JPCERT-WR-2015-0101
2015-01-07
2014-12-21
2015-01-03
Git クライアントおよび Mercurial クライアントに脆弱性
Git クライアントおよび Mercurial クライアントには脆弱性があります。結
果として、第三者が、細工したリポジトリデータにローカルリポジトリを同期
させることでメタ情報を上書きし、クライアントマシン上で任意のコマンドを
実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Git 1.8.5.6 より前のバージョン
- Git 1.9.5 より前のバージョン
- Git 2.0.5 より前のバージョン
- Git 2.1.4 より前のバージョン
- Git 2.2.1 より前のバージョン
- Mercurial 3.2.3 より前のバージョン
この問題は、開発者が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、開発者が提供する情報を参照して下さ
い。
Git Blame
Git 1.8.5.6, 1.9.5, 2.0.5, 2.1.4 and 2.2.1 and thanking friends in Mercurial land
http://git-blame.blogspot.com.es/2014/12/git-1856-195-205-214-and-221-and.html
Apple
About the security content of Xcode 6.2 beta 3
http://support.apple.com/en-us/HT204147
Microsoft
Git vulnerability with .git config
http://blogs.msdn.com/b/bharry/archive/2014/12/18/git-vulnerability-with-git-config.aspx
Mercurial Release Notes
2. Mercurial 3.2.3 (2014-12-18)
http://mercurial.selenic.com/wiki/WhatsNew#Mercurial_3.2.3_.282014-12-18.29
Mercurial 日本語ユーザグループ
【緊急セキュリティ対処】 Mercurial 3.2.3 is released !
https://groups.google.com/forum/#!topic/mercurial-ja/GWE55H-hNp8
「ntpd に複数の脆弱性」に関する追加情報
JPCERT/CC WEEKLY REPORT 2014-12-25号【1】で紹介した「ntpd に複数の脆弱
性」に関する追加情報です。
Apple が Mac OS X 向けのアップデートを 2014年12月22日に公開しました。
詳細については、Apple が提供する情報を参照して下さい。
Apple
About OS X NTP Security Update
http://support.apple.com/en-us/HT6601
担当者が選ぶ 2014年重大ニュース
2015年が始まりました。この場をお借りして、担当者が選んだ 2014年の重大
ニュースを紹介したいと思います。
- Windows XP および関連製品のサポート終了
2014年4月9日で、Windows XP のサポートが終了しました。あわせて Microsoft
Office 2003、Windows XP 向け Internet Explorer 6 もサポートが終了し
ました。
Microsoft
Windows XP と Office 2003 のサポートを終了させていただきました
https://www.microsoft.com/ja-jp/windows/lifecycle/xp_eos.aspx
- Heartbleed、Shellshock など影響の大きい脆弱性が複数発見
OpenSSL や Bash など、企業の Web サイトやシステムで広く使われている
複数のソフトウェアに、重大な脆弱性が見つかり話題となりました。
JPCERT/CC
OpenSSL の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140013.html
JPCERT/CC
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html
- 大規模な個人情報漏えい事件発生と個人情報保護ガイドライン改正
大規模な個人情報漏えい事件が複数発生し、大きなニュースになりました。
これらの個人情報漏えい事件発生などをうけ、経済産業省では、経済産業分
野の個人情報保護ガイドラインを改正しています。
経済産業省
経済産業分野の「個人情報保護ガイドライン」を改正しました
http://www.meti.go.jp/press/2014/12/20141212002/20141212002.html
- 国際的なボットネットのテイクダウン作戦開始
インターネットバンキングに係わる不正送金事案に使用されているとみられ
る「Game Over Zeus」が世界的に蔓延していることをうけ、国際的なボット
ネットのテイクダウン作戦を開始しました。
JPCERT/CC
国際的なボットネットのテイクダウン作戦
https://www.jpcert.or.jp/pr/2014/pr140002.html
- パスワードリスト攻撃による不正ログイン多発
複数のインターネットサービスで同じパスワードを使い回していることが原
因で生じる不正なログイン、いわゆるパスワードリスト攻撃による被害が多
発しました。
JPCERT/CC
STOP!! パスワード使い回し!! パスワードリスト攻撃による不正ログイン防
止に向けた呼びかけ
https://www.jpcert.or.jp/pr/2014/pr140004.html
JPCERT/CC
「STOP!パスワード使い回し!」キャンペーンにご賛同いただける企業の募集
https://www.jpcert.or.jp/pr/2014/pr140005.html
- サイバーセキュリティ基本法が成立
2014年11月6日、サイバーセキュリティ基本法が成立しました。国の行政機
関等におけるサイバーセキュリティの確保、教育および学習の振興・普及啓
発、国際協力の推進などの施策が盛り込まれています。
衆議院
サイバーセキュリティ基本法案
http://www.shugiin.go.jp/internet/itdb_gian.nsf/html/gian/honbun/houan/g18601035.htm
内閣官房情報セキュリティセンター
サイバーセキュリティ基本法案の概要
http://www.nisc.go.jp/conference/seisaku/dai40/pdf/40shiryou0102.pdf
- ドメイン名ハイジャック発生
国内組織が使用している .com ドメイン名の登録情報が不正に書き換えられ
るドメイン名ハイジャックのインシデントが複数発生しました。
JPCERT/CC
登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起
https://www.jpcert.or.jp/at/2014/at140044.html
- 日本発のセキュリティ国際会議 CODE BLUE 開催
2014年2月、セキュリティ国際会議 CODE BLUE が開催されました。この会議
は、国内の優れたセキュリティ研究および専門家を海外に発信することを目
的のひとつに掲げており、12月には第2回が開催されました。
CODE BLUE
世界トップクラスの専門家による情報セキュリティ国際会議「CODE BLUE(コードブルー)」
http://codeblue.jp/
- サイバーセキュリティ対策活動への協力者に感謝状贈呈
JPCERT/CC では、サイバーセキュリティインシデントの被害低減に大きく貢
献した方に感謝の意を表する「JPCERT/CC 感謝状制度」を、2014年4月に制
定しました。2014年は 2名の方に感謝状を贈呈させていただきました。
JPCERT/CC
サイバーセキュリティ対策活動への協力者に感謝状贈呈
-「JPCERT/CC 感謝状制度」を制定 -
https://www.jpcert.or.jp/press/priz/2014/PR20140703-priz.html
- FIRST 理事に JPCERT/CC 小宮山功一朗が就任
国際的な CSIRT フォーラム FIRST の総会が 2014年6月に開催され、10人の
理事のうち半数が改選されました。この選挙で、新たな理事の一人として、
JPCERT/CC の小宮山功一朗が選ばれました。
FIRST
FIRST.Org, Inc., Board of Directors
http://www.first.org/about/organization/directors
本年が皆様にとって良い年になることを、編集担当一同祈っております。本年も
Weekly Report をどうぞよろしくお願いします。