-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-4101 JPCERT/CC 2014-10-22 <<< JPCERT/CC WEEKLY REPORT 2014-10-22 >>> ―――――――――――――――――――――――――――――――――――――― ■10/12(日)〜10/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】2014年10月 Oracle Critical Patch Update について 【4】SSL v3.0 プロトコルに暗号化データを解読される脆弱性 【5】OpenSSL に複数の脆弱性 【6】複数の Apple 製品に脆弱性 【7】Mozilla 製品群に複数の脆弱性 【8】PHP に複数の脆弱性 【9】Drupal に SQL インジェクションの脆弱性 【10】GIGAPOD にサービス運用妨害 (DoS) の脆弱性 【今週のひとくちメモ】日米サイバーセキュリティシンポジウム 2014 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr144101.html https://www.jpcert.or.jp/wr/2014/wr144101.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases October 2014 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2014/10/14/Microsoft-Releases-October-2014-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft .NET Framework - Microsoft Office - Microsoft Office Services - Microsoft Office Web Apps - マイクロソフト開発者用ツール この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト株式会社 2014 年 10 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms14-oct JPCERT/CC Alert 2014-10-15 2014年10月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140039.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for ColdFusion and Flash Player https://www.us-cert.gov/ncas/current-activity/2014/10/14/Adobe-Releases-Security-Updates-ColdFusion-and-Flash-Player 概要 複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行したり、アクセス制限を回避したりする可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 15.0.0.167 およびそれ以前 (Windows および Macintosh) - Adobe Flash Player 13.0.0.244 およびそれ以前 (Windows および Macintosh) - Adobe Flash Player 11.2.202.406 およびそれ以前 (Linux) - Adobe Flash Player 15.0.0.152 およびそれ以前 (Google Chrome) - Adobe AIR desktop runtime 15.0.0.249 およびそれ以前 - Adobe AIR SDK 15.0.0.249 およびそれ以前 - Adobe AIR SDK & Compiler 15.0.0.249 およびそれ以前 - Adobe AIR 15.0.0.252 およびそれ以前 (Android 版) - ColdFusion 11、10、9.0.2、9.0.1 および 9.0 この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。 関連文書 (日本語) Adobeセキュリティ情報 Adobe Flash Player用のセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb14-22.html Adobeセキュリティ情報 セキュリティアップデート:ColdFusion用ホットフィックス公開 https://helpx.adobe.com/jp/security/products/coldfusion/apsb14-23.html JPCERT/CC Alert 2014-10-15 Adobe Flash Player の脆弱性 (APSB14-22) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140040.html 【3】2014年10月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Oracle Releases October 2014 Security Advisory https://www.us-cert.gov/ncas/current-activity/2014/10/14/Oracle-Releases-October-2014-Security-Advisory 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。詳細については、 Oracle が提供する情報を参照して下さい。 関連文書 (日本語) Oracle Oracle Critical Patch Update Advisory - October 2014 http://www.oracle.com/technetwork/jp/topics/ojkbcpuoct2014-2332954-ja.html 独立行政法人情報処理推進機構 (IPA) Oracle Java の脆弱性対策について(CVE-2014-6513等) https://www.ipa.go.jp/security/ciadr/vul/20141015-jre.html JPCERT/CC Alert 2014-10-15 2014年10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2014/at140041.html 【4】SSL v3.0 プロトコルに暗号化データを解読される脆弱性 情報源 Japan Vulnerability Notes JVNVU#98283300 SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃) https://jvn.jp/vu/JVNVU98283300/ 概要 SSL v3.0 をサポートする製品は、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能 性があります。 対象となる製品は以下の通りです。 - SSL v3.0 をサポートしている製品 サーバもしくはクライアント、あるいはその両方で SSL v3.0 を無効にするこ とで、POODLE 攻撃の影響を回避することができます。詳細については、使用 している製品のベンダや配布元が提供する情報を参照して下さい。 関連文書 (日本語) 独立行政法人情報処理推進機構 (IPA) SSL 3.0 の脆弱性対策について(CVE-2014-3566) https://www.ipa.go.jp/security/announce/20141017-ssl.html 関連文書 (英語) Google This POODLE bites: exploiting the SSL 3.0 fallback http://googleonlinesecurity.blogspot.co.uk/2014/10/this-poodle-bites-exploiting-ssl-30.html US-CERT Alert (TA14-290A) SSL 3.0 Protocol Vulnerability and POODLE Attack https://www.us-cert.gov/ncas/alerts/TA14-290A CERT/CC Vulnerability Note VU#577193 POODLE vulnerability in SSL 3.0 https://www.kb.cert.org/vuls/id/577193 【5】OpenSSL に複数の脆弱性 情報源 US-CERT Current Activity OpenSSL Patches Four Vulnerabilities https://www.us-cert.gov/ncas/current-activity/2014/10/16/OpenSSL-Patches-Four-Vulnerabilities 概要 OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行ったり、中間者攻撃を行ったりする可能性があ ります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.0.1j より前のバージョン - OpenSSL 1.0.0o より前のバージョン - OpenSSL 0.9.8zc より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに OpenSSL を更新することで解決します。