-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-2301 JPCERT/CC 2015-06-17 <<< JPCERT/CC WEEKLY REPORT 2015-06-17 >>> ―――――――――――――――――――――――――――――――――――――― ■06/07(日)〜06/13(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】Adobe Flash Player および Adobe Air に複数の脆弱性 【3】OpenSSL に複数の脆弱性 【4】PHP に複数の脆弱性 【5】複数の VMware 製品に脆弱性 【6】Cisco IOS XR にサービス運用妨害 (DoS) の脆弱性 【7】CUPS (Common Unix Printing System) に複数の脆弱性 【8】Toshiba CHEC に AES 共通鍵がハードコードされている問題 【9】Toshiba 4690 OS に情報漏えいの脆弱性 【10】MilkyStep に複数の脆弱性 【11】Avigilon Control Center (ACC) にディレクトリトラバーサルの脆弱性 【12】BloBee に任意のファイルを作成される脆弱性 【今週のひとくちメモ】総務省、2つの注意喚起を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr152301.html https://www.jpcert.or.jp/wr/2015/wr152301.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases June 2015 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2015/06/09/Microsoft-Releases-June-2015-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office - Microsoft Exchange Server この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2015 年 6 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms15-Jun JPCERT/CC Alert 2015-06-10 2015年6月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150016.html Japan Vulnerability Notes JVN#18146081 Microsoft Windows の LoadLibrary 関数における入力を適切に検証しない脆弱性 https://jvn.jp/jp/JVN18146081/ 【2】Adobe Flash Player および Adobe Air に複数の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Flash Player https://www.us-cert.gov/ncas/current-activity/2015/06/09/Adobe-Releases-Security-Updates-Flash-Player 概要 Adobe Flash Player および Adobe Air には、複数の脆弱性があります。結果 として、遠隔の第三者が、任意のコードを実行したり、情報を取得したりする 可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 17.0.0.188 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 継続サポートリリース 13.0.0.289 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.460 およびそれ以前 (Linux 版) - Adobe AIR デスクトップランタイム 17.0.0.172 およびそれ以前 (Windows 版、Macintosh 版) - Adobe AIR SDK および SDK & Compiler 17.0.0.172 およびそれ以前 (Windows 版、Macintosh 版) - Adobe AIR for Android 17.0.0.144 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe セキュリティ情報 Adobe Flash Player に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb15-11.html JPCERT/CC Alert 2015-06-10 Adobe Flash Player の脆弱性 (APSB15-11) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150017.html 【3】OpenSSL に複数の脆弱性 情報源 OpenSSL Project OpenSSL Security Advisory [11 Jun 2015] https://www.openssl.org/news/secadv_20150611.txt 概要 OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、中間 者攻撃を行ったり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能 性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.0.2b より前のバージョン - OpenSSL 1.0.1n より前のバージョン - OpenSSL 1.0.0s より前のバージョン - OpenSSL 0.9.8zg より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバー ジョンに OpenSSL を更新することで解決します。なお、OpenSSL 1.0.2b と OpenSSL 1.0.1n には、JPCERT/CC WEEKLY REPORT 2015-05-27号【1】で紹介し た「TLS プロトコルに弱い鍵を受け入れる問題」の修正も含まれています。 詳細は、使用している OS のベンダや配布元が提供する情報を参照してくださ い。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91445763 OpenSSL に複数の脆弱性 https://jvn.jp/vu/JVNVU91445763/ JPCERT/CC WEEKLY REPORT 2015-05-27 TLS プロトコルに弱い鍵を受け入れる問題 https://www.jpcert.or.jp/wr/2015/wr152001.html#1 【4】PHP に複数の脆弱性 情報源 PHP Group PHP 5.6.10 is available https://php.net/archive/2015.php#id2015-06-11-2 PHP Group PHP 5.5.26 is available https://php.net/archive/2015.php#id2015-06-11-1 PHP Group PHP 5.4.42 Released https://php.net/archive/2015.php#id2015-06-11-4 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 対象となるバージョンは以下の通りです。 - PHP 5.6.10 より前のバージョン - PHP 5.5.26 より前のバージョン - PHP 5.4.42 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細については、開発者や配布元が提供する情報を参 照してください。 