<<< JPCERT/CC WEEKLY REPORT 2014-09-25 >>>
■09/14(日)〜09/20(土) のセキュリティ関連情報
目 次
【1】Adobe Reader および Acrobat に複数の脆弱性
【2】複数の Apple 製品に脆弱性
【3】FortiGate および FortiWiFi アプライアンスに複数の脆弱性
【4】CENTUM および Exaopc に任意のファイルの読み書きが可能な脆弱性
【5】パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
【今週のひとくちメモ】「STOP!パスワード使い回し!」キャンペーンにご賛同いただける企業の募集
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr143701.txt
https://www.jpcert.or.jp/wr/2014/wr143701.xml
【1】Adobe Reader および Acrobat に複数の脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Adobe Reader and Acrobat
https://www.us-cert.gov/ncas/current-activity/2014/09/16/Adobe-Releases-Security-Updates-Adobe-Reader-and-Acrobat
概要
Adobe Reader および Acrobat には複数の脆弱性があります。結果として、遠 隔の第三者が、細工した PDF ファイルなどをユーザに開かせることで、任意の コードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Reader XI (11.0.08) およびそれ以前 (Windows版) - Adobe Reader XI (11.0.07) およびそれ以前 (Macintosh版) - Adobe Reader X (10.1.11) およびそれ以前 (Windows版) - Adobe Reader X (10.1.10) およびそれ以前 (Macintosh版) - Adobe Acrobat XI (11.0.08) およびそれ以前 (Windows版) - Adobe Acrobat XI (11.0.07) およびそれ以前 (Macintosh版) - Adobe Acrobat X (10.1.11) およびそれ以前 (Windows版) - Adobe Acrobat X (10.1.10) およびそれ以前 (Macintosh版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。
関連文書 (日本語)
Adobeセキュリティ情報
Adobe ReaderおよびAcrobat用セキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/reader/apsb14-20.html警察庁 @Police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて(9/16)
https://www.npa.go.jp/cyberpolice/topics/?seq=14605独立行政法人情報処理推進機構 (IPA)
Adobe Reader および Acrobat の脆弱性対策について(APSB14-20)(CVE-2014-0560等)
https://www.ipa.go.jp/security/ciadr/vul/20140917-adobereader.htmlJPCERT/CC Alert 2014-09-17
Adobe Reader および Acrobat の脆弱性 (APSB14-20) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140036.html
【2】複数の Apple 製品に脆弱性
情報源
Japan Vulnerability Notes JVNVU#93868849
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93868849/index.html
概要
複数の Apple 製品には脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性 があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 8 より前のバージョン - Apple TV 7 より前のバージョン - Xcode 6.0.1 より前のバージョン - OS X Mavericks 10.9.5 より前のバージョン - Safari 7.1 より前のバージョン - Safari 6.2 より前のバージョン - OS X Server 3.2.1 より前のバージョン - OS X Server 2.2.3 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する ことで解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (英語)
Apple
Apple security updates
http://support.apple.com/kb/HT1222?viewlocale=en_US
【3】FortiGate および FortiWiFi アプライアンスに複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#730964
FortiNet FortiGate and FortiWiFi appliances contain multiple vulnerabilities
https://www.kb.cert.org/vuls/id/730964
概要
FortiGate および FortiWiFi アプライアンスの FortiOS には、複数の脆弱性 があります。結果として、遠隔の第三者が、任意のコードを実行したり、中間 者攻撃を実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - FortiOS 5.0.0 から 5.0.7 まで - FortiOS 4.3.15 およびそれ以前 この問題は、Fortinet が提供する修正済みのバージョンに FortiOS を更新す ることで解決します。詳細については、Fortinet が提供する情報を参照して 下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96848844
FortiGate および FortiWiFi アプライアンスに複数の脆弱性
https://jvn.jp/vu/JVNVU96848844/index.html
関連文書 (英語)
Fortinet
FortiGate Vulnerabilities in FortiManager Service
https://www.fortiguard.com/advisory/FG-IR-14-006/
【4】CENTUM および Exaopc に任意のファイルの読み書きが可能な脆弱性
情報源
Japan Vulnerability Notes JVNVU#95634161
CENTUM および Exaopc において任意のファイルにアクセス可能な脆弱性
https://jvn.jp/vu/JVNVU95634161/index.html
概要
横河電機株式会社が提供する CENTUM および Exaopc のバッチ管理プロセスに は、任意のファイルの読み書きが可能な脆弱性があります。結果として、遠隔 の第三者が、任意のファイルを読み取ったり、改ざんしたりする可能性があり ます。 対象となる製品およびバージョンは以下の通りです。 - CENTUM CS 3000 R3.09.50 およびそれ以前 - CENTUM CS 3000 Small R3.09.50 およびそれ以前 - CENTUM VP R4.03.00 およびそれ以前 - CENTUM VP R5.04.00 およびそれ以前 - CENTUM VP Small R4.03.00 およびそれ以前 - CENTUM VP Small R5.04.00 およびそれ以前 - CENTUM VP Basic R4.03.00 およびそれ以前 - CENTUM VP Basic R5.04.00 およびそれ以前 - Exaopc R3.72.10 およびそれ以前 横河電機株式会社によると、対応するパッチは 9月末から順次公開する予定と のことです。以下の回避策を適用することで、本脆弱性の影響を軽減すること が可能です。 - 20111/tcp へのアクセスを制限する 詳細については、横河電機株式会社が提供する情報を参照して下さい。
関連文書 (日本語)
Yokogawa Security Advisory Report
YSAR-14-0003: CENTUM と Exaopc に任意のファイル読み書きの脆弱性
https://www.yokogawa.co.jp/dcs/security/ysar/YSAR-14-0003.pdf
【5】パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
情報源
独立行政法人情報処理推進機構 (IPA)
プレス発表 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
https://www.ipa.go.jp/about/press/20140917.htmlJPCERT/CC からのお知らせ
STOP!! パスワード使い回し!!パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
https://www.jpcert.or.jp/pr/2014/pr140004.html
概要
パスワードリスト攻撃による不正ログインの被害が後を絶たないことから、独 立行政法人情報処理推進機構 (IPA) および JPCERT/CC は、複数のサービスに おいて同じパスワードを使い回さないよう、インターネットサービス利用者に 向けて呼びかけています。 パスワードの使い回しによる不正ログインの被害を防ぐため、パスワードは使 い回しを避け、適切に管理するなどの対策を行うことをお勧めします。
関連文書 (英語)
JPCERT/CC Blog
A local awareness raising campaign launched to mitigate "password list-based attack"
http://blog.jpcert.or.jp/2014/09/a-local-awarene-02d1.html
■今週のひとくちメモ
○「STOP!パスワード使い回し!」キャンペーンにご賛同いただける企業の募集
JPCERT/CC では、本日の Weekly Report でご紹介した「パスワードリスト攻 撃による不正ログイン防止に向けた呼びかけ」に続き、サービス事業者ととも に利用者への呼びかけを行う「STOP!パスワード使い回し!」キャンペーンを開 始しました。本キャンペーンでは、ご賛同いただけるサービス事業者を募集し ています。 なお、本キャンペーンは ID とパスワードを用いて、サービス利用者の認証を 行っているサービス提供事業者などを対象にしています。本キャンペーンにご 賛同いただける場合には、キャンペーンバナーの掲載等のご協力をお願いいた します。
参考文献 (日本語)
JPCERT/CC からのお知らせ
「STOP!パスワード使い回し!」キャンペーンにご賛同いただける企業の募集
https://www.jpcert.or.jp/pr/2014/pr140005.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/