<<< JPCERT/CC WEEKLY REPORT 2015-08-12 >>>
■08/02(日)〜08/08(土) のセキュリティ関連情報
目 次
【1】Firefox に同一生成元ポリシー回避の脆弱性
【2】PHP に複数の脆弱性
【3】WordPress に複数の脆弱性
【4】Android 版「ヨドバシ」に複数の脆弱性
【今週のひとくちメモ】MS14-025 への対策確認の呼びかけ
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr153101.txt
https://www.jpcert.or.jp/wr/2015/wr153101.xml
【1】Firefox に同一生成元ポリシー回避の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2015/08/06/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR
概要
Firefox には、同一生成元ポリシー回避の脆弱性があります。結果として、遠 隔の第三者が、細工したページをユーザにアクセスさせることで、ユーザの端 末に保存されている情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 39.0.3 より前のバージョン - Firefox ESR 38.1.1 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 8 月 6 日)
http://www.mozilla-japan.org/security/announce/
【2】PHP に複数の脆弱性
情報源
PHP Group
PHP 5.6.12 is available
https://php.net/archive/2015.php#id2015-08-06-4PHP Group
PHP 5.5.28 is released
https://php.net/archive/2015.php#id2015-08-06-3PHP Group
PHP 5.4.44 Released
https://php.net/archive/2015.php#id2015-08-06-2
概要
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 対象となるバージョンは以下の通りです。 - PHP 5.6.12 より前のバージョン - PHP 5.5.28 より前のバージョン - PHP 5.4.44 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細は、開発者や配布元が提供する情報を参照してく ださい。
関連文書 (英語)
PHP Group
PHP 5 ChangeLog Version 5.6.12
https://php.net/ChangeLog-5.php#5.6.12PHP Group
PHP 5 ChangeLog Version 5.5.28
https://php.net/ChangeLog-5.php#5.5.28PHP Group
PHP 5 ChangeLog Version 5.4.44
https://php.net/ChangeLog-5.php#5.4.44
【3】WordPress に複数の脆弱性
情報源
US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2015/08/04/WordPress-Releases-Security-Update
概要
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユ ーザのブラウザ上で任意のスクリプトを実行したり、データベースに対して任 意のクエリを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.2.3 およびそれ以前 この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。
関連文書 (日本語)
WordPress
WordPress 4.2.4 セキュリティとメンテナンスのリリース
https://ja.wordpress.org/2015/08/06/wordpress-4-2-4-security-and-maintenance-release/
【4】Android 版「ヨドバシ」に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#70465405
Android 版「ヨドバシ」において任意の Java のメソッドが実行される脆弱性
https://jvn.jp/jp/JVN70465405/Japan Vulnerability Notes JVN#29053368
Android 版「ヨドバシ」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN29053368/
概要
Android 版「ヨドバシ」には、複数の脆弱性があります。結果として、遠隔の 第三者が、任意のコードを実行したり、中間者攻撃によって暗号通信を盗聴す るなどの可能性があります。 対象となるバージョンは以下の通りです。 - Android 版「ヨドバシ」 バージョン 1.2.1.0 およびそれ以前 この問題は、株式会社ヨドバシカメラが提供する修正済みのバージョンに Android 版「ヨドバシ」を更新することで解決します。詳細は、株式会社ヨドバシカメ ラが提供する情報を参照してください。
■今週のひとくちメモ
○MS14-025 への対策確認の呼びかけ
2015年8月7日、US-CERT は「Required Group Policy Preference Actions for Microsoft Security Bulletin MS14-025」を公開しました。MS14-025 の更新 プログラムでは、グループポリシーにパスワードを保存しないよう修正が行わ れましたが、適用前にすでに保存されていたパスワードは削除されません。そ のため、MS14-025 では、「追加の措置が必要」として、その詳細を説明して います。すでに保存されていたパスワードを放置していると、システムへの不 正なアクセスを招くことになります。 US-CERT は、グループポリシーに保存されたままのパスワードを狙った攻撃が 今も続いているとして注意を呼びかけています。該当する製品をお使いの管理 者は、MS14-025 の対策が適切に行われているかどうか確認することをおすす めします。
参考文献 (日本語)
マイクロソフト セキュリティ情報 MS14-025 - 重要
グループ ポリシー基本設定の脆弱性により、特権が昇格される (2962486)
https://technet.microsoft.com/ja-jp/library/security/ms14-025.aspxマイクロソフト サポート
[MS14-025] グループ ポリシー基本設定の脆弱性により、特権が昇格される (2014 年 5 月 13 日)
https://support.microsoft.com/ja-jp/kb/2962486
参考文献 (英語)
US-CERT Current Activity
Required Group Policy Preference Actions for Microsoft Security Bulletin MS14-025
https://www.us-cert.gov/ncas/current-activity/2015/08/07/Required-Group-Policy-Preference-Actions-Microsoft-SecurityMicrosoft TechNet Blogs - Ash de Zylva’s Weblog
(Don’t) Set or Save Passwords Using Group Policy Preferences
http://blogs.technet.com/b/ash/archive/2014/11/10/don-t-set-or-save-passwords-using-group-policy-preferences.aspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/