<<< JPCERT/CC WEEKLY REPORT 2014-12-17 >>>
■12/07(日)〜12/13(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の DNS 実装にサービス運用妨害 (DoS) の脆弱性
【4】Apple の Safari に複数の脆弱性
【5】複数の VMware 製品に脆弱性
【6】Docker に複数の脆弱性
【7】Honeywell OPOS Suite にスタックバッファオーバーフローの脆弱性
【今週のひとくちメモ】第10回 IPA 「ひろげよう情報モラル・セキュリティコンクール」受賞作品決定
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr144901.txt
https://www.jpcert.or.jp/wr/2014/wr144901.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases December 2014 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2014/12/09/Microsoft-Releases-December-2014-Security-Bulletin
概要
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Exchange - Microsoft Office - Internet Explorer この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。
関連文書 (日本語)
マイクロソフト株式会社
2014 年 12 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms14-DecJPCERT/CC Alert 2014-12-10
2014年12月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140051.html
【2】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Flash, Reader, Acrobat, and ColdFusion
https://www.us-cert.gov/ncas/current-activity/2014/12/09/Adobe-Releases-Security-Updates-Reader-and-Acrobat
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 15.0.0.242 およびそれ以前 (Windows版、Macintosh版) - Adobe Flash Player 13.0.0.258 およびそれ以前 (Windows版、Macintosh版) - Adobe Flash Player 11.2.202.424 およびそれ以前 (Linux版) - Adobe Reader XI(11.0.09)およびそれ以前 - Adobe Reader X(10.1.12)およびそれ以前 - Adobe Acrobat XI(11.0.09)およびそれ以前 - Adobe Acrobat X(10.1.12)およびそれ以前 - ColdFusion 11 および 10 この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。
関連文書 (日本語)
Adobeセキュリティ情報
Adobe Flash Player用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb14-27.htmlAdobeセキュリティ情報
Adobe ReaderおよびAcrobat用セキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/reader/apsb14-28.htmlAdobeセキュリティ情報
セキュリティアップデート:ColdFusion用ホットフィックス公開
https://helpx.adobe.com/jp/security/products/coldfusion/apsb14-29.htmlJPCERT/CC Alert 2014-12-10
Adobe Flash Player の脆弱性 (APSB14-27) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140052.htmlJPCERT/CC Alert 2014-12-10
Adobe Reader および Acrobat の脆弱性 (APSB14-28) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140053.html
【3】複数の DNS 実装にサービス運用妨害 (DoS) の脆弱性
情報源
CERT/CC Vulnerability Note VU#264212
Recursive DNS resolver implementations may follow referrals infinitely
https://www.kb.cert.org/vuls/id/264212
概要
複数の DNS 実装には、ドメインの委任を参照する名前解決を無限に繰り返し てしまう脆弱性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - 再帰的な名前解決を行う DNS リゾルバ ※ 以下に挙げる製品は、本脆弱性の影響を受けることが確認されており、 修正版が提供されています。 - BIND 9 - Unbound - PowerDNS Recursor この問題は、各ベンダが提供する修正済みのバージョンに製品を更新すること で解決します。詳細については、各ベンダが提供する情報を参照して下さい。
関連文書 (日本語)
株式会社日本レジストリサービス (JPRS)
(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費)について(2014年12月9日公開)
http://jprs.jp/tech/security/2014-12-09-multiple-impl-vuln-delegation-limit.htmlJPNIC
"複数の"DNS実装におけるサービス不能(DoS)脆弱性について(2014年12月)
https://www.nic.ad.jp/ja/topics/2014/20141209-02.htmlJapan Vulnerability Notes JVNVU#91812636
再帰的名前解決を行う DNS リゾルバの実装に名前解決を無限に繰り返す問題
https://jvn.jp/vu/JVNVU91812636/JPCERT/CC Alert 2014-12-09
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2014-8500) に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140050.html
関連文書 (英語)
Internet Systems Consortium, Inc. (ISC)
CVE-2014-8500: A Defect in Delegation Handling Can Be Exploited to Crash BIND
https://kb.isc.org/article/AA-01216NLnet Labs
The CVE number for this vulnerability is CVE-2014-8602.
