JPCERT-WR-2015-1201
2015-03-25
2015-03-15
2015-03-21
OpenSSL に複数の脆弱性
OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行ったり、暗号通信を盗聴したりするなどの可能
性があります。
対象となるバージョンは以下の通りです。
- OpenSSL 1.0.2a より前のバージョン
- OpenSSL 1.0.1m より前のバージョン
- OpenSSL 1.0.0r より前のバージョン
- OpenSSL 0.9.8zf より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン
に OpenSSL を更新することで解決します。詳細については、開発者が提供する
情報を参照して下さい。
Japan Vulnerability Notes JVNVU#95877131
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU95877131/
OpenSSL Project
OpenSSL Security Advisory [19 Mar 2015]
https://openssl.org/news/secadv_20150319.txt
複数の Apple 製品に脆弱性
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- OS X Yosemite v10.10.2 より前のバージョン
- Safari 8.0.4 より前のバージョン
- Safari 7.1.4 より前のバージョン
- Safari 6.2.4 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Apple が提供する情報を参照して下さ
い。
Japan Vulnerability Notes JVNVU#93102213
Apple OS X における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93102213/
Apple
About Security Update 2015-003
https://support.apple.com/en-us/HT204563
Japan Vulnerability Notes JVNVU#99221748
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99221748/
Apple
About the security content of Safari 8.0.4, Safari 7.1.4, and Safari 6.2.4
https://support.apple.com/en-is/HT204560
Mozilla 製品群に複数の脆弱性
Mozilla 製品群には、複数の脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Firefox 36.0.4 より前のバージョン
- Firefox ESR 31.5.3 より前のバージョン
- SeaMonkey 2.33.1 より前のバージョン
この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 3 月 20 日)
http://www.mozilla-japan.org/security/announce/
PHP に複数の脆弱性
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行するなどの可能性があります。
対象となるバージョンは以下の通りです。
- PHP 5.6.7 より前のバージョン
- PHP 5.5.23 より前のバージョン
- PHP 5.4.39 より前のバージョン
この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細については、開発者や配布元が提供する情報を参
照して下さい。
PHP Group
PHP 5 ChangeLog Version 5.6.7
https://php.net/ChangeLog-5.php#5.6.7
PHP Group
PHP 5 ChangeLog Version 5.5.23
https://php.net/ChangeLog-5.php#5.5.23
PHP Group
PHP 5 ChangeLog Version 5.4.39
https://php.net/ChangeLog-5.php#5.4.39
Drupal に複数の脆弱性
Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、認証
を回避して他のユーザとしてアクセスするなどの可能性があります。
対象となるバージョンは以下の通りです。
- Drupal 6.35 より前の 6 系のバージョン
- Drupal 7.35 より前の 7 系のバージョン
この問題は、Drupal が提供する修正済みのバージョンに Drupal を更新する
ことで解決します。詳細については、Drupal が提供する情報を参照して下さ
い。
Drupal Security advisories
Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2015-001
https://www.drupal.org/SA-CORE-2015-001
LINE に脆弱性
LINE には、脆弱性があります。結果として、遠隔の第三者が、中間者攻撃を行
うことによって情報を取得するなどの可能性があります。
対象となるバージョンは以下の通りです。
- Android 版 LINE バージョン 5.0.2 およびそれ以前
- iOS 版 LINE バージョン 5.0.0 およびそれ以前
この問題は、LINE 株式会社が提供する修正済みのバージョンに LINE を更新す
ることで解決します。詳細については、LINE 株式会社が提供する情報を参照し
て下さい。
LINE 公式ブログ
<セキュリティ情報>LINEの脆弱性と修正完了に関するお知らせ
http://official-blog.line.me/ja/archives/24809761.html
複数の D-Link 製品に脆弱性
複数の D-Link 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- DCS-930L A1 v1.12 より前のバージョン
- DCS-931L A1 v1.07 より前のバージョン
- DCS-932L A1 v1.10 より前のバージョン
- DCS-933L A1 v1.07 より前のバージョン
- DAP-1320 Ax v1.21b01 より前のバージョン
この問題は、該当する製品のファームウェアを D-Link が提供する修正済みの
バージョンに更新することで解決します。詳細については、D-Link が提供する
情報を参照して下さい。
Japan Vulnerability Notes JVNVU#97897252
D-Link DCS-93xL シリーズにファイルアップロードの脆弱性
https://jvn.jp/vu/JVNVU97897252/
D-Link
DCS-931L - Allows Authenticated User Unrestricted File Upload - CSRF - FW 1.04 and Older
http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10049
Japan Vulnerability Notes JVNVU#98312907
D-Link DAP-1320 Rev Ax に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU98312907/
D-Link
DAP-1320 - Rev Ax - Command Injection - FW 1.11
http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10050
HP ArcSight アプライアンス製品に複数の脆弱性
HP ArcSight アプライアンス製品には、複数の脆弱性があります。結果として、
ログイン可能なユーザが、任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- HP ArcSight Enterprise Security Manager (ESM) v6.8c より前のバージョン
- HP ArcSight Logger v6.0P1 より前のバージョン
この問題は、HP が提供する修正済みのバージョンに該当する製品を更新するこ
とで解決します。詳細については、HP が提供する情報を参照して下さい。
Japan Vulnerability Notes JVNVU#99249829
HP ArcSight アプライアンス製品に複数の脆弱性
https://jvn.jp/vu/JVNVU99249829/
HP Support Center
HPSBGN03249 rev.1 - HP ArcSight Enterprise Security Manager and Logger, Multiple Remote Vulnerabilities
https://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04562193
EMET 5.2 リリース
2015年3月18日、Microsoft は、Windows 上で動作するアプリケーションの脆
弱性の影響を緩和するためのツール (Enhanced Mitigation Experience
Toolkit: 以下 EMET) の新バージョン EMET 5.2 をリリースしました。
EMET 5.2 では、コードハイジャックを検出/遮断する機能や、Attack Surface
Reduction (ASR) の機能などが強化されています。
マイクロソフト 日本のセキュリティチーム
EMET 5.2 公開しました
http://blogs.technet.com/b/jpsecurity/archive/2015/03/18/emet-5-2-released.aspx
マイクロソフト セキュリティ TechCenter
Enhanced Mitigation Experience Toolkit
https://technet.microsoft.com/ja-jp/security/jj653751