-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-4201 JPCERT/CC 2015-11-05 <<< JPCERT/CC WEEKLY REPORT 2015-11-05 >>> ―――――――――――――――――――――――――――――――――――――― ■10/25(日)〜10/31(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Shockwave Player に任意のコードが実行可能な脆弱性 【2】複数のルータ製品にクリックジャッキングの脆弱性 【3】EC-CUBE にクロスサイトリクエストフォージェリの脆弱性 【4】HP ArcSight SmartConnector に複数の脆弱性 【5】EPSON Network Utility に権限昇格の脆弱性 【6】縁sys に複数の脆弱性 【7】HTML::Scrubber にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】IPA が「情報セキュリティ対策ベンチマーク バージョン4.4」と「診断の基礎データの統計情報」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr154201.html https://www.jpcert.or.jp/wr/2015/wr154201.xml ============================================================================ 【1】Adobe Shockwave Player に任意のコードが実行可能な脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Update for Shockwave Player https://www.us-cert.gov/ncas/current-activity/2015/10/27/Security-update-available-Adobe-Shockwave-Player 概要 Adobe Shockwave Player には、任意のコードが実行可能な脆弱性があります。 結果として、遠隔の第三者が、細工したコンテンツを開かせることによって、 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Shockwave Player 12.2.0.162 およびそれ以前 (Windows 版、Macintosh 版) この問題は、Adobe が提供する修正済みのバージョンに Adobe Shockwave Player を更新することで解決します。詳細は、Adobe が提供する情報を参照してくだ さい。 関連文書 (英語) Adobe Security Bulletin Security update available for Adobe Shockwave Player https://helpx.adobe.com/security/products/shockwave/apsb15-26.html 【2】複数のルータ製品にクリックジャッキングの脆弱性 情報源 Japan Vulnerability Notes JVN#48135658 複数のルータ製品におけるクリックジャッキングの脆弱性 https://jvn.jp/jp/JVN48135658/ 概要 複数のルータ製品には、クリックジャッキングの脆弱性があります。結果とし て、遠隔の第三者が、クリックジャッキング攻撃によって、ユーザに意図しな い操作をさせる可能性があります。 影響を受ける製品は複数あります。詳細は、各ベンダや配布元が提供する情報 を参照してください。 関連文書 (日本語) FAQ for YAMAHA RT Series 「複数ルータにおけるクリックジャッキング対策の不備の脆弱性」について http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN48135658.html バッファロー製品セキュリティ情報 クリックジャッキング対策の不備の脆弱性 http://buffalo.jp/support_s/s20151030.html プラネックスコミュニケーションズ株式会社 クリックジャッキングの脆弱性への対応についてのお知らせ http://www.planex.co.jp/news/info/20151030_info.shtml 【3】EC-CUBE にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#97278546 EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN97278546/ 概要 EC-CUBE には、クロスサイトリクエストフォージェリの脆弱性があります。結 果として、遠隔の第三者が、ユーザに細工したコンテンツを開かせることで、 任意の PHP コードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - EC-CUBE 2.11.0 から 2.13.3 まで この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE を更新することで解決します。詳細は、株式会社ロックオンが提供する情報を 参照してください。 関連文書 (日本語) EC-CUBE クロスサイトリクエストフォージェリの脆弱性 https://www.ec-cube.net/info/weakness/weakness.php?id=63 【4】HP ArcSight SmartConnector に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#350508 HP ArcSight SmartConnector fails to properly validate SSL and contains a hard-coded password https://www.kb.cert.org/vuls/id/350508 概要 HP ArcSight SmartConnector には、複数の脆弱性があります。結果として、 遠隔の第三者が、中間者攻撃を行ったり、管理者権限でデバイスにアクセスし たりする可能性があります。 対象となる製品は以下の通りです。 - ArcSight SmartConnector 7.1.6 より前のバージョン この問題は、HP が提供する修正済みのバージョンに ArcSight SmartConnector を更新することで解決します。詳細は、HP が提供する情報を参照してくださ い。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93796805 HP ArcSight SmartConnector に複数の脆弱性 https://jvn.jp/vu/JVNVU93796805/ 【5】EPSON Network Utility に権限昇格の脆弱性 情報源 CERT/CC Vulnerability Note VU#672500 EPSON Network Utility contains a privilege escalation vulnerability https://www.kb.cert.org/vuls/id/672500 概要 EPSON Network Utility には、権限昇格の脆弱性があります。