-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-2401 JPCERT/CC 2015-06-24 <<< JPCERT/CC WEEKLY REPORT 2015-06-24 >>> ―――――――――――――――――――――――――――――――――――――― ■06/14(日)〜06/20(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Photoshop CC および Adobe Bridge CC に複数の脆弱性 【2】Drupal に複数の脆弱性 【3】Ruby on Rails に複数の脆弱性 【4】Ruby on Rails 用ライブラリ Paperclip にクロスサイトスクリプティングの脆弱性 【5】Retrospect Backup Client が弱いパスワードハッシュを使用する問題 【6】Pearson ProctorCache にハードコードされたパスワードを使用する問題 【7】Vesta Control Panel にクロスサイトリクエストフォージェリの脆弱性 【今週のひとくちメモ】SMS で誘導される銀行のフィッシングサイトに注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr152401.html https://www.jpcert.or.jp/wr/2015/wr152401.xml ============================================================================ 【1】Adobe Photoshop CC および Adobe Bridge CC に複数の脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2015/06/16/Adobe-Releases-Security-Updates-Multiple-Products 概要 Adobe Photoshop CC および Adobe Bridge CC には、複数の脆弱性があります。 結果として、遠隔の第三者が、任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Photoshop CC 2014 15.2.2(2014.2.2)およびそれ以前 (Windows 版、Macintosh 版) - Adobe Bridge CC 6.1 およびそれ以前 (Windows 版、Macintosh 版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe セキュリティ情報 Adobe Photoshop CC用セキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/photoshop/apsb15-12.html Adobe セキュリティ情報 Adobe Bridge CC用セキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/bridge/apsb15-13.html 【2】Drupal に複数の脆弱性 情報源 US-CERT Current Activity Drupal Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2015/06/18/Drupal-Releases-Security-Updates 概要 Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、認証を 回避して他のユーザとしてアクセスするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Drupal core 6.36 より前のバージョン - Drupal core 7.38 より前のバージョン この問題は、Drupal が提供する修正済みのバージョンに Drupal を更新する ことで解決します。詳細は、Drupal が提供する情報を参照してください。 関連文書 (英語) Drupal Security advisories Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2015-002 https://www.drupal.org/SA-CORE-2015-002 【3】Ruby on Rails に複数の脆弱性 情報源 Ruby on Rails Riding Rails: Rails 3.2.22, 4.1.11 and 4.2.2 have been released and more http://weblog.rubyonrails.org/2015/6/16/Rails-3-2-22-4-1-11-and-4-2-2-have-been-released-and-more/ 概要 Ruby on Rails には、複数の脆弱性があります。結果として、遠隔の第三者が、 ユーザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Ruby on Rails 3.2.22 より前のバージョン - Ruby on Rails 4.1.11 より前のバージョン - Ruby on Rails 4.2.2 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Ruby on Rails を更新することで解決します。詳細については、配布元 が提供する情報を参照してください。 関連文書 (英語) Ruby on Rails Get Ruby on Rails in no time http://rubyonrails.org/download/ 【4】Ruby on Rails 用ライブラリ Paperclip にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#83881261 Ruby on Rails 用ライブラリ Paperclip におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN83881261/ 概要 Ruby on Rails 用ライブラリ Paperclip には、脆弱性があります。結果とし て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは以下の通りです。 - Paperclip 4.2.1 およびそれ以前 この問題は、thoughtbot が提供する修正済みのバージョンに Paperclip を更 新することで解決します。詳細は、thoughtbot が提供する情報を参照してく ださい。 