-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-3401 JPCERT/CC 2015-09-02 <<< JPCERT/CC WEEKLY REPORT 2015-09-02 >>> ―――――――――――――――――――――――――――――――――――――― ■08/23(日)〜08/29(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Firefox に任意のコードが実行可能な脆弱性 【2】Adobe ColdFusion に脆弱性 【3】WordPress 用プラグイン Google Analyticator に脆弱性 【4】ファイル暗号化ソフト ED に問題 【今週のひとくちメモ】組織外にある DNS サーバへのアクセスを制御する ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr153401.html https://www.jpcert.or.jp/wr/2015/wr153401.xml ============================================================================ 【1】Firefox に任意のコードが実行可能な脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox https://www.us-cert.gov/ncas/current-activity/2015/08/27/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR 概要 Firefox には、脆弱性があります。結果として、遠隔の第三者が、ユーザに不 正なページへのアクセスを行わせることで、任意のコードを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - Firefox 40.0.3 より前のバージョン - Firefox ESR 38.2.1 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2015 年 8 月 27 日) http://www.mozilla-japan.org/security/announce/ 【2】Adobe ColdFusion に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Update for ColdFusion https://www.us-cert.gov/ncas/current-activity/2015/08/28/Adobe-Releases-Security-Update-ColdFusion 概要 Adobe ColdFusion には、脆弱性があります。結果として、遠隔の第三者が、 当該製品が動作するサーバ内の情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - ColdFusion 11 Update 5 およびそれ以前 - ColdFusion 10 Update 16 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに ColdFusion を更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (英語) Adobe Security Bulletin Security Update: Hotfix available for ColdFusion (APSB15-21) https://helpx.adobe.com/security/products/coldfusion/apsb15-21.html 【3】WordPress 用プラグイン Google Analyticator に脆弱性 情報源 WordPress Plugin Directory Google Analyticator Changelog https://wordpress.org/plugins/google-analyticator/changelog/ 概要 WordPress 用プラグイン Google Analyticator には、クロスサイトスクリプ ティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウ ザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Google Analyticator 6.4.9.6 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに Google Analyticator を更新することで解決します。詳細は、開発者が提供する情報を参照してくだ さい。 【4】ファイル暗号化ソフト ED に問題 情報源 Japan Vulnerability Notes JVN#91474878 ファイル暗号化ソフト ED に小さいファイルを暗号化した場合において暗号化データの解読が比較的容易になる問題 https://jvn.jp/jp/JVN91474878/ 概要 ファイル暗号化ソフト ED には問題があります。16 バイト未満のファイルを 暗号化した場合、容易に解読される可能性があります。 対象となるバージョンは以下の通りです。 - ファイル暗号化ソフト ED Ver4.0 より前のバージョン この問題は、開発者が提供する修正済みのバージョンにファイル暗号化ソフト ED を更新することで解決します。詳細は、開発者が提供する情報を参照して ください。 関連文書 (日本語) Type74.orgのブログ JVN公開情報につきまして http://type74org.blog14.fc2.com/blog-entry-1384.html Type74.org 5-1、暗号技術について http://type74.org/edman5-1.php ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○組織外にある DNS サーバへのアクセスを制御する US-CERT から「US-CERT Alert TA15-240A」がリリースされました。この文書 では、組織内の端末が組織外部の DNS サーバに直接アクセスする場合のリス クについて言及しています。 TA15-240A や、NIST が公開している DNS に関するドキュメント「NIST 800-81-2」を参考に、設定の見直しなど、セキュリティ向上の検討をお勧めし ます。 参考文献 (英語) US-CERT Alert (TA15-240A) Controlling Outbound DNS Access https://www.us-cert.gov/ncas/alerts/TA15-240A NIST Publication 800-81-2 Secure Domain Name System (DNS) Deployment Guide http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-81-2.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJV5kfZAAoJEDF9l6Rp7OBIHYoH/ise8NORpS37/0YZchkg7Nyy 1JaRWCpcOHVsOZfEK35OgCdIQ/XtJ4ZiI/BS+0GtCnRrJoI6xVGD+myGmgNqIzZS feS2LYy9TFJnNJuojl6bOVCs43GH1gS5bHpd8gstHrXD0hFk1Bx5bxLAMdlR5wD4 XPoQPaaccRCcrwKh4OFD8taAyttxdfgsLlC3J5pbEvRVTbnERLpo7fusCEWQBDa0 QjsEwqOPBfMrwxiqnOVksMNup5cvi2SXQ7StL/jv5ptS0EUaZX7AftjAVmFmHJ8A CUEaa/UC2kZNIWpnOu0clv1Uu7x1rGXiveW1GgaltNUg3s9dgFOoSlP5WG0OcAI= =OSeV -----END PGP SIGNATURE-----