-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-4301 JPCERT/CC 2014-11-06 <<< JPCERT/CC WEEKLY REPORT 2014-11-06 >>> ―――――――――――――――――――――――――――――――――――――― ■10/26(日)〜11/01(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】GNU Wget にシンボリックリンクの扱いに関する問題 【2】Ruby に複数の脆弱性 【3】Linksys SMART WiFi 対応ファームウェアに複数の脆弱性 【4】tnftp クライアントプログラムに OS コマンドインジェクションの脆弱性 【今週のひとくちメモ】「情報ネットワークの強さと弱さ  大規模自然災害からサイバー空間まで」シンポジウム開催 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr144301.html https://www.jpcert.or.jp/wr/2014/wr144301.xml ============================================================================ 【1】GNU Wget にシンボリックリンクの扱いに関する問題 情報源 CERT/CC Vulnerability Note VU#685996 GNU Wget creates arbitrary symbolic links during recursive FTP download https://www.kb.cert.org/vuls/id/685996 概要 GNU Wget には、シンボリックリンクの扱いに関する問題があります。結果と して、遠隔の第三者が、細工した FTP サーバから再帰的にファイルのダウン ロードを行わせることで、ユーザのローカルシステム上に任意のファイルを 作成したり上書きしたりする可能性があります。 対象となるバージョンは以下の通りです。 - GNU Wget 1.16 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージ ョンに GNU Wget を更新することで解決します。また、以下の回避策を適用す ることで、本問題の影響を軽減することが可能です。 - retr-symlinks オプションを使用する 詳細については、使用している OS のベンダや配布元が提供する情報を参照し て下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98581917 GNU Wget にシンボリックリンクの扱いに関する問題 https://jvn.jp/vu/JVNVU98581917/ 関連文書 (英語) GNU Project GNU Wget - News : GNU wget 1.16 released https://savannah.gnu.org/forum/forum.php?forum_id=8133 Rapid7 R7-2014-15: GNU Wget FTP Symlink Arbitrary Filesystem Access https://community.rapid7.com/community/metasploit/blog/2014/10/28/r7-2014-15-gnu-wget-ftp-symlink-arbitrary-filesystem-access 【2】Ruby に複数の脆弱性 情報源 Ruby CVE-2014-8080: REXML における XML 展開に伴うサービス不能攻撃について https://www.ruby-lang.org/ja/news/2014/10/27/rexml-dos-cve-2014-8080/ Ruby ext/openssl のデフォルト設定の変更について https://www.ruby-lang.org/ja/news/2014/10/27/changing-default-settings-of-ext-openssl/ 概要 Ruby には、複数の脆弱性があります。結果として、遠隔の第三者が、サービ ス運用妨害 (DoS) 攻撃を行ったり、中間者攻撃により暗号化された通信内容 の一部を解読したりする可能性があります。 対象となるバージョンは以下の通りです。 - Ruby 1.9.3 patchlevel 550 より前の Ruby 1.9 系列のバージョン - Ruby 2.0.0 patchlevel 594 より前の Ruby 2.0 系列のバージョン - Ruby 2.1.4 より前の Ruby 2.1 系列のバージョン - revision 48616 より前の開発版 (trunk) この問題は、開発者や配布元が提供する修正済みのバージョンに Ruby を更新 することで解決します。詳細については、開発者や配布元が提供する情報を参 照して下さい。 関連文書 (日本語) Ruby Ruby 1.9.3-p550 リリース https://www.ruby-lang.org/ja/news/2014/10/27/ruby-1-9-3-p550-is-released/ Ruby Ruby 2.0.0-p594 リリース https://www.ruby-lang.org/ja/news/2014/10/27/ruby-2-0-0-p594-is-released/ Ruby Ruby 2.1.4 リリース https://www.ruby-lang.org/ja/news/2014/10/27/ruby-2-1-4-released/ 【3】Linksys SMART WiFi 対応ファームウェアに複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#447516 Linksys SMART WiFi firmware contains multiple vulnerabilities https://www.kb.cert.org/vuls/id/447516 概要 Linksys EA シリーズで使用する Linksys SMART WiFi 対応ファームウェアに は複数の脆弱性が存在します。結果として、遠隔の第三者が、ルータ内の機微 な情報を取得したり、改ざんしたりする可能性があります。 影響を受ける製品は以下の通りです。 - EA2700 - EA3500 - E4200v2 - EA4500 - EA6200 - EA6300 - EA6400 - EA6500 - EA6700 - EA6900 この問題は、ベンダが提供する修正済みのバージョンに、当該製品のファーム ウェアを更新することで解決します。詳細については、ベンダが提供する情報 を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96488651 Linksys SMART WiFi 対応ファームウェアに複数の脆弱性 https://jvn.jp/vu/JVNVU96488651/ 【4】tnftp クライアントプログラムに OS コマンドインジェクションの脆弱性 情報源 NetBSD Security Advisory 2014-013 ftp(1) can be made to execute arbitrary commands by a malicious webserver http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2014-013.txt.asc 概要 tnftp クライアントプログラムには OS コマンドインジェクションの脆弱性が あります。結果として、遠隔の第三者が、ユーザのシステム上で任意のコマン ドを実行する可能性があります。 影響を受ける製品は以下のとおりです。 - tnftp クライアントプログラム この問題は、開発者や配布元が提供する修正済みのバージョンに tnftp クラ イアントプログラムを更新することで解決します。詳細については、開発者や 配布元が提供する情報を参照して下さい。 関連文書 (英語) NetBSD FTP Site Index of pub/NetBSD/misc/tnftp/index.html http://ftp.netbsd.org/pub/NetBSD/misc/tnftp/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「情報ネットワークの強さと弱さ  大規模自然災害からサイバー空間まで」シンポジウム開催 2014年11月12日(水)、明治大学において、国際総合研究所 情報ネットワーク の脆弱性問題研究会主催のシンポジウムが開催されます。JPCERT/CC は、本シ ンポジウムに協力しており、講師も務めています。 申込みの締め切りは 11月7日(金) までです。 参考文献 (日本語) 明治大学 国際総合研究所 「情報ネットワークの強さと弱さ  大規模自然災害からサイバー空間まで」シンポジウム開催案内 https://www.meiji.ac.jp/miga/news/2014/6t5h7p00000hz9b4.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUWsv0AAoJEDF9l6Rp7OBIiKsIAI3YX21G3MlVKt2Am2+ImmXO S38WJJYrjwGn6DljZxCryv+B5gbyZdsbGQX2fiZ7LqMRsrfhjzhQ+WIFzEK0pW4s Jb638uuKaCgb87DaS0YDfnwhVKfS4C82WOOkwqLd0wVkMTVH/e7G0rmVwKxOnWPo CF/lm8TbzUzEpbU9BtiKqodqKD8VIE0+A1QBCxtYjSmW1BfBJeitj8Y9z6tzCzjN wWaCDzdcLcgAfvdJECiArdvHgwS1fcC/5WH2zzr2x0KOpsH5QBkaXUonud61uyJT AlqqS+fVsOxoapfYubWaZkh6lITIh6GysOZ43yaDQwcG+QBuFkgU7vry+SBcnY4= =6V+w -----END PGP SIGNATURE-----