<<< JPCERT/CC WEEKLY REPORT 2015-09-02 >>>
■08/23(日)〜08/29(土) のセキュリティ関連情報
目 次
【1】Firefox に任意のコードが実行可能な脆弱性
【2】Adobe ColdFusion に脆弱性
【3】WordPress 用プラグイン Google Analyticator に脆弱性
【4】ファイル暗号化ソフト ED に問題
【今週のひとくちメモ】組織外にある DNS サーバへのアクセスを制御する
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr153401.txt
https://www.jpcert.or.jp/wr/2015/wr153401.xml
【1】Firefox に任意のコードが実行可能な脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2015/08/27/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR
概要
Firefox には、脆弱性があります。結果として、遠隔の第三者が、ユーザに不 正なページへのアクセスを行わせることで、任意のコードを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - Firefox 40.0.3 より前のバージョン - Firefox ESR 38.2.1 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 8 月 27 日)
http://www.mozilla-japan.org/security/announce/
【2】Adobe ColdFusion に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Update for ColdFusion
https://www.us-cert.gov/ncas/current-activity/2015/08/28/Adobe-Releases-Security-Update-ColdFusion
概要
Adobe ColdFusion には、脆弱性があります。結果として、遠隔の第三者が、 当該製品が動作するサーバ内の情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - ColdFusion 11 Update 5 およびそれ以前 - ColdFusion 10 Update 16 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに ColdFusion を更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (英語)
Adobe Security Bulletin
Security Update: Hotfix available for ColdFusion (APSB15-21)
https://helpx.adobe.com/security/products/coldfusion/apsb15-21.html
【3】WordPress 用プラグイン Google Analyticator に脆弱性
情報源
WordPress Plugin Directory
Google Analyticator Changelog
https://wordpress.org/plugins/google-analyticator/changelog/
概要
WordPress 用プラグイン Google Analyticator には、クロスサイトスクリプ ティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウ ザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Google Analyticator 6.4.9.6 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに Google Analyticator を更新することで解決します。詳細は、開発者が提供する情報を参照してくだ さい。
【4】ファイル暗号化ソフト ED に問題
情報源
Japan Vulnerability Notes JVN#91474878
ファイル暗号化ソフト ED に小さいファイルを暗号化した場合において暗号化データの解読が比較的容易になる問題
https://jvn.jp/jp/JVN91474878/
概要
ファイル暗号化ソフト ED には問題があります。16 バイト未満のファイルを 暗号化した場合、容易に解読される可能性があります。 対象となるバージョンは以下の通りです。 - ファイル暗号化ソフト ED Ver4.0 より前のバージョン この問題は、開発者が提供する修正済みのバージョンにファイル暗号化ソフト ED を更新することで解決します。詳細は、開発者が提供する情報を参照して ください。
関連文書 (日本語)
Type74.orgのブログ
JVN公開情報につきまして
http://type74org.blog14.fc2.com/blog-entry-1384.htmlType74.org
5-1、暗号技術について
http://type74.org/edman5-1.php
■今週のひとくちメモ
○組織外にある DNS サーバへのアクセスを制御する
US-CERT から「US-CERT Alert TA15-240A」がリリースされました。この文書 では、組織内の端末が組織外部の DNS サーバに直接アクセスする場合のリス クについて言及しています。 TA15-240A や、NIST が公開している DNS に関するドキュメント「NIST 800-81-2」を参考に、設定の見直しなど、セキュリティ向上の検討をお勧めし ます。
参考文献 (英語)
US-CERT Alert (TA15-240A)
Controlling Outbound DNS Access
https://www.us-cert.gov/ncas/alerts/TA15-240ANIST Publication 800-81-2
Secure Domain Name System (DNS) Deployment Guide
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-81-2.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/