-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-3801 JPCERT/CC 2015-10-07 <<< JPCERT/CC WEEKLY REPORT 2015-10-07 >>> ―――――――――――――――――――――――――――――――――――――― ■09/27(日)〜10/03(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】PHP に複数の脆弱性 【2】複数の VMware 製品に脆弱性 【3】複数の Apple 製品に脆弱性 【4】Apache Cordova プラグイン cordova-plugin-file-transfer に HTTP ヘッダインジェクションの脆弱性 【5】Windows 版 Python に任意の DLL 読み込みに関する脆弱性 【6】オムロン製 PLC および CX-Programmer に複数の脆弱性 【7】baserCMS に複数の脆弱性 【8】「フィッシング対策セミナー 2015」開催のお知らせ 【今週のひとくちメモ】10月は「サイバーセキュリティ国際キャンペーン」 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr153801.html https://www.jpcert.or.jp/wr/2015/wr153801.xml ============================================================================ 【1】PHP に複数の脆弱性 情報源 PHP Group PHP 5.6.14 is available https://secure.php.net/archive/2015.php#id2015-10-01-3 PHP Group PHP 5.5.30 is available https://secure.php.net/archive/2015.php#id2015-10-01-2 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、情報を取 得するなどの可能性があります。 対象となるバージョンは以下の通りです。 - PHP 5.6.14 より前のバージョン - PHP 5.5.30 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細は、開発者や配布元が提供する情報を参照してく ださい。 関連文書 (英語) PHP Group PHP 5 ChangeLog Version 5.6.14 https://secure.php.net/ChangeLog-5.php#5.6.14 PHP Group PHP 5 ChangeLog Version 5.5.30 https://secure.php.net/ChangeLog-5.php#5.5.30 【2】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Advisory https://www.us-cert.gov/ncas/current-activity/2015/10/01/VMware-Releases-Security-Advisory 概要 複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware ESXi 5.5 ESXi550-201509101 より前のバージョン - VMware ESXi 5.1 ESXi510-201510101 より前のバージョン - VMware ESXi 5.0 ESXi500-201510101 より前のバージョン - VMware vCenter Server 6.0 update 1 より前のバージョン - VMware vCenter Server 5.5 update 3 より前のバージョン - VMware vCenter Server 5.1 update u3b より前のバージョン - VMware vCenter Server 5.0 update u3e より前のバージョン この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細は、VMware が提供する情報を参照してください。 関連文書 (英語) VMware Security Advisories VMware vCenter and ESXi updates address critical security issues. https://www.vmware.com/security/advisories/VMSA-2015-0007.html 【3】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for OS X El Capitan, Safari, and iOS https://www.us-cert.gov/ncas/current-activity/2015/09/30/Apple-Releases-Security-Updates-OS-X-El-Capitan-Safari-and-iOS 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、情報を取得したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - OS X El Capitan v10.11 より前のバージョン - Safari 9 より前のバージョン - iOS 9.0.2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97220341 複数の Apple 製品の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU97220341/ 関連文書 (英語) Apple About the security content of OS X El Capitan v10.11 https://support.apple.com/ja-jp/HT205267 Apple About the security content of Safari 9 https://support.apple.com/ja-jp/HT205265 Apple About the security content of iOS 9.0.2 https://support.apple.com/ja-jp/HT205284 【4】Apache Cordova プラグイン cordova-plugin-file-transfer に HTTP ヘッダインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#21612597 Apache Cordova プラグイン cordova-plugin-file-transfer における HTTP ヘッダインジェクションの脆弱性 https://jvn.jp/jp/JVN21612597/ 概要 Apache Cordova のプラグイン cordova-plugin-file-transfer を使用した Android アプリケーションには、HTTP ヘッダインジェクションの脆弱性があ ります。結果として、遠隔の第三者が、細工したファイルを処理させることで、 任意のスクリプトを実行したり、ユーザのブラウザ上に任意の情報を表示した りするなどの可能性があります。 対象となるバージョンは以下の通りです。 - cordova-plugin-file-transfer 1.2.1 およびそれ以前 この問題は、The Apache Software Foundation が提供する修正済みのバー ジョンに cordova-plugin-file-transfer を更新し、アプリケーションをリビ ルドすることで解決します。詳細は、The Apache Software Foundation が提 供する情報を参照してください。 