関連文書 (英語) PHP Group PHP 5 ChangeLog Version 5.6.10 https://php.net/ChangeLog-5.php#5.6.10 PHP Group PHP 5 ChangeLog Version 5.5.26 https://php.net/ChangeLog-5.php#5.5.26 PHP Group PHP 5 ChangeLog Version 5.4.42 https://php.net/ChangeLog-5.php#5.4.42 【5】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMWare Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2015/06/09/VMWare-Releases-Security-Updates-Multiple-Products 概要 複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware Workstation 11.1.1 より前のバージョン - VMware Workstation 10.0.6 より前のバージョン - VMware Player 7.1.1 より前のバージョン - VMware Player 6.0.6 より前のバージョン - VMware Fusion 7.0.1 より前のバージョン - VMware Fusion 6.0.6 より前のバージョン - VMware Horizon Client for Windows 3.4.0 より前のバージョン - VMware Horizon Client for Windows 3.2.1 より前のバージョン - VMware Horizon Client for Windows (with local mode) 5.4.1 より前のバージョン この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細は、VMware が提供する情報を参照してください。 関連文書 (英語) VMware Security Advisories VMware Workstation, Fusion and Horizon View Client updates address critical security issues https://www.vmware.com/security/advisories/VMSA-2015-0004.html 【6】Cisco IOS XR にサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Current Activity Cisco IOS XR Denial-of-Service Vulnerability https://www.us-cert.gov/ncas/current-activity/2015/06/11/Cisco-IOS-XR-Denial-Service-Vulnerability 概要 Cisco IOS XR には、脆弱性があります。結果として、遠隔の第三者が、細工 した IPv6 パケットを送信することで、サービス運用妨害 (DoS) 攻撃を行う 可能性があります。 対象となるバージョンは以下の通りです。 - Cisco IOS XR 4.2.1 より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS XR を更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco IOS XR Software Crafted IPv6 Packet Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150611-iosxr 【7】CUPS (Common Unix Printing System) に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#810572 CUPS print service is vulnerable to privilege escalation and cross-site scripting http://www.kb.cert.org/vuls/id/810572 概要 CUPS (Common Unix Printing System) には、複数の脆弱性があります。結果 として、遠隔の第三者が、権限昇格したり、ユーザのブラウザ上で任意のスク リプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - CUPS 2.0.3 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン に CUPS を更新することで解決します。詳細は、使用している OS のベンダや 配布元が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96553205 CUPS (Common Unix Printing System) に複数の脆弱性 https://jvn.jp/vu/JVNVU96553205/ 関連文書 (英語) CUPS.org (STR #4609) CERT VU#810572: Privilege escalation through dynamic linker and isolated vulnerabilities https://www.cups.org/str.php?L4609 【8】Toshiba CHEC に AES 共通鍵がハードコードされている問題 情報源 CERT/CC Vulnerability Note VU#301788 Toshiba CHEC contains a hard-coded cryptographic key http://www.kb.cert.org/vuls/id/301788 概要 Toshiba CHEC には、AES 共通鍵がハードコードされている問題があります。 結果として、当該製品にアクセス可能な第三者が、暗号化された情報を復号す る可能性があります。 問題が確認されたバージョンは以下の通りですが、他のバージョンも影響を受 ける可能性があります。 - Toshiba CHEC version 6.6、6.7 この問題は、開発者が提供する修正済みのバージョンに Toshiba CHEC を更新 することで解決します。詳細については、開発者が提供する情報を参照してく ださい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91309683 Toshiba CHEC に AES 共通鍵がハードコードされている問題 https://jvn.jp/vu/JVNVU91309683/ 【9】Toshiba 4690 OS に情報漏えいの脆弱性 情報源 CERT/CC Vulnerability Note VU#924506 Toshiba 4690 OS contains an information disclosure vulnerability http://www.kb.cert.org/vuls/id/924506 概要 Toshiba 4690 OS には、脆弱性があります。結果として、遠隔の第三者が、細 工した文字列を送信することで、情報を取得する可能性があります。 問題が確認されたバージョンは以下の通りですが、他のバージョンも影響を受 ける可能性があります。 - Toshiba 4690 Operating System version 6 (Release 3) 2015年6月17日現在、対策済みのバージョンは公開されていません。以下の回 避策を適用することで、本脆弱性の影響を軽減することが可能です。 - ADXSITCF を無効にする 詳細については、開発者が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92189302 Toshiba 4690 OS に情報漏えいの脆弱性 https://jvn.jp/vu/JVNVU92189302/ 【10】MilkyStep に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#16409640 MilkyStep におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN16409640/ Japan Vulnerability Notes JVN#12241436 MilkyStep におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN12241436/ Japan Vulnerability Notes JVN#05559185 MilkyStep における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN05559185/ Japan Vulnerability Notes JVN#52478686 MilkyStep における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN52478686/ Japan Vulnerability Notes JVN#20879350 MilkyStep におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN20879350/ Japan Vulnerability Notes JVN#74280258 MilkyStep におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN74280258/ Japan Vulnerability Notes JVN#19732015 MilkyStep におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN19732015/ 概要 MilkyStep には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行した りするなどの可能性があります。 対象となるバージョンは以下の通りです。 - MilkyStep Light Ver0.94 およびそれ以前 - MilkyStep Professional Ver1.82 およびそれ以前 - MilkyStep Professional OEM Ver1.82 およびそれ以前 この問題は、株式会社イグレックスが提供する修正済みのバージョンに MilkyStep を更新することで解決します。詳細は、株式会社イグレックスが提供する情報 を参照してください。 関連文書 (日本語) MILKYSTEPからのお知らせ MilkyStep Professional Ver1.83を公開しました http://milkystep.com/topics/?p=492 MILKYSTEPからのお知らせ MilkyStep Light Ver0.95を公開しました http://milkystep.com/topics/?p=495 【11】Avigilon Control Center (ACC) にディレクトリトラバーサルの脆弱性 情報源 CERT/CC Vulnerability Note VU#555984 Avigilon Control Center is vulnerable to path traversal http://www.kb.cert.org/vuls/id/555984 概要 Avigilon Control Center (ACC) には、脆弱性があります。結果として、遠隔 の第三者が、サーバ上の任意のファイルにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - ACC Server 4.12.0.54 より前のバージョン - ACC Server 5.4.2.22 より前のバージョン この問題は、Avigilon が提供する修正済みのバージョンに ACC Server を更 新することで解決します。詳細は、Avigilon が提供する情報を参照してくだ さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98987119 Avigilon Control Center (ACC) にディレクトリトラバーサルの脆弱性 https://jvn.jp/vu/JVNVU98987119/ 【12】BloBee に任意のファイルを作成される脆弱性 情報源 Japan Vulnerability Notes JVN#24336273 BloBee における任意のファイルを作成される脆弱性 https://jvn.jp/jp/JVN24336273/ 概要 BloBee には、脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - BloBee v1.20 およびそれ以前 この問題は、シージーアイ・レスキューが提供する修正済みのバージョンに BloBee を更新することで解決します。詳細は、シージーアイ・レスキューが 提供する情報を参照してください。 関連文書 (日本語) シージーアイ・レスキュー BloBee(ブロビー) v1.21リリース ファイル添付の際の脆弱性を修正 https://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20150610121435 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○総務省、2つの注意喚起を公開 2015年6月12日、総務省は「第三者によるIP電話等の不正利用に関する注意喚 起」および「無線LANルータの不正利用に関する注意喚起」を公開しました。 これらの文書では、IP 電話などの電話サービスや家庭用無線 LAN ルータが、 第三者によって不正利用されていることが述べられています。これらの問題の 発生を防ぐため、ネットワーク機器の設定内容の確認や、セキュリティ強化の ための設定変更を行うなどの対策が呼びかけられています。 参考文献 (日本語) 総務省 第三者によるIP電話等の不正利用に関する注意喚起 http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000191.html 総務省 無線LANルータの不正利用に関する注意喚起 http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000192.html NTT 東日本 第三者による不正な電話利用等の被害にご注意ください https://www.ntt-east.co.jp/info/detail/150612_01.html 独立行政法人情報処理推進機構 (IPA) 無線LAN <危険回避> 対策のしおり https://www.ipa.go.jp/security/antivirus/documents/11_wireless_lan.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVgPRkAAoJEDF9l6Rp7OBIN08IAKuyZbowlongXACt7eevo1o7 UoBBveAgXyFyZsT9EPRfSSO15zoK1tGyXCoYasdJh0x9+5CXFK87bXZyqSS542u9 q8V/e0dPCTfeK/AqPkLG95UB/GMcSoUHQZ9y5ORqu9PbuQaPj6O1QGmD8tOx8DDD bjgWb+Mm/J5AoLIMcpH96kOtqmzLsmT4m+1/5/+uu7AtD362Vxoivi5TsgV7Ha+H ItzUNb7Kk9kKXX/Fk17CDpNsaYBhJgIUQjnrwF036Ojsm5L6vS2L6d/9+2ucoZd6 5HrszRTPEcXjDCJszOHkEzVgCiaTgxZVOBbTLd62HV86Uwb/PioxmT7/19zpK54= =engl -----END PGP SIGNATURE-----