-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2015-2801
                                                                   JPCERT/CC
                                                                  2015-07-23

            <<< JPCERT/CC WEEKLY REPORT 2015-07-23 >>>

――――――――――――――――――――――――――――――――――――――
■07/12(日)〜07/18(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】2015年7月 Oracle Critical Patch Update について
【4】Kaseya VSA に複数の脆弱性
【5】acmailer にディレクトリトラバーサルの脆弱性
【6】Thetis に SQL インジェクションの脆弱性
【今週のひとくちメモ】Windows Server 2003 サポート終了

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2015/wr152801.html
        https://www.jpcert.or.jp/wr/2015/wr152801.xml
============================================================================


【1】複数の Microsoft 製品に脆弱性

    情報源
      US-CERT Current Activity
      Microsoft Releases July 2015 Security Bulletin
      https://www.us-cert.gov/ncas/current-activity/2015/07/14/Microsoft-Releases-July-2015-Security-Bulletin

    概要
      複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行するなどの可能性があります。

      対象となる製品は以下の通りです。

      - Microsoft Windows
      - Microsoft SQL Server
      - Internet Explorer
      - Microsoft Office

      この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
      で解決します。詳細は、Microsoft が提供する情報を参照してください。

      なお、2015年7月21日、Microsoft は定例外のセキュリティ情報となる MS15-078
      を公開しています。

    関連文書 (日本語)
      マイクロソフト株式会社
      2015 年 7 月のマイクロソフト セキュリティ情報の概要
      https://technet.microsoft.com/ja-jp/library/security/ms15-Jul

      Japan Vulnerability Notes JVNVU#92689788
      Windows の Adobe Type Manager モジュールに特権昇格の脆弱性
      https://jvn.jp/vu/JVNVU92689788/

      Japan Vulnerability Notes JVNTA#97243368
      Adobe Flash Player および Microsoft Windows の脆弱性
      https://jvn.jp/ta/JVNTA97243368/

      JPCERT/CC Alert 2015-07-15
      2015年7月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
      https://www.jpcert.or.jp/at/2015/at150025.html

【2】複数の Adobe 製品に脆弱性

    情報源
      US-CERT Current Activity
      Updates Available for Flash AS3 opaqueBackground and BitmapData Use-After-Free Vulnerabilities
      https://www.us-cert.gov/ncas/current-activity/2015/07/11/Adobe-Flash-ActionScript-3-opaqueBackground-Use-After-Free

      US-CERT Current Activity
      Adobe Releases Security Update for Shockwave Player
      https://www.us-cert.gov/ncas/current-activity/2015/07/14/Adobe-Releases-Security-Update-Shockwave-Player

    概要
      複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
      ユーザに細工したコンテンツを開かせることで、任意のコードを実行するなど
      の可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Adobe Acrobat Reader DC Continuous (2015.007.20033) およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Acrobat Reader DC Classic (2015.006.30033) およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Reader XI (11.0.11) およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Reader X (10.1.14) およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Acrobat DC Continuous(2015.007.20033) およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Acrobat DC Classic(2015.006.30033) およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Acrobat XI (11.0.11) およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Acrobat X (10.1.14) およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Shockwave Player 12.1.8.158 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash Player デスクトップランタイム 18.0.0.203 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash Player 継続サポートリリース 13.0.0.302 およびそれ以前 (Windows 版、Macintosh 版)
      - Adobe Flash Player 18.0.0.203 およびそれ以前 (Windows 8.0 版、Windows 8.1 版)
      - Adobe Flash Player 11.2.202.481 およびそれ以前 (Linux 版)

      この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新
      することで解決します。詳細は、Adobe が提供する情報を参照してください。

    関連文書 (日本語)
      Adobe セキュリティ情報
      Adobe Acrobat および Reader に関するセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/acrobat/apsb15-15.html

      Adobe セキュリティ情報
      Adobe Shockwave Player用セキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/shockwave/apsb15-17.html

      Adobe セキュリティ情報
      Adobe Flash Player に関するセキュリティアップデート公開
      https://helpx.adobe.com/jp/security/products/flash-player/apsb15-18.html

      Japan Vulnerability Notes JVNVU#93769860
      Adobe Flash Player (opaqueBackground) に解放済みメモリ使用 (use-after-free) の脆弱性
      https://jvn.jp/vu/JVNVU93769860/

      Japan Vulnerability Notes JVNVU#94770908
      Adobe Flash Player (BitmapData) に解放済みメモリ使用 (use-after-free) の脆弱性
      https://jvn.jp/vu/JVNVU94770908/

      Japan Vulnerability Notes JVNTA#97243368
      Adobe Flash Player および Microsoft Windows の脆弱性
      https://jvn.jp/ta/JVNTA97243368/

      JPCERT/CC Alert 2015-07-13
      2015年7月 Adobe Flash Player の未修正の脆弱性に関する注意喚起
      https://www.jpcert.or.jp/at/2015/at150020.html

      JPCERT/CC Alert 2015-07-15
      Adobe Reader および Acrobat の脆弱性 (APSB15-15) に関する注意喚起
      https://www.jpcert.or.jp/at/2015/at150023.html

      JPCERT/CC Alert 2015-07-15
      Adobe Flash Player の脆弱性 (APSB15-18) に関する注意喚起
      https://www.jpcert.or.jp/at/2015/at150024.html

【3】2015年7月 Oracle Critical Patch Update について

    情報源
      US-CERT Current Activity
      Oracle Releases July 2015 Security Advisory
      https://www.us-cert.gov/ncas/current-activity/2015/07/14/Oracle-Releases-July-2015-Security-Advisory