https://unbound.net/downloads/CVE-2014-8602.txtPowerDNS
PowerDNS Security Advisory 2014-02: PowerDNS Recursor 3.6.1 and earlier can be made to provide bad service
https://doc.powerdns.com/md/security/powerdns-advisory-2014-02/
【4】Apple の Safari に複数の脆弱性
情報源
Apple
About the security content of Safari 8.0.2, Safari 7.1.2, and Safari 6.2.2
http://support.apple.com/en-us/HT6597
概要
Apple の Safari には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となるバージョンは以下の通りです。 - Safari 8.0.2 より前のバージョン - Safari 7.1.2 より前のバージョン - Safari 6.2.2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Safari を更新するこ とで解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92305751
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU92305751/
【5】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates for vCenter Server, vCenter Server Appliance, and ESXi
https://www.us-cert.gov/ncas/current-activity/2014/12/05/VMware-Releases-Security-Updates-vCenter-Server-vCenter-ServerUS-CERT Current Activity
VMware Releases Updates for vCAC
https://www.us-cert.gov/ncas/current-activity/2014/12/09/VMware-Releases-Updates-vCAC
概要
複数の VMware 製品には、脆弱性があります。結果として、管理画面にログイ ン可能なユーザがより高い権限を取得するなどの可能性があります。 対象となる製品は以下の通りです。 - vCenter Server - vCenter Server Appliance - ESXi - vCenter Update Manager - vCloud Automation Center - AirWatch この問題は、VMware が提供する修正済みのバージョンに該当の製品を更新す ることで解決します。詳細については、VMware が提供する情報を参照して下 さい。
関連文書 (英語)
VMware Security Advisories
VMware vSphere product updates address security vulnerabilities
https://www.vmware.com/security/advisories/VMSA-2014-0012.htmlVMware Security Advisories
VMware vCloud Automation Center product updates address a critical remote privilege escalation vulnerability
https://www.vmware.com/security/advisories/VMSA-2014-0013.htmlVMware Security Advisories
AirWatch by VMware product update addresses information disclosure vulnerabilities
https://www.vmware.com/security/advisories/VMSA-2014-0014.html
【6】Docker に複数の脆弱性
情報源
US-CERT Current Activity
Docker Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2014/12/12/Docker-Releases-Security-Updates
概要
Docker には、複数の脆弱性があります。結果として、遠隔の第三者が、細工 したイメージをユーザに読み込ませることで、任意のコードを実行するなどの 可能性があります。 対象となるバージョンは以下の通りです。 - Docker 1.3.3 より前のバージョン この問題は、Docker が提供する修正済みのバージョンに Docker を更新する ことで解決します。詳細については、Docker が提供する情報を参照して下さ い。
関連文書 (英語)
Docker
Release Notes Version 1.4.0
https://docs.docker.com/release-notes/#version-140Docker
Release Notes Version 1.3.3
https://docs.docker.com/release-notes/#version-133
【7】Honeywell OPOS Suite にスタックバッファオーバーフローの脆弱性
情報源
CERT/CC Vulnerability Note VU#659684
Honeywell OPOS suite Stack Buffer Overflow vulnerability
https://www.kb.cert.org/vuls/id/659684
概要
Honeywell OPOS Suite には、スタックバッファオーバーフローの脆弱性があ ります。結果として、遠隔の第三者が、任意のコードを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - Honeywell OPOS Suite 1.13.4.15 より前のバージョン この問題は、Honeywell が提供する修正済みのバージョンに Honeywell OPOS Suite を更新することで解決します。詳細については、Honeywell が提供する 情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98107585
Honeywell OPOS Suite にスタックバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU98107585/
関連文書 (英語)
Honeywell
Software Download
https://www.honeywellaidc.com/forms/HSMDownloadForm.aspx?df=CatalogDocuments/Honeywell%20OPOS%20Suite_1_13_4_15.zip
■今週のひとくちメモ
○第10回 IPA 「ひろげよう情報モラル・セキュリティコンクール」受賞作品決定
2014年12月10日、独立行政法人情報処理推進機構 (IPA) は、第10回 IPA「ひ ろげよう情報モラル・セキュリティコンクール」の受賞作品を決定し、公開し ました。 このコンクールは、小学生から高校生、高専生までを対象とし、コンクール作 品の制作による情報セキュリティ意識の向上を目的として、2006年から開催 されています。 受賞作品の掲載ページでは、書写 (硬筆) や標語、ポスター、4コマ漫画など 様々な部門の作品が掲載されています。JPCERT/CC もこのコンクールを後援し ており、優秀賞を選出しています。なかでも、ひとくちメモ担当者のお気に入 りは4コマ漫画部門の優秀賞作品です。
参考文献 (日本語)
独立行政法人情報処理推進機構 (IPA)
「ひろげよう情報モラル・セキュリティコンクール」 第10回受賞作品決定
https://www.ipa.go.jp/about/press/20141210.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/