-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2015-2501
                                                                   JPCERT/CC
                                                                  2015-07-01

            <<< JPCERT/CC WEEKLY REPORT 2015-07-01 >>>

――――――――――――――――――――――――――――――――――――――
■06/21(日)〜06/27(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Adobe Flash Player に任意のコードが実行可能な脆弱性
【2】複数の Cisco 製品に脆弱性
【3】Symfony に任意の PHP コードが実行可能な脆弱性
【今週のひとくちメモ】APCERT Annual Report 2014 公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2015/wr152501.html
        https://www.jpcert.or.jp/wr/2015/wr152501.xml
============================================================================


【1】Adobe Flash Player に任意のコードが実行可能な脆弱性

    情報源
      US-CERT Current Activity
      Adobe Releases Security Updates for Flash Player
      https://www.us-cert.gov/ncas/current-activity/2015/06/23/Adobe-Releases-Security-Updates-Flash-Player

    概要
      Adobe Flash Player には、脆弱性があります。結果として、遠隔の第三者が、
      ユーザに細工したコンテンツを開かせることで、任意のコードを実行するなど
      の可能性があります。

      対象となるバージョンは以下の通りです。

      - Adobe Flash Player 18.0.0.161 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash Player の継続サポートリリースバージョン 13.0.0.292 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash Player 11.2.202.466 およびそれ以前 (Linux 版)

      この問題は、Adobe が提供する修正済みのバージョンに Flash Player を更新
      することで解決します。詳細は、Adobe が提供する情報を参照してください。

    関連文書 (日本語)
      Adobe セキュリティ情報
      Adobe Flash Player に関するセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/flash-player/apsb15-14.html

      JPCERT/CC Alert 2015-06-24
      Adobe Flash Player の脆弱性 (APSB15-14) に関する注意喚起
      https://www.jpcert.or.jp/at/2015/at150018.html

【2】複数の Cisco 製品に脆弱性

    情報源
      US-CERT Current Activity
      Cisco Releases Security Updates
      https://www.us-cert.gov/ncas/current-activity/2015/06/25/Cisco-Releases-Security-Updates

    概要
      複数の Cisco 製品には、脆弱性があります。結果として、第三者が、root 権
      限でアクセスしたり、中間者攻撃により暗号化された通信を復号したりするな
      どの可能性があります。

      対象となる製品は以下の通りです。

      - Cisco Web セキュリティ アプライアンス (WSA)
      - Cisco E メール セキュリティ アプライアンス (ESA)
      - Cisco コンテンツ セキュリティ管理アプライアンス (SMA)

      この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
      することで解決します。詳細は、Cisco が提供する情報を参照してください。

    関連文書 (英語)
      Cisco Security Advisory
      Multiple Default SSH Keys Vulnerabilities in Cisco Virtual WSA, ESA, and SMA
      http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150625-ironport

【3】Symfony に任意の PHP コードが実行可能な脆弱性

    情報源
      Japan Vulnerability Notes JVN#19578958
      Symfony におけるコードインジェクションの脆弱性
      https://jvn.jp/jp/JVN19578958/

    概要
      Symfony には、脆弱性があります。結果として、遠隔の第三者が、任意の PHP
      コードを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Symfony 2.0.x、2.1.x、2.2.x、2.3.x、2.4.x、2.5.x、2.6.x

      この問題は、SensioLabs が提供する修正済みのバージョンに Symfony を更新
      することで解決します。なお、Symfony 2.0、2.1、2.2、2.4 はサポートが終了
      しており、修正バージョンは提供されません。詳細は、SensioLabs が提供する
      情報を参照してください。

    関連文書 (英語)
      SensioLabs
      CVE-2015-2308: Esi Code Injection
      http://symfony.com/blog/cve-2015-2308-esi-code-injection


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○APCERT Annual Report 2014 公開

      2015年6月26日、アジア太平洋地域の国や地域の窓口シーサートを中心とした
      集まりである APCERT は、2014年の活動をまとめた Annual Report 2014 を公
      開しました。

      APCERT では、一年間の活動をまとめた Annual Report を毎年公開しています。
      APCERT には現在 27組織が加盟しており、加盟チーム間の連携強化を図る
      APCERT Drill や、APCERT としての国際会議への出席など対外的な活動のほか、
      各加盟チームの一年間の活動もまとめられています。

      アジア太平洋地域のシーサートがそれぞれどのような活動をしているか、また、
      チーム間でどのような連携活動を行っているかを知るための資料としてご参照
      ください。

    参考文献 (英語)
      APCERT
      APCERT Annual Report 2014
      http://www.apcert.org/documents/pdf/APCERT_Annual_Report_2014.pdf


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2015 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJVkzJmAAoJEDF9l6Rp7OBIGjkIAK2HE9p+aFuYqiLfLb5tjOI3
X1Fraw8aEapVINUozGuDEe04C2ukav8vFCoyrXVM/BqhHzkCsOr6fLvTxg1vT2Ic
V0bowPI7nITbsyRnOYMNkOPx8v+PDl4hX8S4+uDw00713nDhZEy7VoPX+uzlF5Ye
aOHq3FxdM9cCz8QqMcgbaHkk45fZGMrX3Y9Tp+OY1+0P7AxfIwggJv5A63fx6Oag
H6GwwteK4YU2i2JMTsRfD/cW8ncZA/rnCJLwAK7Xt6nlMLJV52OSKEZdhe8CzOXA
k2RSa40jqDzf34WQg01p8EHP+lgCF3aUitfYmKY+gaMkfTlzHZXsPLbaGeUpIas=
=Rwzm
-----END PGP SIGNATURE-----