-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-0401 JPCERT/CC 2015-01-28 <<< JPCERT/CC WEEKLY REPORT 2015-01-28 >>> ―――――――――――――――――――――――――――――――――――――― ■01/18(日)〜01/24(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Flash Player に脆弱性 【2】2015年1月 Oracle Critical Patch Update について 【3】PHP に複数の脆弱性 【4】Windows 向け iPass Open Mobile クライアントに任意のコードが実行可能な脆弱性 【5】QPR Portal に複数の脆弱性 【今週のひとくちメモ】JANOG NTP 情報交換 WG 成果物へのコメント募集 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr150401.html https://www.jpcert.or.jp/wr/2015/wr150401.xml ============================================================================ 【1】Adobe Flash Player に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player https://www.us-cert.gov/ncas/current-activity/2015/01/22/Adobe-Releases-Security-Updates-Flash-Player 概要 Adobe Flash Player には、任意のコードが実行可能な脆弱性があります。結果 として、遠隔の第三者が、細工したコンテンツをユーザに開かせることで、任 意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 16.0.0.287 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 13.0.0.262 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.438 およびそれ以前 (Linux 版) この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供する情報を参照 して下さい。 関連文書 (日本語) Adobeセキュリティ情報 Adobe Flash Playerに関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb15-02.html Adobeセキュリティ情報 Adobe Flash Playerに関するセキュリティ情報 (APSA15-01) https://helpx.adobe.com/jp/security/products/flash-player/apsa15-01.html 関連文書 (英語) Adobe Product Security Incident Response Team (PSIRT) Blog UPDATED: Security Advisory for Adobe Flash Player (APSA15-01) https://blogs.adobe.com/psirt/?p=1160 【2】2015年1月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Oracle Releases January 2015 Security Advisory https://www.us-cert.gov/ncas/current-activity/2015/01/20/Oracle-Releases-January-2015-Security-Advisory 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update が公開されました。詳細については、Oracle が提供する情報を参照して下さい。 関連文書 (日本語) Oracle Oracle Critical Patch Update Advisory - January 2015 http://www.oracle.com/technetwork/jp/topics/ojkbcpujan2015-2407696-ja.html JPCERT/CC Alert 2015-01-21 2015年1月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2015/at150003.html 【3】PHP に複数の脆弱性 情報源 PHP Group PHP 5.6.5 is available https://php.net/index.php#id2015-01-22-2 PHP Group PHP 5.5.21 is released https://php.net/index.php#id2015-01-22-1 PHP Group PHP 5.4.37 Released https://php.net/index.php#id2015-01-22-3 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性がありま す。 対象となるバージョンは以下の通りです。 - PHP 5.6.5 より前のバージョン - PHP 5.5.21 より前のバージョン - PHP 5.4.37 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細については、開発者や配布元が提供する情報を参 照して下さい。 関連文書 (英語) PHP Group PHP 5 ChangeLog Version 5.6.5 https://php.net/ChangeLog-5.php#5.6.5 PHP Group PHP 5 ChangeLog Version 5.5.21 https://php.net/ChangeLog-5.php#5.5.21 PHP Group PHP 5 ChangeLog Version 5.4.37 https://php.net/ChangeLog-5.php#5.4.37 【4】Windows 向け iPass Open Mobile クライアントに任意のコードが実行可能な脆弱性 情報源 CERT/CC Vulnerability Note VU#110652 iPass Open Mobile Windows Client contains a remote code execution vulnerability https://www.kb.cert.org/vuls/id/110652 概要 Windows 向け iPass Open Mobile クライアントには、脆弱性があります。結 果として、SYSTEM 権限を持たないユーザが、SYSTEM 権限で任意のコードを実 行する可能性があります。 対象となるバージョンは以下の通りです。 - iPass Open Mobile Windows Client version 2.4.4 およびそれ以前 この問題は、iPass 社が提供する修正済みのバージョンに iPass Open Mobile クライアントを更新することで解決します。詳細については、開発者が提供す る情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92114748 Windows 向け iPass Open Mobile クライアントに任意のコード実行の脆弱性 https://jvn.jp/vu/JVNVU92114748/ 【5】QPR Portal に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#546340 QPR Portal contains multiple vulnerabilities https://www.kb.cert.org/vuls/id/546340 概要 QPR Portal には、複数の脆弱性があります。結果として、遠隔の第三者が、 認証を回避して任意のファイルを操作したり、ユーザのブラウザ上で任意のス クリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - QPR Portal 2014.1.1 およびそれ以前 この問題は、QPR Software が提供する修正済みのバージョンに QPR Portal を 更新することで解決します。詳細については、QPR Software が提供する情報を 参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94001499 QPR Portal に複数の脆弱性 https://jvn.jp/vu/JVNVU94001499/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JANOG NTP 情報交換 WG 成果物へのコメント募集 日本ネットワーク・オペレーターズ・グループ (JANOG) の NTP 情報交換 WG では、NTP Reflection DDoS 攻撃に関する解説ドキュメントを作成し、1月14日 から16日まで開催された JANOG35 Meeting でのレビューを経て、このドキュ メントに対するコメント募集を開始しました。 今回は、重要な観点が抜けていないか、解釈や認識に問題がないか、などに関 して JANOG 参加者からのコメントを求めており、今後、より広く一般向けに 公開する予定となっています。現段階の資料は JANOG35 Meeting のサイトで 公開されていますので、参考にご覧になってみてはいかがでしょうか。 参考文献 (日本語) JANOG35 Meeting NTP Reflection Attackをとりまく状況とISPにおける対応、NTP情報交換WGの活動報告 https://www.janog.gr.jp/meeting/janog35/program/ntpwg/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUx4mBAAoJEDF9l6Rp7OBIl8oIAKQ06DAo5/DZA3nPi7CsK0aN e+c1xNURegxsMzYG20NmXewumP2r3T5dSpT7+yJNeUFPhcWTzbr1PKVnXbHsmht5 Ke6AESeP5m1BXzedJkWSLhNmbArys6owDx4OIM6oZN/wtPd2vq14BMA3giUPySlk 9YZnhnP1R1M77x1dCrlqJMet2aFm0TiLyEED39F0wHIPEudgJD7/ztYTF2m20q1R PebrNp4O0zq/2GQfkKpmyrsR33V6gpfVgGURcfRBuQwau+hRDg2sMZ545EpYf4U0 7lDLLDv+p2icT+/3XxOmzHCErAuZX7g6ghXIrOT+aQlimA/ujdlep+aY1nF81E4= =pM4q -----END PGP SIGNATURE-----