadero
Delphi and C++ Builder VCL Library Buffer Overflow
http://support.embarcadero.com/article/44015
PowerDNS Recursor にサービス運用妨害 (DoS) の脆弱性
PowerDNS Recursor には、パケットの処理に脆弱性があります。結果として、
遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- PowerDNS Recursor 3.6.0
この問題は、PowerDNS.COM BV が提供する修正済みのバージョンに PowerDNS
Recursor を更新することで解決します。詳細については、PowerDNS.COM BV
が提供する情報を参照して下さい。
PowerDNS.COM BV
13. PowerDNS Security Advisory 2014-01: PowerDNS Recursor 3.6.0 can be crashed remotely
https://doc.powerdns.com/html/powerdns-advisory-2014-01.html
PowerDNS.COM BV
Security Update: PowerDNS Recursor 3.6.1
http://blog.powerdns.com/2014/09/10/security-update-powerdns-recursor-3-6-1/
Public Key Pinning Extension for HTTP
前回の Weekly Report では、Pre-loaded Public Key Pinning をご紹介しま
した。今回は IETF の websec WG で議論が進められている Public Key
Pinning Extension for HTTP をご紹介します。
Public Key Pinning Extension for HTTP では、各 Web サイトが、サーバ証
明書の検証で使用される公開鍵情報のハッシュ値を HTTP レスポンスヘッダに
付加して Web ブラウザに伝えます。Web ブラウザは、ハッシュ値を保存し、
次回アクセスからサーバ証明書の検証において、該当する公開鍵情報が証明書
チェーンで使用されていることを確認します。
公開鍵情報のハッシュ値を保存している状態で不正なサーバにアクセスした場
合、該当する公開鍵情報が証明書チェーンで使用されていないことを検出し、
不正なサーバを識別することができます。
JPCERT/CC WEEKLY REPORT 2014-09-10
Pre-loaded Public Key Pinning
https://www.jpcert.or.jp/wr/2014/wr143501.html#Memo
IETF
Public Key Pinning Extension for HTTP
https://datatracker.ietf.org/doc/draft-ietf-websec-key-pinning/