関連文書 (英語) Apache Cordova cordova-plugin-file-transfer release: September 21, 2015 http://cordova.apache.org/news/2015/09/21/file-transfer-release.html 【5】Windows 版 Python に任意の DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#49503705 Windows 版 Python における任意の DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN49503705/ 概要 Windows 版 Python には、実行の際に特定の DLL ファイルを読み込む脆弱性 があります。結果として、遠隔の第三者が、readline.pyd という名の DLL ファイルを作成することで、任意のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - Windows 版 Python 2015年10月5日現在、対策済みのバージョンは公開されていません。以下の回 避策を適用することで、本脆弱性の影響を軽減することが可能です。 - python.exe を実行する際、カレントディレクトリ内に readline.pyd という名の DLL ファイルが存在しないことを確認する 詳細は、開発者や配布元が提供する情報を参照してください。 【6】オムロン製 PLC および CX-Programmer に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#99817917 オムロン製 PLC および CX-Programmer に複数の脆弱性 https://jvn.jp/vu/JVNVU99817917/ 概要 オムロン製 PLC および CX-Programmer には、複数の脆弱性があります。結果 として、遠隔の第三者が、パスワードを取得する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - CJ2M ユニット Ver. 2.1 より前のバージョン - CJ2H ユニット Ver. 1.5 より前のバージョン - CX-Programmer Ver. 9.6 より前のバージョン この問題は、オムロン株式会社が提供する修正済みのバージョンに該当する製 品を更新することで解決します。詳細は、オムロン株式会社が提供する情報を 参照してください。 関連文書 (日本語) オムロン株式会社 【お知らせ】弊社プログラマブルコントローラ CJシリーズの「UM読出プロテクト機能」に使用しているパスワード保護機能の強化について http://www.fa.omron.co.jp/product/special/security_plc/index.html 関連文書 (英語) ICS-CERT Advisory (ICSA-15-274-01) Omron Multiple Product Vulnerabilities https://ics-cert.us-cert.gov/advisories/ICSA-15-274-01 【7】baserCMS に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#79633796 baserCMS における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN79633796/ Japan Vulnerability Notes JVN#04855224 baserCMS におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN04855224/ 概要 baserCMS には、複数の脆弱性があります。結果として、ログイン済みのユー ザが、任意の SQL コマンドを実行したり、他のユーザの設定を変更したりす る可能性があります。 対象となるバージョンは以下の通りです。 - baserCMS 3.0.7 およびそれ以前 この問題は、baserCMS ユーザー会が提供する修正済みのバージョンに baserCMS を更新することで解決します。詳細は、baserCMS ユーザー会が提供する情報 を参照してください。 関連文書 (日本語) baserCMSユーザー会 SQL インジェクションの脆弱性 http://basercms.net/security/JVN79633796 baserCMSユーザー会 アクセス制限不備の脆弱性 http://basercms.net/security/JVN04855224 【8】「フィッシング対策セミナー 2015」開催のお知らせ 情報源 フィッシング対策協議会 フィッシング対策セミナー 2015 開催のご案内 https://www.antiphishing.jp/news/event/antiphishing_seminar2015.html 概要 フィッシング対策協議会では、「フィッシング対策セミナー 2015」を開催い たします。本セミナーでは、サイバー犯罪の動向、フィッシング詐欺の現状に 加え、実際の金融機関におけるフィッシング対応策・取組みなどをご紹介いた します。 参加費は無料ですが、事前に参加申込みが必要となります。満席になり次第、 受付終了とさせていただきますので、ご了承ください。 日時および場所: 2015年11月20日(金) 13:00 - 18:00 (受付開始 12:15) 大崎ブライトコア (JR 大崎駅 新東口) 〒141-0001 東京都品川区北品川5丁目5番15号 大崎ブライトコア3階 http://www.osaki-hall.jp/home/contact.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○10月は「サイバーセキュリティ国際キャンペーン」 10月1日、内閣サイバーセキュリティセンター (NISC) は「サイバーセキュリ ティ国際キャンペーン」を開始しました。このキャンペーンは、毎年2月に開 催している「情報セキュリティ月間」に加えて、国際連携推進や情報セキュリ ティの普及啓発活動を行うために、2012年から毎年10月に実施されています。 キャンペーン中は、様々な関連行事が開催される予定です。 参考文献 (日本語) 内閣サイバーセキュリティセンター (NISC) サイバーセキュリティ国際キャンペーン http://www.nisc.go.jp/security-site/campaign/ 内閣サイバーセキュリティセンター (NISC) 「サイバーセキュリティ国際キャンペーン」の実施について http://www.nisc.go.jp/press/pdf/campaign2015.pdf 警察庁 サイバー犯罪対策 サイバーセキュリティ国際キャンペーン特集 https://www.npa.go.jp/cyber/international/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWFGq0AAoJEDF9l6Rp7OBIJloIAJ18c2I7m5zU5jOzFQlGD4bR ZrNeLYo0A9V5/L8NQOvTFXx5W21m+jM0QXmqyfERkTFkKipFKV65R6k7u7xslHLR DhmpL9m1BcRQR0ncXQtDVhVoKiS1VIUokuyEYOVYxubAKqy2/aYJngI6k6Z+vfzX GcHAGRStA5TEQY0a/QMbv0biTJCpGmFODcDkhp8Wzx6RTbvuB89dIwiphZ7w+x8e urp0ehlIh5Kb+kTPhPudJT0mYXBV959xq6VszOgvOwe26KyzEOGgx43Jlcp6Aa2s +RZd3aFhBkqc+aIGpn68ZahekFA9GssVUjxL2um6c3ryunOzW/WsmhnElyvM3p8= =neM4 -----END PGP SIGNATURE-----