Firefox に解放済みメモリ使用の脆弱性

JPCERT-WR-2015-1701 2015-04-30 2015-04-19 2015-04-25

Firefox に解放済みメモリ使用の脆弱性 US-CERT Current Activity Mozilla Releases Security Update for Firefox https://www.us-cert.gov/ncas/current-activity/2015/04/21/Mozilla-Releases-Security-Update-Firefox

Firefox には、解放済みメモリ使用の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行する可能性があります。対象となるバージョンは以下の通りです。 - Firefox 37.0.2 より前のバージョンこの問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2015 年 4 月 20 日) http://www.mozilla-japan.org/security/announce/

WordPress に複数の脆弱性 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2015/04/23/WordPress-Releases-Security-Update

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、当該製品が参照するデータベースに対して、任意の SQL コマンドを実行したりする可能性があります。対象となるバージョンは以下の通りです。 - WordPress 4.1.1 およびそれ以前この問題は、WordPress が提供する修正済みのバージョンに WordPress を更新することで解決します。詳細については、WordPress が提供する情報を参照してください。

WordPress WordPress 4.1.2 セキュリティリリース https://ja.wordpress.org/2015/04/22/wordpress-4-1-2/

PowerDNS に脆弱性株式会社日本レジストリサービス(JPRS) PowerDNS Authoritative Server及びPowerDNS Recursorの脆弱性 http://jprs.jp/tech/security/2015-04-27-powerdns-vuln-decompression.html

PowerDNS には、脆弱性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。対象となるバージョンは以下の通りです。 - PowerDNS Authoritative Server 3.4.4より前のバージョン - PowerDNS Recursor 3.6.3より前のバージョン - PowerDNS Recursor 3.7.2より前のバージョンこの問題は、開発者が提供する修正済みのバージョンに PowerDNS を更新することで解決します。詳細については、開発者が提供する情報を参照してください。

PowerDNS Security Advisory 2015-01 Label decompression bug can cause crashes on specific platforms https://doc.powerdns.com/md/security/powerdns-advisory-2015-01/

Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題 CERT/CC Vulnerability Note VU#260780 NetNanny uses a shared private key and root CA http://www.kb.cert.org/vuls/id/260780

Net Nanny は共有の秘密鍵とルート CA 証明書を使用します。この証明書の生成に用いられる秘密鍵は、直接平文で取得できる形でプログラムに含まれています。攻撃者は、この秘密鍵を用いることで Net Nanny によって信頼される証明書を生成することが可能です。問題が確認されたバージョンは以下の通りですが、他のバージョンも影響を受ける可能性があります。 - Net Nanny 7.2.4.2 2015年4月28日現在、対策済みのバージョンは公開されていません。以下のいずれかの回避策を適用することで、影響を軽減することが可能です。 - SSL フィルタリングを無効にし、Net Nanny がインストールした証明書を削除する - Net Nanny をアンインストールする

Japan Vulnerability Notes JVNVU#90912447 Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題 https://jvn.jp/vu/JVNVU90912447/ CERT/CC Blog The Risks of SSL Inspection https://www.cert.org/blogs/certcc/post.cfm?EntryID=221

TransmitMail に複数の脆弱性 Japan Vulnerability Notes JVN#41653647 TransmitMail におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN41653647/ Japan Vulnerability Notes JVN#26860747 TransmitMail におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN26860747/

TransmitMail には、複数の脆弱性があります。結果として、遠隔の第三者が、サーバ上の任意のファイルを閲覧したり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性があります。対象となるバージョンは以下の通りです。 - TransmitMail 1.0.11 から 1.5.8 までこの問題は、開発者が提供する修正済みのバージョンに TransmitMail を更新することで解決します。詳細については、開発者が提供する情報を参照してください。

どうのこうの TransmitMail の脆弱性について http://dounokouno.com/2015/04/20/

「Interop Tokyo 2015」開催「Interop Tokyo 2015」が、2015年6月8日から 12日にかけて開催されます。 6月8日から 9日にはカンファレンス、6月10日から 12日には展示会が開催されます。JPCERT/CC は、カンファレンスの企画・運営の協力と後援をしており、 CSIRT 構築・運用の事例を紹介する以下のプログラムでは、スピーカーも務めます。ふるってご参加ください。 6月8日のプログラム: C3-3 CSIRT構築のすすめ Building CSIRT by Example https://reg.f2ff.jp/public/session/view/3094 Interop Tokyo 2015 Interop Tokyo 2015 カンファレンスサイト http://www.interop.jp/2015/conf/index.html