関連文書 (英語) thoughtbot Paperclip Security Release https://robots.thoughtbot.com/paperclip-security-release 【5】Retrospect Backup Client が弱いパスワードハッシュを使用する問題 情報源 CERT/CC Vulnerability Note VU#101500 Retrospect Backup Client uses weak password hashing http://www.kb.cert.org/vuls/id/101500 概要 Retrospect Backup Client には、弱いパスワードハッシュを使用する問題が あります。結果として、当該製品にアクセス可能な第三者が、総当たり攻撃に よってパスワードを推測する可能性があります。 対象となるバージョンは以下の通りです。 - Retrospect Backup Client 10.0.2 より前のバージョン (Windows 版、Linux 版) - Retrospect Backup Client 12.0.2 より前のバージョン (Macintosh 版) この問題は、Retrospect が提供する修正済みのバージョンに Retrospect Backup Client を更新することで解決します。また、以下の回避策を適用することで、 本脆弱性の影響を軽減することが可能です。 - 公開鍵認証を使用する 詳細は、Retrospect が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99598689 Retrospect Backup Client が弱いパスワードハッシュを使用する問題 https://jvn.jp/vu/JVNVU99598689/ 関連文書 (英語) Retrospect CERT Vulnerability CVE-2015-2864 http://www.retrospect.com/support/kb/cve_2015_2864 【6】Pearson ProctorCache にハードコードされたパスワードを使用する問題 情報源 CERT/CC Vulnerability Note VU#626420 Pearson ProctorCache contains hard coded credentials http://www.kb.cert.org/vuls/id/626420 概要 Pearson ProctorCache には、ハードコードされたパスワードを使用する問題 があります。結果として、ローカルネットワーク上の第三者が、認証情報を 使用してユーザの意図しない操作を行う可能性があります。 対象となるバージョンは以下の通りです。 - ProctorCache version 2015.1.17 より前のバージョン この問題は、Pearson Education, Inc. が提供する修正済みのバージョンに ProctorCache を更新することで解決します。詳細は、Pearson Education, Inc. が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98244815 Pearson ProctorCache がハードコードされたパスワードを使用する問題 https://jvn.jp/vu/JVNVU98244815/ 関連文書 (英語) ProctorCach Install ProctorCach https://support.assessment.pearson.com/display/TN/Install+ProctorCache 【7】Vesta Control Panel にクロスサイトリクエストフォージェリの脆弱性 情報源 CERT/CC Vulnerability Note VU#842780 Vesta Control Panel is vulnerable to cross-site request forgery http://www.kb.cert.org/vuls/id/842780 概要 Vesta Control Panel には、脆弱性があります。結果として、遠隔の第三者が、 当該製品にログインしたユーザに細工したリンクを開かせることによって、任 意の操作を行う可能性があります。 対象となるバージョンは以下の通りです。 - Vesta Control Panel 0.9.8-14 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに Vesta Control Panel を更新することで解決します。詳細は、開発者が提供する情報を参照してくだ さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96063575 Vesta Control Panel にクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/vu/JVNVU96063575/ 関連文書 (英語) Vesta Control Panel Version 0.9.8-14 https://vestacp.com/roadmap/#history ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○SMS で誘導される銀行のフィッシングサイトに注意 2015年6月16日、フィッシング対策協議会は「【注意喚起】SMS(ショートメッ セージサービス)で誘導される銀行のフィッシングサイトにご注意ください (2015/06/16)」を公開しました。 この注意喚起では、実際に誘導に使われたメッセージの画像を紹介し、注意を 呼びかけています。 参考文献 (日本語) フィッシング対策協議会 【注意喚起】SMS(ショートメッセージサービス)で誘導される銀行のフィッシングサイトにご注意ください (2015/06/16) https://www.antiphishing.jp/news/alert/_sms_20150616.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVift5AAoJEDF9l6Rp7OBIz5MH/j8C1fLSa50OS0e8ulJKxp/N GnSxUiNG4nq0nET0xp4BmbgS/gboM7s6JjnJWfkWjxzP64Mq6F6GLeFP0kU4wrPv jmxFiJOQO+etjoRlUUps4mjXYNi+6RJPI8i2IsDXaT0MSJKGYucsQR4g9sNJJLXC gRnTljg/uXmpfSFuItkTxEy4DG8tW1Ars4F5bulxRtIHymO09X7ZpkgV1CakBVwa wuZIC5D37j+5k7tox0MjkbkXxzzUSFEmJZbdxh5Em+pLk4V7ZPoRFDJKwYndQlv5 fHZohYPCF0scw39KAUGIU7w9s2RPJGE95F0FNhwAA8P7F0J6brjncwyXfUqUG3w= =Pn9x -----END PGP SIGNATURE-----