-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2014-3701
                                                                   JPCERT/CC
                                                                  2014-09-25

            <<< JPCERT/CC WEEKLY REPORT 2014-09-25 >>>

――――――――――――――――――――――――――――――――――――――
■09/14(日)〜09/20(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Adobe Reader および Acrobat に複数の脆弱性
【2】複数の Apple 製品に脆弱性
【3】FortiGate および FortiWiFi アプライアンスに複数の脆弱性
【4】CENTUM および Exaopc に任意のファイルの読み書きが可能な脆弱性
【5】パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
【今週のひとくちメモ】「STOP!パスワード使い回し!」キャンペーンにご賛同いただける企業の募集

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2014/wr143701.html
        https://www.jpcert.or.jp/wr/2014/wr143701.xml
============================================================================


【1】Adobe Reader および Acrobat に複数の脆弱性

    情報源
      US-CERT Current Activity
      Adobe Releases Security Updates for Adobe Reader and Acrobat
      https://www.us-cert.gov/ncas/current-activity/2014/09/16/Adobe-Releases-Security-Updates-Adobe-Reader-and-Acrobat

    概要
      Adobe Reader および Acrobat には複数の脆弱性があります。結果として、遠
      隔の第三者が、細工した PDF ファイルなどをユーザに開かせることで、任意の
      コードを実行するなどの可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Adobe Reader XI (11.0.08) およびそれ以前 (Windows版)
      - Adobe Reader XI (11.0.07) およびそれ以前 (Macintosh版)
      - Adobe Reader X (10.1.11) およびそれ以前 (Windows版)
      - Adobe Reader X (10.1.10) およびそれ以前 (Macintosh版)
      - Adobe Acrobat XI (11.0.08) およびそれ以前 (Windows版)
      - Adobe Acrobat XI (11.0.07) およびそれ以前 (Macintosh版)
      - Adobe Acrobat X (10.1.11) およびそれ以前 (Windows版)
      - Adobe Acrobat X (10.1.10) およびそれ以前 (Macintosh版)

      この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
      ることで解決します。詳細については、Adobe が提供する情報を参照して下さ
      い。

    関連文書 (日本語)
      Adobeセキュリティ情報
      Adobe ReaderおよびAcrobat用セキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/reader/apsb14-20.html

      警察庁 @Police
      アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて(9/16)
      https://www.npa.go.jp/cyberpolice/topics/?seq=14605

      独立行政法人情報処理推進機構 (IPA)
      Adobe Reader および Acrobat の脆弱性対策について(APSB14-20)(CVE-2014-0560等)
      https://www.ipa.go.jp/security/ciadr/vul/20140917-adobereader.html

      JPCERT/CC Alert 2014-09-17
      Adobe Reader および Acrobat の脆弱性 (APSB14-20) に関する注意喚起
      https://www.jpcert.or.jp/at/2014/at140036.html

【2】複数の Apple 製品に脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#93868849
      複数の Apple 製品の脆弱性に対するアップデート
      https://jvn.jp/vu/JVNVU93868849/index.html

    概要
      複数の Apple 製品には脆弱性があります。結果として、遠隔の第三者が、サー
      ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性
      があります。

      対象となる製品およびバージョンは以下の通りです。

      - iOS 8 より前のバージョン
      - Apple TV 7 より前のバージョン
      - Xcode 6.0.1 より前のバージョン
      - OS X Mavericks 10.9.5 より前のバージョン
      - Safari 7.1 より前のバージョン
      - Safari 6.2 より前のバージョン
      - OS X Server 3.2.1 より前のバージョン
      - OS X Server 2.2.3 より前のバージョン

      この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する
      ことで解決します。詳細については、Apple が提供する情報を参照して下さい。

    関連文書 (英語)
      Apple
      Apple security updates
      http://support.apple.com/kb/HT1222?viewlocale=en_US

【3】FortiGate および FortiWiFi アプライアンスに複数の脆弱性

    情報源
      CERT/CC Vulnerability Note VU#730964
      FortiNet FortiGate and FortiWiFi appliances contain multiple vulnerabilities
      https://www.kb.cert.org/vuls/id/730964

    概要
      FortiGate および FortiWiFi アプライアンスの FortiOS に含まれている
      FortiManager には、複数の脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行したり、中間者攻撃を実行したりする可能性があります。

      対象となるバージョンは以下の通りです。

      - FortiOS 5.0.0 から 5.0.7 まで
      - FortiOS 4.3.15 およびそれ以前

      この問題は、Fortinet が提供する修正済みのバージョンに FortiOS を更新す
      ることで解決します。詳細については、Fortinet が提供する情報を参照して
      下さい。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#96848844
      FortiGate および FortiWiFi アプライアンスに複数の脆弱性
      https://jvn.jp/vu/JVNVU96848844/index.html