結果として、Windows にログイン可能なユーザが、SYSTEM 権限で任意のコードを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - EPSON Network Utility v4.10 この問題は、Epson America, Inc. が提供する修正済みのバージョンに EPSON Network Utility を更新することで解決します。詳細は、Epson America, Inc. が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93369775 EPSON Network Utility に権限昇格の脆弱性 https://jvn.jp/vu/JVNVU93369775/ 関連文書 (英語) Epson Security Notification Privilege Escalation Vulnerability http://www.epson.com/cgi-bin/Store/support/supAdvice.jsp?type=highlights¬eoid=288045 【6】縁sys に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#58615092 縁sys における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN58615092/ Japan Vulnerability Notes JVN#33179297 縁sys における任意のファイルを作成される脆弱性 https://jvn.jp/jp/JVN33179297/ Japan Vulnerability Notes JVN#13874649 縁sys におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN13874649/ Japan Vulnerability Notes JVN#68289108 縁sys におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN68289108/ 概要 縁sys には、複数の脆弱性があります。結果として、遠隔の第三者が、任意の コードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行したりす るなどの可能性があります。 対象となるバージョンは以下の通りです。 - 縁sys バージョン1.4.0 およびそれ以前 この問題は、株式会社テクノプロジェクトが提供する修正済みのバージョンに 縁sys を更新することで解決します。詳細は、株式会社テクノプロジェクトが 提供する情報を参照してください。 関連文書 (日本語) 縁sys セキュリティ情報 2015年10月28日 SQLインジェクションの脆弱性への対応について https://www.tpj.co.jp/enisys/security_2015102801.html 縁sys セキュリティ情報 2015年10月28日 任意のファイルを作成される脆弱性への対応について https://www.tpj.co.jp/enisys/security_2015102802.html 縁sys セキュリティ情報 2015年10月28日 クロスサイトスクリプティングの脆弱性への対応について https://www.tpj.co.jp/enisys/security_2015102803.html 縁sys セキュリティ情報 2015年10月28日 アクセス制限不備の脆弱性への対応について https://www.tpj.co.jp/enisys/security_2015102804.html 【7】HTML::Scrubber にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#53973084 HTML::Scrubber におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN53973084/ 概要 HTML::Scrubber には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となるバージョンは以下の通りです。 - HTML::Scrubber version 0.14 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに HTML::Scrubber を更 新することで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) HTML::Scrubber Changes for version 0.15 https://metacpan.org/release/HTML-Scrubber ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA が「情報セキュリティ対策ベンチマーク バージョン4.4」と「診断の基礎データの統計情報」を公開 2015年10月27日、情報処理推進機構 (IPA) は、「情報セキュリティ対策ベン チマーク バージョン4.4」と「診断の基礎データの統計情報」を公開しました。 「情報セキュリティ対策ベンチマーク バージョン4.4」は、ISMS 認証基準を ベースに、より簡単にセキュリティ対策の取組み状況を確認するための自己診 断システムで、他社の取組み状況と比較できるものです。「診断の基礎データ の統計情報」は、実際に診断を行った企業の診断データ 3,999件の統計情報を まとめたものです。 参考文献 (日本語) 情報処理推進機構 (IPA) 「情報セキュリティ対策ベンチマーク バージョン4.4」と「診断の基礎データの統計情報」を公開 https://www.ipa.go.jp/security/benchmark/benchmark_20151027.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWOqO/AAoJEDF9l6Rp7OBIWAkH/iu4sRO1/KMnzfVnb7rlUgP0 vHg3FhJGaXaW5Symkog/E+cvm2ZMlL+YfxvWPzhi0tNg3lQ623tHmnaBHX3V9HDI W/M73TyD6fclpF6U6iS1aYTZGPEWYQ1BcG1zdr9j6IegDTqwhMSTpv23Bx8dr/jJ hiM6uf2MhWCu/YLwKzXDCnl8cOxTaLjGpQTairFzhXc/RL/9Ts5vEYK6oHFxzOJw 4pTDv/aiyDyW5shvlAYmvkBxeGzivAxa/AbyKeKaxOSknI8T6kt5Od0pBMcDRCmw tYWYqF0qLPUeUeiV75exOLm9t5g3LWjzj5u0LgAlPykozXoshgL4fd6BAS7Qjks= =oR1v -----END PGP SIGNATURE-----