JPCERT-WR-2014-4101
2014-10-22
2014-10-12
2014-10-18
複数の Microsoft 製品に脆弱性
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。
対象となる製品は以下の通りです。
- Microsoft Windows
- Internet Explorer
- Microsoft .NET Framework
- Microsoft Office
- Microsoft Office Services
- Microsoft Office Web Apps
- マイクロソフト開発者用ツール
この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細については、Microsoft が提供する情報を参照して下さい。
マイクロソフト株式会社
2014 年 10 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms14-oct
JPCERT/CC Alert 2014-10-15
2014年10月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140039.html
複数の Adobe 製品に脆弱性
複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行したり、アクセス制限を回避したりする可能性があります。
対象となるバージョンは以下の通りです。
- Adobe Flash Player 15.0.0.167 およびそれ以前 (Windows および Macintosh)
- Adobe Flash Player 13.0.0.244 およびそれ以前 (Windows および Macintosh)
- Adobe Flash Player 11.2.202.406 およびそれ以前 (Linux)
- Adobe Flash Player 15.0.0.152 およびそれ以前 (Google Chrome)
- Adobe AIR desktop runtime 15.0.0.249 およびそれ以前
- Adobe AIR SDK 15.0.0.249 およびそれ以前
- Adobe AIR SDK & Compiler 15.0.0.249 およびそれ以前
- Adobe AIR 15.0.0.252 およびそれ以前 (Android 版)
- ColdFusion 11、10、9.0.2、9.0.1 および 9.0
この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Adobe が提供する情報を参照して下さ
い。
Adobeセキュリティ情報
Adobe Flash Player用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb14-22.html
Adobeセキュリティ情報
セキュリティアップデート:ColdFusion用ホットフィックス公開
https://helpx.adobe.com/jp/security/products/coldfusion/apsb14-23.html
JPCERT/CC Alert 2014-10-15
Adobe Flash Player の脆弱性 (APSB14-22) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140040.html
2014年10月 Oracle Critical Patch Update について
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。詳細については、
Oracle が提供する情報を参照して下さい。
Oracle
Oracle Critical Patch Update Advisory - October 2014
http://www.oracle.com/technetwork/jp/topics/ojkbcpuoct2014-2332954-ja.html
独立行政法人情報処理推進機構 (IPA)
Oracle Java の脆弱性対策について(CVE-2014-6513等)
https://www.ipa.go.jp/security/ciadr/vul/20141015-jre.html
JPCERT/CC Alert 2014-10-15
2014年10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2014/at140041.html
SSL v3.0 プロトコルに暗号化データを解読される脆弱性
SSL v3.0 をサポートする製品は、中間者攻撃が可能な環境で、Padding
Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能
性があります。
対象となる製品は以下の通りです。
- SSL v3.0 をサポートしている製品
サーバもしくはクライアント、あるいはその両方で SSL v3.0 を無効にするこ
とで、POODLE 攻撃の影響を回避することができます。詳細については、使用
している製品のベンダや配布元が提供する情報を参照して下さい。
独立行政法人情報処理推進機構 (IPA)
SSL 3.0 の脆弱性対策について(CVE-2014-3566)
https://www.ipa.go.jp/security/announce/20141017-ssl.html
Google
This POODLE bites: exploiting the SSL 3.0 fallback
http://googleonlinesecurity.blogspot.co.uk/2014/10/this-poodle-bites-exploiting-ssl-30.html
US-CERT Alert (TA14-290A)
SSL 3.0 Protocol Vulnerability and POODLE Attack
https://www.us-cert.gov/ncas/alerts/TA14-290A
CERT/CC Vulnerability Note VU#577193
POODLE vulnerability in SSL 3.0
https://www.kb.cert.org/vuls/id/577193
OpenSSL に複数の脆弱性
OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行ったり、中間者攻撃を行ったりする可能性があ
ります。
対象となるバージョンは以下の通りです。
- OpenSSL 1.0.1j より前のバージョン
- OpenSSL 1.0.0o より前のバージョン