    関連文書 (英語)
      Fortinet
      FortiGate Vulnerabilities in FortiManager Service
      https://www.fortiguard.com/advisory/FG-IR-14-006/

【4】CENTUM および Exaopc に任意のファイルの読み書きが可能な脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#95634161
      CENTUM および Exaopc において任意のファイルにアクセス可能な脆弱性
      https://jvn.jp/vu/JVNVU95634161/index.html

    概要
      横河電機株式会社が提供する CENTUM および Exaopc のバッチ管理プロセスに
      は、任意のファイルの読み書きが可能な脆弱性があります。結果として、遠隔
      の第三者が、任意のファイルを読み取ったり、改ざんしたりする可能性があり
      ます。

      対象となる製品およびバージョンは以下の通りです。

      - CENTUM CS 3000 R3.09.50 およびそれ以前
      - CENTUM CS 3000 Small R3.09.50 およびそれ以前
      - CENTUM VP R4.03.00 およびそれ以前
      - CENTUM VP R5.04.00 およびそれ以前
      - CENTUM VP Small R4.03.00 およびそれ以前
      - CENTUM VP Small R5.04.00 およびそれ以前
      - CENTUM VP Basic R4.03.00 およびそれ以前
      - CENTUM VP Basic R5.04.00 およびそれ以前
      - Exaopc R3.72.10 およびそれ以前

      横河電機株式会社によると、対応するパッチは 9月末から順次公開する予定と
      のことです。以下の回避策を適用することで、本脆弱性の影響を軽減すること
      が可能です。

      - 20111/tcp へのアクセスを制限する

      詳細については、横河電機株式会社が提供する情報を参照して下さい。

    関連文書 (日本語)
      Yokogawa Security Advisory Report
      YSAR-14-0003: CENTUM と Exaopc に任意のファイル読み書きの脆弱性
      https://www.yokogawa.co.jp/dcs/security/ysar/YSAR-14-0003.pdf

【5】パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ

    情報源
      独立行政法人情報処理推進機構 (IPA)
      プレス発表　パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
      https://www.ipa.go.jp/about/press/20140917.html

      JPCERT/CC からのお知らせ
      STOP!! パスワード使い回し!!パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
      https://www.jpcert.or.jp/pr/2014/pr140004.html

    概要
      パスワードリスト攻撃による不正ログインの被害が後を絶たないことから、独
      立行政法人情報処理推進機構 (IPA) および JPCERT/CC は、複数のサービスに
      おいて同じパスワードを使い回さないよう、インターネットサービス利用者に
      向けて呼びかけています。

      パスワードの使い回しによる不正ログインの被害を防ぐため、パスワードは使
      い回しを避け、適切に管理するなどの対策を行うことをお勧めします。

    関連文書 (英語)
      JPCERT/CC Blog
      A local awareness raising campaign launched to mitigate "password list-based attack"
      http://blog.jpcert.or.jp/2014/09/a-local-awarene-02d1.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「STOP!パスワード使い回し!」キャンペーンにご賛同いただける企業の募集

      JPCERT/CC では、本日の Weekly Report でご紹介した「パスワードリスト攻
      撃による不正ログイン防止に向けた呼びかけ」に続き、サービス事業者ととも
      に利用者への呼びかけを行う「STOP!パスワード使い回し!」キャンペーンを開
      始しました。本キャンペーンでは、ご賛同いただけるサービス事業者を募集し
      ています。

      なお、本キャンペーンは ID とパスワードを用いて、サービス利用者の認証を
      行っているサービス提供事業者などを対象にしています。本キャンペーンにご
      賛同いただける場合には、キャンペーンバナーの掲載等のご協力をお願いいた
      します。

    参考文献 (日本語)
      JPCERT/CC からのお知らせ
      「STOP!パスワード使い回し!」キャンペーンにご賛同いただける企業の募集
      https://www.jpcert.or.jp/pr/2014/pr140005.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2014 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJUQHkrAAoJEDF9l6Rp7OBITRQH/0i3dqTKQ3BuJ3CByUTdmxUG
Cui3ZnkHe9wS4RI50DNDBRfgF3YNw0KbfHyXcn1Wyx682rqwBgUytTx3tm7UiLKr
l6+ViMnyhfwN8PErkyV2iL7kyfJZhv9wI+0sUKIlry73eBYzeRCmiDwNLj06veGH
ZxlbyVGUF5p+SsWh3OblEWupgbCeImPlT4c/qI9gy/MljHsay27amjeqsX7MDYfO
wXeCDyA7bCeCgZ3kNcnUTE0CQ7bafAYw9b1fEqY5PE2Q/WJgRONJFWL+z77ZeuXq
Opn6CcqlwG+K+SeumKsE82rni5GWZ1uIr+1MOHiZq7GvCBYQKvq36Ns5PJt2jEM=
=pnKe
-----END PGP SIGNATURE-----