<<< JPCERT/CC WEEKLY REPORT 2015-07-08 >>>
■06/28(日)〜07/04(土) のセキュリティ関連情報
目 次
【1】複数の Apple 製品に脆弱性
【2】Cisco Unified Communications Domain Manager Platform Software に任意のコードが実行可能な脆弱性
【3】OpenEMR に認証回避の脆弱性
【今週のひとくちメモ】IETF が「Deprecating Secure Sockets Layer Version 3.0」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr152601.txt
https://www.jpcert.or.jp/wr/2015/wr152601.xml
【1】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates for QuickTime, Safari, Mac EFI, OS X Yosemite, and iOS
https://www.us-cert.gov/ncas/current-activity/2015/06/30/Apple-Releases-Security-Updates-QuickTime-Safari-Mac-EFI-OS-X
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 8.4 より前のバージョン - OS X Yosemite v10.10.4 より前のバージョン - OS X Mavericks v10.9.5 およびそれ以前 - OS X Mountain Lion v10.8.5 およびそれ以前 - Safari 8.0.7 より前のバージョン - Safari 7.1.7 より前のバージョン - Safari 6.2.7 より前のバージョン - iTunes 12.2 より前のバージョン (Windows 8 版、Windows 7 版) - QuickTime 7.7.7 より前のバージョン (Windows 7 版、Windows Vista 版) この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (英語)
Apple
About the security content of iOS 8.4
https://support.apple.com/en-us/HT204941Apple
About the security content of OS X Yosemite v10.10.4 and Security Update 2015-005
https://support.apple.com/en-us/HT204942Apple
About the security content of Mac EFI Security Update 2015-001
https://support.apple.com/en-us/HT204934Apple
About the security content of Safari 8.0.7, Safari 7.1.7, and Safari 6.2.7
https://support.apple.com/en-us/HT204950Apple
About the security content of iTunes 12.2
https://support.apple.com/en-us/HT204949Apple
About the security content of QuickTime 7.7.7
https://support.apple.com/en-us/HT204947
【2】Cisco Unified Communications Domain Manager Platform Software に任意のコードが実行可能な脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2015/07/01/Cisco-Releases-Security-Update
概要
Cisco Unified Communications Domain Manager Platform Software には、脆 弱性があります。結果として、遠隔の第三者が、当該製品の管理者権限を取得 する可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Unified Communications Domain Manager Platform Software 4.4.5 より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified Communications Domain Manager Platform Software を更新することで解決し ます。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Unified Communications Domain Manager Default Static Privileged Account Credentials
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150701-cucdm
【3】OpenEMR に認証回避の脆弱性
情報源
Japan Vulnerability Notes JVN#22677713
OpenEMR における認証回避の脆弱性
https://jvn.jp/jp/JVN22677713/
概要
OpenEMR には、脆弱性があります。結果として、遠隔の第三者が、当該製品に 記録されている情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - OpenEMR 2.8.3 から 4.2.0 patch 1 まで この問題は、OpenEMR Project が提供する最新のバージョンに OpenEMR を更 新し、パッチを適用することで解決します。詳細は、OpenEMR Project が提供 する情報を参照してください。
関連文書 (英語)
OpenEMR
OpenEMR Patches
http://www.open-emr.org/wiki/index.php/OpenEMR_Patches
■今週のひとくちメモ
○IETF が「Deprecating Secure Sockets Layer Version 3.0」を公開
2015年6月、IETF は RFC 7568 として「Deprecating Secure Sockets Layer Version 3.0」を公開しました。 この RFC では、これまでに SSLv3 で発見された脆弱性に言及した上で、 SSLv3 の使用を停止し、TLS 1.2 以降を使用するよう呼びかけています。
参考文献 (日本語)
JPCERT/CC WEEKLY REPORT ひとくちメモ 2015-05-20
IPA、「SSL/TLS暗号設定ガイドライン」を公開
https://www.jpcert.or.jp/tips/2015/wr151901.html
参考文献 (英語)
RFC 7568
Deprecating Secure Sockets Layer Version 3.0
https://tools.ietf.org/html/rfc7568
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/