    概要
      Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
      Oracle Critical Patch Update が公開されました。詳細は、Oracle が提供す
      る情報を参照してください。

    関連文書 (日本語)
      Oracle
      Oracle Critical Patch Update Advisory - July 2015
      http://www.oracle.com/technetwork/jp/topics/ojkbcpujul2015-2606510-ja.html

      Oracle Technology Network Japan Blog
      Java SE 8がアップデートされました。
      https://blogs.oracle.com/otnjp/entry/java_se_8%E3%81%8C%E3%82%A2%E3%83%83%E3%83%97%E3%83%87%E3%83%BC%E3%83%88%E3%81%95%E3%82%8C%E3%81%BE%E3%81%97%E3%81%9F

      JPCERT/CC Alert 2015-07-15
      2015年7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
      https://www.jpcert.or.jp/at/2015/at150022.html

【4】Kaseya VSA に複数の脆弱性

    情報源
      CERT/CC Vulnerability Note VU#919604
      Kaseya Virtual System Administrator contains multiple vulnerabilities
      https://www.kb.cert.org/vuls/id/919604

    概要
      Kaseya VSA には、ディレクトリトラバーサルおよびオープンリダイレクトの
      脆弱性があります。結果として、製品にログインしているユーザが任意のファ
      イルをダウンロードしたり、遠隔の第三者がユーザを意図しないサイトに誘導
      したりする可能性があります。

      対象となるバージョンは以下の通りです。

      - Kaseya VSA R9 およびそれ以前

      この問題は、Kaseya が提供するパッチを Kaseya VSA に適用することで解決し
      ます。詳細は、Kaseya が提供する情報を参照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#91626651
      Kaseya VSA に複数の脆弱性
      https://jvn.jp/vu/JVNVU91626651/

    関連文書 (英語)
      Kaseya
      Response to CVE-2015-2862 & CVE-2015-2863
      https://helpdesk.kaseya.com/entries/95345528-Response-to-CVE-2015-2862-CVE-2015-2863

【5】acmailer にディレクトリトラバーサルの脆弱性

    情報源
      Japan Vulnerability Notes JVN#64051989
      acmailer におけるディレクトリトラバーサルの脆弱性
      https://jvn.jp/jp/JVN64051989/

    概要
      acmailer には、ディレクトリトラバーサルの脆弱性があります。結果として、
      製品にログイン可能なユーザが、任意のファイルを削除する可能性があります。

      対象となるバージョンは以下の通りです。

      - acmailer 3.8.18 正式版より前のバージョン
      - acmailer 3.9.12β 開発版より前のバージョン

      この問題は、株式会社シーズが提供する修正済みのバージョンに acmailer を
      更新することで解決します。詳細は、株式会社シーズが提供する情報を参照し
      てください。

    関連文書 (日本語)
      acmailer
      acmailer3.8.18正式版とacmailer3.9.12β開発版をリリース
      http://www.acmailer.jp/info/de.cgi?id=58

【6】Thetis に SQL インジェクションの脆弱性

    情報源
      Japan Vulnerability Notes JVN#19011483
      Thetis における SQL インジェクションの脆弱性
      https://jvn.jp/jp/JVN19011483/

    概要
      Thetis には、SQL インジェクションの脆弱性があります。結果として、遠隔の
      第三者が、データベースに対して任意のクエリを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Thetis ver.2.2.0 およびそれ以前

      この問題は、シスフォニック株式会社が提供する修正済みのバージョンに Thetis
      を更新することで解決します。詳細は、シスフォニック株式会社が提供する情
      報を参照してください。

    関連文書 (日本語)
      シスフォニック株式会社
      THETIS-SEC-001: ThetisにおけるSQLインジェクションの脆弱性
      http://sysphonic.com/ja/thetis/THETIS-SEC-001.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Windows Server 2003 サポート終了

      2015年7月15日をもって、Windows Server 2003 はサポートを終了しました。

      サポート終了後は、セキュリティ上の脅威が高まります。例えば、今週紹介し
      た、MS15-078 に対するセキュリティ更新プログラムは、Windows Server 2003
      向けには提供されていません。Windows Server 2003 を利用している場合、サ
      ポートが行われているバージョンへの移行をお勧めします。

    参考文献 (日本語)
      Microsoft
      Windows Server 2003 のサポート終了
      https://www.microsoft.com/ja-jp/server-cloud/products/windows-server-2003/

      独立行政法人情報処理推進機構 (IPA)
      Windows Server 2003のサポート終了に伴う注意喚起
      https://www.ipa.go.jp/security/announce/win2003_eos.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2015 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJVsC4sAAoJEDF9l6Rp7OBID3cIAJgNOifmIbxUD+SSXkgL4qoY
FoepFmcQA15G5bsW7Am2old61HlxlqTSSuBxfY6+QJTVCohb5gBnst3aExT3zB30
DiWcc/6X1DRrqbT6YX8FlOojIt60QpzzZxyeGPASD7OBwejxFdd4o9t7k1zeICKk
mWKhtxrzGEI8sv+xjBIOxxtl6o4Kc+0YuPXIgRgEPutiD2FLWs6j/IgLumtFnYmE
YJTZJUtHCRSABcQsirG6aucUKziOs58KdDLKmmoqNp21mLTUbh3Fb3Hg3Fx9jCbq
vVUAOC4u3Rmmjx+S4FuRvCAeARfqn1hRHGAi17YrBCTtsh29NdsuLpkuCerF1Og=
=YyMW
-----END PGP SIGNATURE-----