- OpenSSL 0.9.8zc より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに OpenSSL を更新することで解決します。詳細については、OS のベンダや
配布元が提供する情報を参照して下さい。
OpenSSL Project
OpenSSL Security Advisory [15 Oct 2014]
https://www.openssl.org/news/secadv_20141015.txt
複数の Apple 製品に脆弱性
複数の Apple 製品には脆弱性があります。結果として、遠隔の第三者が、任意
のコードを実行したり、中間者攻撃を実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- OS X Yosemite v10.10 より前のバージョン
- OS X Server v4.0 より前のバージョン
- OS X Server v3.2.2 より前のバージョン
- OS X Server v2.2.5 より前のバージョン
- iTunes 12.0.1 より前のバージョン (Windows 版)
この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する
ことで解決します。詳細については、Apple が提供する情報を参照して下さい。
Apple
Apple security updates
http://support.apple.com/kb/HT1222
Japan Vulnerability Notes JVNVU#97537282
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU97537282/
Mozilla 製品群に複数の脆弱性
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Firefox 33 より前のバージョン
- Firefox ESR 31.2 より前のバージョン
- Thunderbird 31.2 より前のバージョン
この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。
Mozilla Japan (2014 年 10 月 14 日)
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
PHP に複数の脆弱性
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行するなどの可能性があります。
対象となるバージョンは以下の通りです。
- PHP 5.6.2 より前のバージョン
- PHP 5.5.18 より前のバージョン
- PHP 5.4.34 より前のバージョン
この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細については、開発者や配布元が提供する情報を参
照して下さい。
PHP Group
PHP 5 ChangeLog Version 5.6.2
https://www.php.net/ChangeLog-5.php#5.6.2
PHP Group
PHP 5 ChangeLog Version 5.5.18
https://www.php.net/ChangeLog-5.php#5.5.18
PHP Group
PHP 5 ChangeLog Version 5.4.34
https://www.php.net/ChangeLog-5.php#5.4.34
Drupal に SQL インジェクションの脆弱性
Drupal には、SQL インジェクションの脆弱性があります。結果として、遠隔の
第三者が、当該製品が参照するデータベースに対して、任意の SQL コマンドを
実行する可能性があります。
対象となるバージョンは以下の通りです。
- Drupal 7.32 より前の 7 系のバージョン
この問題は、Drupal が提供する修正済みのバージョンに Drupal を更新する
ことで解決します。詳細については、Drupal が提供する情報を参照して下さ
い。
Drupal Security advisories
SA-CORE-2014-005 - Drupal core - SQL injection
https://www.drupal.org/SA-CORE-2014-005
JPCERT/CC Alert 2014-10-21
Drupal の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140042.html
GIGAPOD にサービス運用妨害 (DoS) の脆弱性
GIGAPOD の設定用 Web インターフェースには、脆弱性があります。結果とし
て、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となる製品およびバージョンは以下の通りです。
- GIGAPOD OFFICEHARD アプライアンス モデル バージョン 3.04.03 およびそれ以前
- GIGAPOD 2010 / GIGAPOD 3 アプライアンス モデル バージョン 3.01.02 およびそれ以前
- GIGAPOD 2010 / GIGAPOD 3 ソフトウェア モデル バージョン 3.01.02 およびそれ以前
この問題は、トライポッドワークス株式会社が提供する修正済みのバージョン
に該当する製品を更新することで解決します。詳細については、トライポッド
ワークス株式会社が提供する情報を参照して下さい。
トライポッドワークス株式会社
Apache HTTP Server のサービス運用妨害の脆弱性(CVE-2011-3192)に関する「GIGAPOD製品シリーズ」の対応状況
https://www.tripodworks.co.jp/news/2014/10/20141015-02.html
日米サイバーセキュリティシンポジウム 2014
「日米サイバーセキュリティシンポジウム 2014」が 10月31日に開催されます。
このシンポジウムは 10月8日の Weekly Report でご紹介した「情報セキュリ
ティ国際キャンペーン」の一環として開催されており、学生や若手エンジニア
を対象に、日米両政府のサイバーセキュリティ戦略の紹介やパネルディスカッ
ションが予定されています。
内閣官房情報セキュリティセンター
日米サイバーセキュリティシンポジウム 2014
http://www.nisc.go.jp/security-site/campaign/ussympo/index.html
JPCERT/CC
10月は「情報セキュリティ国際キャンペーン」
https://www.jpcert.or.jp/tips/2014/wr143901.html