JPCERT-WR-2015-0901
2015-03-04
2015-02-22
2015-02-28
Samba に任意のコードが実行可能な脆弱性
Samba には、任意のコードが実行可能な脆弱性があります。結果として、遠隔
の第三者が、細工したパケットを送信することで、任意のコードを実行する可
能性があります。
対象となるバージョンは以下の通りです。
- Samba 4.1.17 より前のバージョン
- Samba 4.0.25 より前のバージョン
- Samba 3.6.25 より前のバージョン
この問題は、開発者が提供する修正済みのバージョンに Samba を更新するこ
とで解決します。詳細については、開発者が提供する情報を参照して下さい。
Samba
Unexpected code execution in smbd.
https://www.samba.org/samba/security/CVE-2015-0240
Mozilla 製品群に複数の脆弱性
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Firefox 36 より前のバージョン
- Firefox ESR 31.5 より前のバージョン
- Thunderbird 31.5 より前のバージョン
この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 2 月 24 日)
http://www.mozilla-japan.org/security/announce/
複数の Cisco 製品に脆弱性
複数の Cisco 製品には脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Cisco Carrier Routing System (IOS XR 5.3.0 より前のバージョン)
- Cisco Network Convergence System 6000 シリーズ ルータ (IOS XR 5.2.3 より前のバージョン)
この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Cisco が提供する情報を参照して下さ
い。
Cisco Security Advisory
Cisco IOS XR Software IPv6 Malformed Packet Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150220-ipv6
SEIL シリーズルータにサービス運用妨害 (DoS) の脆弱性
SEIL シリーズルータには、サービス運用妨害 (DoS) の脆弱性があります。結
果として、遠隔の第三者が、細工した SSTP パケットを送信することで、サー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となる製品およびバージョンは以下の通りです。
- SEIL/x86 Fuji 1.00 から 3.30 まで
- SEIL/X1 3.50 から 4.70 まで
- SEIL/X2 3.50 から 4.70 まで
- SEIL/B1 3.50 から 4.70 まで
この問題は、株式会社インターネットイニシアティブが提供する修正済みのバー
ジョンにファームウェアを更新することで解決します。詳細については、株式
会社インターネットイニシアティブが提供する情報を参照して下さい。
株式会社インターネットイニシアティブ
SSTPパケットの受信処理における脆弱性
http://www.seil.jp/support/security/a01541.html
複数の東芝製品に権限昇格の脆弱性
複数の東芝製品には、権限昇格の脆弱性があります。結果として、ログイン可
能なユーザが、細工したアプリケーションを使用することで、より高い権限を
取得する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Bluetoooth Stack for Windows by Toshiba v9.10.27 およびそれ以前
- TOSHIBA Service Station v2.2.13 およびそれ以前
この問題は、開発者や配布元が提供する修正済みのバージョンに該当する製品
を更新することで解決します。詳細については、開発者や配布元が提供する情
報を参照して下さい。
株式会社東芝
Bluetooth Stack for Windows by Toshiba、TOSHIBA Service Station をお使いのお客様への重要なお知らせ
http://dynabook.com/assistpc/info/2015/20150226.htm
CERT/CC Vulnerability Note VU#632140
Multiple Toshiba products are vulnerable to trusted service path privilege escalation
https://www.kb.cert.org/vuls/id/632140
日本語版 Zen Cart にクロスサイトスクリプティングの脆弱性
日本語版 Zen Cart には、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、管理者としてログインしているユーザのブラウ
ザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Zen Cart v1.5.1 ja およびそれ以前
- Zen Cart v1.3.0.2 jp8 およびそれ以前
この問題は、開発者が提供する修正済みのバージョンに、日本語版 Zen Cart
を更新することで解決します。v1.5.1 ja については、2015年2月13日に修正
版が公開されています。詳細については、開発者が提供する情報を参照して下
さい。
Zen-Cart.JP
公式配布を1.5.1に変更しました
http://zen-cart.jp/bbs/viewtopic.php?f=1&t=6181
Adtrustmedia PrivDog に SSL サーバ証明書の検証不備の脆弱性
Adtrustmedia PrivDog には、SSL サーバ証明書の検証不備の脆弱性がありま
す。結果として、遠隔の第三者が、中間者攻撃を行うことによって、暗号通信
を盗聴する可能性があります。
対象となるバージョンは以下の通りです。
- PrivDog 3.0.96.0
- PrivDog 3.0.97.0
この問題は、Adtrustmedia が提供する修正済みのバージョンに PrivDog を更
新することで解決します。詳細については、Adtrustmedia が提供する情報を
参照して下さい。
Japan Vulnerability Notes JVNVU#91326102
Adtrustmedia PrivDog に SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/vu/JVNVU91326102/
PrivDog
PrivDog Security Advisory (Threat level: LOW)
http://www.privdog.com/advisory.html
jBCrypt に脆弱性
jBCrypt には、ハッシュ計算の実装に問題があります。特定の設定ではハッシュ
値のストレッチング処理が正しく行われなくなるため、総当たり攻撃によって
容易にパスワードを解読される可能性があります。
対象となるバージョンは以下の通りです。
- jBCrypt-0.3 およびそれ以前
この問題は、開発者が提供する修正済みのバージョンに jBCrypt を更新する
ことで解決します。詳細については、開発者が提供する情報を参照して下さい。
mindrot.org
jBCrypt: jBCrypt-0.4
http://www.mindrot.org/projects/jBCrypt/news/rel04.html
Ruby 1.9.3 サポート終了
2015年2月23日、Ruby 1.9.3 のすべてのサポートが終了しました。1.9.3 には、
今後、バグ修正やセキュリティ修正は行われません。Ruby の開発チームは、
すみやかに Ruby 2.0.0 以上にアップグレードすることを推奨しています。
Ruby
Ruby 1.9.3 のサポート終了について
https://www.ruby-lang.org/ja/news/2015/02/23/support-for-ruby-1-9-3-has-ended/