-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-3901 JPCERT/CC 2015-10-15 <<< JPCERT/CC WEEKLY REPORT 2015-10-15 >>> ―――――――――――――――――――――――――――――――――――――― ■10/04(日)〜10/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】サイボウズ ガルーンに複数の脆弱性 【2】島根県CMS に SQL インジェクションの脆弱性 【3】phpRechnung に SQL インジェクションの脆弱性 【今週のひとくちメモ】JPNIC 管理下の逆引きゾーンへ DNSSEC 導入 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr153901.html https://www.jpcert.or.jp/wr/2015/wr153901.xml ============================================================================ 【1】サイボウズ ガルーンに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#21025396 サイボウズ ガルーンにおいて任意の PHP コードが実行される複数の脆弱性 https://jvn.jp/jp/JVN21025396/ Japan Vulnerability Notes JVN#38369032 サイボウズ ガルーンにおける LDAP インジェクションの脆弱性 https://jvn.jp/jp/JVN38369032/ 概要 サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第 三者が、任意の PHP コードを実行したり、認証サーバの情報を取得したりす るなどの可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ ガルーン 3.0.0 から 4.0.3 まで この問題は、サイボウズ株式会社が提供する修正済みのバージョンにサイボウ ズ ガルーンを更新することで解決します。詳細は、サイボウズ株式会社が提 供する情報を参照してください。 関連文書 (日本語) サイボウズ株式会社 [CyVDB-863]任意のPHPを実行される脆弱性 https://support.cybozu.com/ja-jp/article/8809 サイボウズ株式会社 [CyVDB-866] RSSリーダーに関する不適切な入力確認の脆弱性 https://support.cybozu.com/ja-jp/article/8810 サイボウズ株式会社 [CyVDB-867] 任意のPHPを実行される脆弱性 https://support.cybozu.com/ja-jp/article/8811 サイボウズ株式会社 [CyVDB-1018][CyVDB-1021]ログイン認証に関するLDAPインジェクションの脆弱性 https://support.cybozu.com/ja-jp/article/9176 独立行政法人情報処理推進機構 (IPA) 「サイボウズ ガルーン」における複数の脆弱性の対策について(JVN#21025396)(JVN#38369032) https://www.ipa.go.jp/security/ciadr/vul/20151007-jvn.html 【2】島根県CMS に SQL インジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#84982142 島根県CMS における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN84982142/ 概要 島根県CMS には、SQL インジェクションの脆弱性があります。結果として、ロ グイン可能なユーザが、任意の SQL 文を実行する可能性があります。 対象となるバージョンは以下の通りです。 - 島根県CMS バージョン 2.0.0 この問題は、株式会社ネットワーク応用通信研究所が提供する修正済みのバー ジョンに島根県CMS を更新することで解決します。詳細は、株式会社ネット ワーク応用通信研究所が提供する情報を参照してください。 関連文書 (日本語) 株式会社ネットワーク応用通信研究所 島根県CMS バージョン2 https://github.com/NaCl-Ltd/pref-shimane-cms 【3】phpRechnung に SQL インジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#02671769 phpRechnung における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN02671769/ 概要 phpRechnung には、SQL インジェクションの脆弱性があります。結果として、 ログイン可能なユーザが、データベース内の情報を取得したり、改ざんしたり する可能性があります。 対象となるバージョンは以下の通りです。 - phpRechnung 1.6.4 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに phpRechnung を更新 することで解決します。詳細は、開発者が提供する情報を参照してください。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPNIC 管理下の逆引きゾーンへ DNSSEC 導入 JPNIC は、管理する IP アドレスの逆引きゾーンへの DNSSEC の導入や、逆引 きゾーンの更新間隔の短縮を、2015年11月9日に実施する予定です。それに伴 い、2015年10月9日、JPNIC は関連する JPNIC公開文書を改定し、公開しまし た。DNS サーバを管理している方は、参考文献を確認することをおすすめしま す。 参考文献 (日本語) 一般社団法人日本ネットワークインフォメーションセンター(JPNIC) IPアドレス管理業務に関するJPNIC文書公開のお知らせ - 逆引きDNSへのDNSSEC導入および更新間隔短縮 - https://www.nic.ad.jp/ja/topics/2015/20151009-02.html 一般社団法人日本ネットワークインフォメーションセンター(JPNIC) 2015年11月9日から有効となるJPNIC公開文書 https://www.nic.ad.jp/ja/ip/doc/20151109.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWHvTiAAoJEDF9l6Rp7OBIhd4H/RHx3HiLuz4xU44pMpu563KQ jQjMtzucmX5YinKb6OGyw9PyoRDvlZHmCaqxYaEOmbeXJSgYRNfPABJm6AinZsKO cmVfQJjYNWkuBoDLEmuxX6KW+Kkq34kxHIxE6JuGGC/7JeQl8pRTOMyNLTbeO2/I WNWsuDUvtxG2Tn4RNX0RiRzsoEDWdeHe6PJ6OvrFOF3MeLw4Pww6vLhF1wuVLETj 0rDZ7iqBn/eN6AxIGZHvNrnLYb4vreIKbOnrWMZfoanF+Jxu22PAlyUJ0IfPSZ+l +fmUh6NcxOTqrISdQuCl0MGVOJ0oRjM3AaI+/DBel7Ajm30q+C1REmiNFC7h1/w= =Dz+t -----END PGP SIGNATURE-----