JPCERT-WR-2015-2401
2015-06-24
2015-06-14
2015-06-20
Adobe Photoshop CC および Adobe Bridge CC に複数の脆弱性
Adobe Photoshop CC および Adobe Bridge CC には、複数の脆弱性があります。
結果として、遠隔の第三者が、任意のコードを実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Adobe Photoshop CC 2014 15.2.2(2014.2.2)およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Bridge CC 6.1 およびそれ以前 (Windows 版、Macintosh 版)
この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Adobe が提供する情報を参照してください。
Adobe セキュリティ情報
Adobe Photoshop CC用セキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/photoshop/apsb15-12.html
Adobe セキュリティ情報
Adobe Bridge CC用セキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/bridge/apsb15-13.html
Drupal に複数の脆弱性
Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、認証を
回避して他のユーザとしてアクセスするなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Drupal core 6.36 より前のバージョン
- Drupal core 7.38 より前のバージョン
この問題は、Drupal が提供する修正済みのバージョンに Drupal を更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。
Drupal Security advisories
Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2015-002
https://www.drupal.org/SA-CORE-2015-002
Ruby on Rails に複数の脆弱性
Ruby on Rails には、複数の脆弱性があります。結果として、遠隔の第三者が、
ユーザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。
対象となるバージョンは以下の通りです。
- Ruby on Rails 3.2.22 より前のバージョン
- Ruby on Rails 4.1.11 より前のバージョン
- Ruby on Rails 4.2.2 より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに Ruby on Rails を更新することで解決します。詳細については、配布元
が提供する情報を参照してください。
Ruby on Rails
Get Ruby on Rails in no time
http://rubyonrails.org/download/
Ruby on Rails 用ライブラリ Paperclip にクロスサイトスクリプティングの脆弱性
Ruby on Rails 用ライブラリ Paperclip には、脆弱性があります。結果とし
て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。
対象となるバージョンは以下の通りです。
- Paperclip 4.2.1 およびそれ以前
この問題は、thoughtbot が提供する修正済みのバージョンに Paperclip を更
新することで解決します。詳細は、thoughtbot が提供する情報を参照してく
ださい。
thoughtbot
Paperclip Security Release
https://robots.thoughtbot.com/paperclip-security-release
Retrospect Backup Client が弱いパスワードハッシュを使用する問題
Retrospect Backup Client には、弱いパスワードハッシュを使用する問題が
あります。結果として、当該製品にアクセス可能な第三者が、総当たり攻撃に
よってパスワードを推測する可能性があります。
対象となるバージョンは以下の通りです。
- Retrospect Backup Client 10.0.2 より前のバージョン (Windows 版、Linux 版)
- Retrospect Backup Client 12.0.2 より前のバージョン (Macintosh 版)
この問題は、Retrospect が提供する修正済みのバージョンに Retrospect Backup
Client を更新することで解決します。また、以下の回避策を適用することで、
本脆弱性の影響を軽減することが可能です。
- 公開鍵認証を使用する
詳細は、Retrospect が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#99598689
Retrospect Backup Client が弱いパスワードハッシュを使用する問題
https://jvn.jp/vu/JVNVU99598689/
Retrospect
CERT Vulnerability CVE-2015-2864
http://www.retrospect.com/support/kb/cve_2015_2864
Pearson ProctorCache にハードコードされたパスワードを使用する問題
Pearson ProctorCache には、ハードコードされたパスワードを使用する問題
があります。結果として、ローカルネットワーク上の第三者が、認証情報を
使用してユーザの意図しない操作を行う可能性があります。
対象となるバージョンは以下の通りです。
- ProctorCache version 2015.1.17 より前のバージョン
この問題は、Pearson Education, Inc. が提供する修正済みのバージョンに
ProctorCache を更新することで解決します。詳細は、Pearson Education, Inc.
が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#98244815
Pearson ProctorCache がハードコードされたパスワードを使用する問題
https://jvn.jp/vu/JVNVU98244815/
ProctorCach
Install ProctorCach
https://support.assessment.pearson.com/display/TN/Install+ProctorCache
Vesta Control Panel にクロスサイトリクエストフォージェリの脆弱性
Vesta Control Panel には、脆弱性があります。結果として、遠隔の第三者が、
当該製品にログインしたユーザに細工したリンクを開かせることによって、任
意の操作を行う可能性があります。
対象となるバージョンは以下の通りです。
- Vesta Control Panel 0.9.8-14 より前のバージョン
この問題は、開発者が提供する修正済みのバージョンに Vesta Control Panel
を更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。
Japan Vulnerability Notes JVNVU#96063575
Vesta Control Panel にクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/vu/JVNVU96063575/
Vesta Control Panel
Version 0.9.8-14
https://vestacp.com/roadmap/#history
SMS で誘導される銀行のフィッシングサイトに注意
2015年6月16日、フィッシング対策協議会は「【注意喚起】SMS(ショートメッ
セージサービス)で誘導される銀行のフィッシングサイトにご注意ください
(2015/06/16)」を公開しました。
この注意喚起では、実際に誘導に使われたメッセージの画像を紹介し、注意を
呼びかけています。
フィッシング対策協議会
【注意喚起】SMS(ショートメッセージサービス)で誘導される銀行のフィッシングサイトにご注意ください (2015/06/16)
https://www.antiphishing.jp/news/alert/_sms_20150616.html