JPCERT-WR-2014-3601 2014-09-18 2014-09-07 2014-09-13

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2014/09/09/Microsoft-Releases-September-2014-Security-Bulletin

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Lync Server - Microsoft .NET Framework - Internet Explorer この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。 なお、Microsoft Lync Server 2010 用のセキュリティ更新プログラム 2982385 にインストールを妨げる問題が見つかったため、9月16日現在、 Microsoft はこのセキュリティ更新プログラムの配信を停止しています。

マイクロソフト株式会社 https://technet.microsoft.com/ja-jp/library/security/ms14-Sep JPCERT/CC Alert 2014-09-10 https://www.jpcert.or.jp/at/2014/at140034.html

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2014/09/09/Adobe-Releases-Security-Updates-Flash-Player-and-Air

Adobe Flash Player および Adobe Air には、複数の脆弱性があります。結果 として、遠隔の第三者が、任意のコードを実行するなどの可能性があります。 対象となる製品とバージョンは以下の通りです。 - Adobe Flash Player 14.0.0.179 およびそれ以前 (Windows 版および Macintosh 版) - Adobe Flash Player 13.0.0.241 およびそれ以前 (Windows 版および Macintosh 版) - Adobe Flash Player 11.2.202.400 およびそれ以前 (Linux 版) - Adobe AIR デスクトップランタイム 14.0.0.178 およびそれ以前 (Windows 版および Macintosh 版) - Adobe AIR SDK 14.0.0.178 およびそれ以前 (Windows 版、Macintosh 版および iOS 版) - Adobe AIR SDK & Compiler 14.0.0.178 およびそれ以前 (Windows 版、Macintosh 版および iOS 版) - Adobe AIR 14.0.0.179 およびそれ以前 (Android 版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。

Adobeセキュリティ情報 https://helpx.adobe.com/jp/security/products/flash-player/apsb14-21.html JPCERT/CC Alert 2014-09-10 https://www.jpcert.or.jp/at/2014/at140035.html

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2014/09/11/Cisco-Integrated-Management-Controller-Vulnerability

Cisco Unified Computing System E シリーズの Cisco Integrated Management Controller (Cisco IMC) に含まれる SSH モジュールには、脆弱 性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃 を行う可能性があります。 対象となる製品は以下の通りです。 - Cisco UCS E140D - Cisco UCS E140DP - Cisco UCS E160D - Cisco UCS E160DP - Cisco UCS E140S M1 - Cisco UCS E140S M2 - Cisco UCS EN120S M2 この問題は、Cisco が提供する修正済みのバージョンに Unified Computing System を更新することで解決します。詳細については、Cisco が提供する情報 を参照して下さい。

Cisco Security Advisory http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140908-ucse

CERT/CC Vulnerability Note VU#646748 http://www.kb.cert.org/vuls/id/646748

Embarcadero Delphi および C++ Builder に含まれている Visual Component Library (VCL) の BMP ファイルの処理には、バッファオーバーフローの脆弱 性があります。結果として、第三者が、当該製品を使って作成されたアプリ 上で、任意のコードを実行する可能性があります。 脆弱性が確認された製品およびバージョンは以下の通りですが、他のバージョ ンも影響を受ける可能性があります。 - Embarcadero Delphi XE6 Version 20.0.15596.9843 - Embarcadero C++Builder XE6 Version 20.0.15596.9843 この問題は、該当する製品に対して、更新プログラムの適用、あるいは該当す るソースコードの修正のどちらかを行った上で、アプリを再構築することで解 決します。詳細については、Embarcadero が提供する情報を参照して下さい。

Japan Vulnerability Notes JVNVU#97910946 https://jvn.jp/vu/JVNVU97910946/index.html Embarcadero http://support.embarcadero.com/article/44015

JPRS http://jprs.jp/tech/security/2014-09-11-powerdns-recursor-vuln.html

PowerDNS Recursor には、パケットの処理に脆弱性があります。結果として、 遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - PowerDNS Recursor 3.6.0 この問題は、PowerDNS.COM BV が提供する修正済みのバージョンに PowerDNS Recursor を更新することで解決します。詳細については、PowerDNS.COM BV が提供する情報を参照して下さい。

PowerDNS.COM BV https://doc.powerdns.com/html/powerdns-advisory-2014-01.html PowerDNS.COM BV http://blog.powerdns.com/2014/09/10/security-update-powerdns-recursor-3-6-1/

前回の Weekly Report では、Pre-loaded Public Key Pinning をご紹介しま した。今回は IETF の websec WG で議論が進められている Public Key Pinning Extension for HTTP をご紹介します。 Public Key Pinning Extension for HTTP では、各 Web サイトが、サーバ証 明書の検証で使用される公開鍵情報のハッシュ値を HTTP レスポンスヘッダに 付加して Web ブラウザに伝えます。Web ブラウザは、ハッシュ値を保存し、 次回アクセスからサーバ証明書の検証において、該当する公開鍵情報が証明書 チェーンで使用されていることを確認します。 公開鍵情報のハッシュ値を保存している状態で不正なサーバにアクセスした場 合、該当する公開鍵情報が証明書チェーンで使用されていないことを検出し、 不正なサーバを識別することができます。 JPCERT/CC WEEKLY REPORT 2014-09-10 https://www.jpcert.or.jp/wr/2014/wr143501.html#Memo IETF https://datatracker.ietf.org/doc/draft-ietf-websec-key-pinning/