-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-1501 JPCERT/CC 2015-04-15 <<< JPCERT/CC WEEKLY REPORT 2015-04-15 >>> ―――――――――――――――――――――――――――――――――――――― ■04/05(日)〜04/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Apple 製品に脆弱性 【2】ntpd に複数の脆弱性 【3】Lhaplus に複数の脆弱性 【4】WordPress 用プラグイン WP Super Cache にクロスサイトスクリプティングの脆弱性 【5】S2Struts の Validator に脆弱性 【今週のひとくちメモ】なりすましECサイト対策協議会「なりすましECサイト 対策マニュアル」公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr151501.html https://www.jpcert.or.jp/wr/2015/wr151501.xml ============================================================================ 【1】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for OS X, iOS, Safari, and Apple TV https://www.us-cert.gov/ncas/current-activity/2015/04/08/Apple-Releases-Security-Updates-OS-X-iOS-Safari-and-Apple-TV 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Safari 8.0.5 より前のバージョン - Safari 7.1.5 より前のバージョン - Safari 6.2.5 より前のバージョン - OS X Yosemite v10.10.3 より前のバージョン - iOS 8.3 より前のバージョン - Apple TV 7.2 より前のバージョン - Xcode 6.3 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する ことで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91828320 複数の Apple 製品の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU91828320/ 関連文書 (英語) Apple About the security content of Safari 8.0.5, Safari 7.1.5, and Safari 6.2.5 https://support.apple.com/en-us/HT204658 Apple About the security content of OS X Yosemite v10.10.3 and Security Update 2015-004 https://support.apple.com/en-us/HT204659 Apple About the security content of iOS 8.3 https://support.apple.com/en-us/HT204661 Apple About the security content of Apple TV 7.2 https://support.apple.com/en-us/HT204662 Apple About the security content of Xcode 6.3 https://support.apple.com/en-us/HT204663 【2】ntpd に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#374268 NTP Project ntpd reference implementation contains multiple vulnerabilities https://www.kb.cert.org/vuls/id/374268 概要 ntpd には、複数の脆弱性があります。結果として、遠隔の第三者が、時刻同 期を妨害するなどの可能性があります。 対象となるバージョンは以下の通りです。 - ntp-4.2.8p2 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに ntpd を更新すること で解決します。詳細については、開発者が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95993136 NTP daemon (ntpd) に複数の脆弱性 https://jvn.jp/vu/JVNVU95993136/ 関連文書 (英語) Network Time Protocol Security Notice http://support.ntp.org/bin/view/Main/SecurityNotice#April_2015_NTP_Security_Vulnerab 【3】Lhaplus に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#12329472 Lhaplus において任意のコードを実行される脆弱性 https://jvn.jp/jp/JVN12329472/ Japan Vulnerability Notes JVN#02527990 Lhaplus におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN02527990/ 概要 Lhaplus には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、名前を細工したファイルをユーザに開かせることで、 任意のファイルを操作するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Lhaplus Version 1.70 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに Lhaplus を更新する ことで解決します。詳細については、開発者が提供する情報を参照して下さい。 関連文書 (日本語) HoeHoe.com Lhaplus Version 1.71 [ 2015/04/02 ] http://www7a.biglobe.ne.jp/~schezo/ 【4】WordPress 用プラグイン WP Super Cache にクロスサイトスクリプティングの脆弱性 情報源 US-CERT Current Activity WP Super Cache Cross-Site Scripting (XSS) Vulnerability https://www.us-cert.gov/ncas/current-activity/2015/04/09/WP-Super-Cache-Cross-Site-Scripting-XSS-Vulnerability 概要 WordPress 用プラグイン WP Super Cache には、クロスサイトスクリプティン グの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で 任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - WP Super Cache 1.4.4 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに WP Super Cache を更 新することで解決します。詳細については、開発者が提供する情報を参照して 下さい。 関連文書 (英語) WordPress Plugin Directory WP Super Cache https://wordpress.org/plugins/wp-super-cache/ Sucuri Blog Security Advisory: Persistent XSS in WP-Super-Cache https://blog.sucuri.net/2015/04/security-advisory-persistent-xss-in-wp-super-cache.html 【5】S2Struts の Validator に脆弱性 情報源 Japan Vulnerability Notes JVN#91383083 S2Struts の Validator に入力値検査回避の脆弱性 https://jvn.jp/jp/JVN91383083/ 概要 S2Struts の Validator には、脆弱性があります。結果として、遠隔の第三者 が、入力値検査を回避する可能性があります。 対象となるバージョンは以下の通りです。 - S2Struts 1.2.13 およびそれ以前 - S2Struts 1.3.2 およびそれ以前 この問題は、Seasar ファウンデーションが提供する修正済みのバージョンに S2Struts を更新することで解決します。詳細については、Seasar ファウンデー ションが提供する情報を参照して下さい。 関連文書 (日本語) 特定非営利活動法人 Seasar ファウンデーション SeasarWhatsNew/2015-03-29 https://www.seasar.org/wiki/index.php?SeasarWhatsNew%2F2015-03-29 SourceForge.JP Apache Struts 1.2.9 with SP2 by TERASOLUNA http://sourceforge.jp/projects/terasoluna/wiki/StrutsPatch2-JP ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○なりすましECサイト対策協議会「なりすましECサイト 対策マニュアル」公開 2015年4月6日、なりすましECサイト対策協議会は、EC サイト事業者向けに 「なりすましECサイト 対策マニュアル」を公開しました。このマニュアルに は、なりすまし EC サイトで商品を購入した消費者が代金を騙し取られたり、 なりすまされたサイトが信頼を失墜したりするといった被害の実態や、自社サ イトを模倣したなりすまし EC サイトを発見した場合の対処法などがまとめら れています。 参考文献 (日本語) なりすましECサイト対策協議会 なりすましECサイト対策協議会 対策マニュアルを公開 http://www.saferinternet.or.jp/info/764/ なりすましECサイト対策協議会 被害実態調査結果2014 http://www.saferinternet.or.jp/narisumashi/report/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVLavlAAoJEDF9l6Rp7OBIA4UIAJJf/6oip0lY8HSFw3VFiCIW RXt4RlrC3w1rXLWggiu67T6ZFwdBZKFgwUXmymqB5oKGKMU9gF0cIpyqYdz0nv+r y7agujmTI1okPgzLUUBLcv9uNN3a99USYZm5GOE993UkqlmvXetOfDXMWHVM9xVD bblr4rHSd/ngP9Fu21a+3EimsBYXHxjgIgUKPHT7qJy0N3WVkMMsSmW9gv3EtLVO CgJYf3vLu6CuIJIA+56PB4cnij4gHoCyK2IQ+lBGKWYsETPSck8HPHqnhNb7j/xC DrtgQuXvlyHYyN7vC7dlRtfGGFx0O/7YS/wI+QL8HIgaBfUJCOQPO971NxbC4bI= =D/iL -----END PGP SIGNATURE-----