詳細については、OS のベンダや 配布元が提供する情報を参照して下さい。 関連文書 (英語) OpenSSL Project OpenSSL Security Advisory [15 Oct 2014] https://www.openssl.org/news/secadv_20141015.txt 【6】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Update 2014-005 https://www.us-cert.gov/ncas/current-activity/2014/10/17/Apple-Releases-Security-Update-2014-005 概要 複数の Apple 製品には脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、中間者攻撃を実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - OS X Yosemite v10.10 より前のバージョン - OS X Server v4.0 より前のバージョン - OS X Server v3.2.2 より前のバージョン - OS X Server v2.2.5 より前のバージョン - iTunes 12.0.1 より前のバージョン (Windows 版) この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する ことで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (日本語) Apple Apple security updates http://support.apple.com/kb/HT1222 Japan Vulnerability Notes JVNVU#97537282 複数の Apple 製品の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU97537282/ 【7】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox and Thunderbird https://www.us-cert.gov/ncas/current-activity/2014/10/15/Mozilla-Releases-Security-Updates-Firefox-and-Thunderbird 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 33 より前のバージョン - Firefox ESR 31.2 より前のバージョン - Thunderbird 31.2 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。 関連文書 (日本語) Mozilla Japan (2014 年 10 月 14 日) Mozilla Foundation セキュリティアドバイザリ http://www.mozilla-japan.org/security/announce/ 【8】PHP に複数の脆弱性 情報源 PHP Group PHP 5.6.2 is available https://php.net/archive/2014.php#id2014-10-16-3 PHP Group PHP 5.5.18 Released https://php.net/archive/2014.php#id2014-10-16-1 PHP Group PHP 5.4.34 Released https://php.net/archive/2014.php#id2014-10-16-2 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - PHP 5.6.2 より前のバージョン - PHP 5.5.18 より前のバージョン - PHP 5.4.34 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細については、開発者や配布元が提供する情報を参 照して下さい。 関連文書 (英語) PHP Group PHP 5 ChangeLog Version 5.6.2 https://www.php.net/ChangeLog-5.php#5.6.2 PHP Group PHP 5 ChangeLog Version 5.5.18 https://www.php.net/ChangeLog-5.php#5.5.18 PHP Group PHP 5 ChangeLog Version 5.4.34 https://www.php.net/ChangeLog-5.php#5.4.34 【9】Drupal に SQL インジェクションの脆弱性 情報源 US-CERT Current Activity Drupal Releases Security Advisory https://www.us-cert.gov/ncas/current-activity/2014/10/17/Drupal-Releases-Security-Advisory 概要 Drupal には、SQL インジェクションの脆弱性があります。結果として、遠隔の 第三者が、当該製品が参照するデータベースに対して、任意の SQL コマンドを 実行する可能性があります。 対象となるバージョンは以下の通りです。 - Drupal 7.32 より前の 7 系のバージョン この問題は、Drupal が提供する修正済みのバージョンに Drupal を更新する ことで解決します。詳細については、Drupal が提供する情報を参照して下さ い。 関連文書 (日本語) JPCERT/CC Alert 2014-10-21 Drupal の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140042.html 関連文書 (英語) Drupal Security advisories SA-CORE-2014-005 - Drupal core - SQL injection https://www.drupal.org/SA-CORE-2014-005 【10】GIGAPOD にサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVN#23809730 GIGAPOD におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN23809730/ 概要 GIGAPOD の設定用 Web インターフェースには、脆弱性があります。結果とし て、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品およびバージョンは以下の通りです。 - GIGAPOD OFFICEHARD アプライアンス モデル バージョン 3.04.03 およびそれ以前 - GIGAPOD 2010 / GIGAPOD 3 アプライアンス モデル バージョン 3.01.02 およびそれ以前 - GIGAPOD 2010 / GIGAPOD 3 ソフトウェア モデル バージョン 3.01.02 およびそれ以前 この問題は、トライポッドワークス株式会社が提供する修正済みのバージョン に該当する製品を更新することで解決します。詳細については、トライポッド ワークス株式会社が提供する情報を参照して下さい。 関連文書 (日本語) トライポッドワークス株式会社 Apache HTTP Server のサービス運用妨害の脆弱性(CVE-2011-3192)に関する「GIGAPOD製品シリーズ」の対応状況 https://www.tripodworks.co.jp/news/2014/10/20141015-02.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○日米サイバーセキュリティシンポジウム 2014 「日米サイバーセキュリティシンポジウム 2014」が 10月31日に開催されます。 このシンポジウムは 10月8日の Weekly Report でご紹介した「情報セキュリ ティ国際キャンペーン」の一環として開催されており、学生や若手エンジニア を対象に、日米両政府のサイバーセキュリティ戦略の紹介やパネルディスカッ ションが予定されています。 参考文献 (日本語) 内閣官房情報セキュリティセンター 日米サイバーセキュリティシンポジウム 2014 http://www.nisc.go.jp/security-site/campaign/ussympo/index.html JPCERT/CC 10月は「情報セキュリティ国際キャンペーン」 https://www.jpcert.or.jp/tips/2014/wr143901.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJURw6rAAoJEDF9l6Rp7OBIXuUIAJE3fJr8wGuLC/lwzKjhd1hn tGA2FfA1XVLGBMYLowH+qOP3NgBW6tzBIBBJ0hGf8WayqO4sIsb0ZUkZ7QSqqLlD 0/cSMhpL7COtKDnSF0RPQLQbpkddy6UOwXnKMmu4C+wTbDdPxIwpxj4UEMnWkyU/ YJqo/R73tngJOPLRLQU8ejQO3A9rdU7pNxKKGKDa7y/bLQJuE5MlC/t2oYZ092eZ 6y3S1GUakLs0P7BjIFRHe7/BeFIz8EcLo2clu9RbAUKsMboCrclguYHNievK/2dS XeIAO1SULH62TVIbNSAlZWy89tKiif8NN+XKVgpQwmL/3uqH54Nob4ZvlaUNsRQ= =Psqz -----END PGP SIGNATURE-----