-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-4501 JPCERT/CC 2015-11-26 <<< JPCERT/CC WEEKLY REPORT 2015-11-26 >>> ―――――――――――――――――――――――――――――――――――――― ■11/15(日)〜11/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Adobe 製品に脆弱性 【2】複数の VMware 製品に脆弱性 【3】ArcSight Management Center および ArcSight Logger にクロスサイトスクリプティングの脆弱性 【4】Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性 【5】Kirby に任意のファイルを作成される脆弱性 【6】「今からはじめるマイナンバー対策セミナー」開催のお知らせ 【今週のひとくちメモ】SecurityDay 2015 開催のお知らせ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr154501.html https://www.jpcert.or.jp/wr/2015/wr154501.xml ============================================================================ 【1】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for ColdFusion, LiveCycle Data Services, and Adobe Premiere Clip https://www.us-cert.gov/ncas/current-activity/2015/11/17/Adobe-Releases-Security-Updates-ColdFusion-LiveCycle-Data-Services 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、 サーバ上でユーザに意図しない操作を行わせたり、ユーザのブラウザ上で 任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - ColdFusion 11 Update 6 およびそれ以前 - ColdFusion 10 Update 17 およびそれ以前 - LiveCycle Data Services 4.7、4.6.2、4.5、3.1.x、3.0.x - Adobe Premiere Clip 1.1.1 およびそれ以前 (iOS 版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe セキュリティ情報 セキュリティアップデート: ColdFusion 用ホットフィックス公開 https://helpx.adobe.com/jp/security/products/coldfusion/apsb15-29.html Adobe セキュリティ情報 LiveCycle Data Services 対象のセキュリティアップデート https://helpx.adobe.com/jp/security/products/livecycleds/apsb15-30.html Adobe セキュリティ情報 Adobe Premiere Clip に使用できるセキュリティアップデート https://helpx.adobe.com/jp/security/products/premiereclip/apsb15-31.html 【2】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2015/11/19/VMware-Releases-Security-Updates 概要 複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、 細工した XML リクエストを送信することによって、情報を取得する可能性が あります。 対象となる製品およびバージョンは以下の通りです。 - VMware vCenter Server 5.5 update 3 より前のバージョン - VMware vCenter Server 5.1 update u3b より前のバージョン - VMware vCenter Server 5.0 update u3e より前のバージョン - vCloud Director 5.6.4 より前のバージョン - vCloud Director 5.5.3 より前のバージョン - VMware Horizon View 6.1 より前のバージョン - VMware Horizon View 5.3.4 より前のバージョン この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細は、VMware が提供する情報を参照してください。 関連文書 (英語) VMware Security Advisories VMware product updates address information disclosure issue. https://www.vmware.com/security/advisories/VMSA-2015-0008.html 【3】ArcSight Management Center および ArcSight Logger にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#51046809 ArcSight Management Center および ArcSight Logger におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN51046809/ 概要 ArcSight Management Center および ArcSight Logger には、クロスサイトス クリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザの ブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - ArcSight Management Center v2.1 より前のバージョン - ArcSight Logger v6.1 より前のバージョン この問題は、HP が提供する修正済みのバージョンに該当する製品を更新する ことで解決します。詳細は、HP が提供する情報を参照してください。 関連文書 (英語) Hewlett Packard Enterprise サポートセンター HPSBGN03507 rev.2 - HP Arcsight Management Center, Arcsight Logger, Remote Cross-Site Scripting (XSS) https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c04797406 【4】Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性 情報源 CERT/CC Vulnerability Note VU#576313 Apache Commons Collections Java library insecurely deserializes data https://www.kb.cert.org/vuls/id/576313 概要 Apache Commons Collections ライブラリのデシリアライズ処理には脆弱性が あります。Apache Commons Collections ライブラリを使用している Java アプリケーションにおいてシリアライズ機能の使い方が適切でない場合、遠隔 の第三者が、当該アプリケーションの権限で任意のコードを実行する可能性が あります。 対象となる製品およびバージョンは以下の通りです。 - Commons Collections ライブラリ v3 系 - Commons Collections ライブラリ v4 系 - 上記ライブラリを直接使用している、またはクラスパス指定でアクセス できる範囲にライブラリが設置されている製品 2015年11月26日現在、Apache Software Foundation では、初期設定で問題の あるクラスのシリアライズ機能を無効にする対応を行っており、v3 系は、 3.2.2 が提供されています。v4 系については、リポジトリ上で変更は行われ ていますがまだ正式なアップデートは提供されていません。 詳細は、Apache Software Foundation が提供する情報を参照してください。 また、Apache Commons Collections ライブラリを同梱している各製品の対応 状況については、各ベンダが提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94276522 Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性 https://jvn.jp/vu/JVNVU94276522/ 関連文書 (英語) Apache Software Foundation Apache Commons statement to widespread Java object de-serialisation vulnerability https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread 【5】Kirby に任意のファイルを作成される脆弱性 情報源 Japan Vulnerability Notes JVN#34780384 Kirby における任意のファイルを作成される脆弱性 https://jvn.jp/jp/JVN34780384/ 概要 Kirby には、任意のファイルを作成される脆弱性があります。結果として、ロ グイン可能なユーザが、細工したファイルを作成することによって、サーバ上 で任意の PHP コードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Kirby 2.1.1 およびそれ以前 この問題は、Bastian Allgeier GmbH が提供する修正済みのバージョンに Kirby を更新することで解決します。詳細は、Bastian Allgeier GmbH が提供する情 報を参照してください。 関連文書 (英語) Kirby Kirby 2.1.2 http://getkirby.com/changelog/kirby-2-1-2 【6】「今からはじめるマイナンバー対策セミナー」開催のお知らせ 情報源 株式会社ナノオプト・メディア 今からはじめるマイナンバー対策セミナー http://f2ff.jp/go/jpcert 概要 2015年12月8日、JPタワーホール&カンファレンス (千代田区丸の内) におい て、株式会社ナノオプト・メディア主催の「今からはじめるマイナンバー対策 セミナー」が開催されます。 JPCERT/CC は、本セミナーを後援しています。また「セキュリティインシデン トの傾向から読み解く!マイナンバー等重要情報の取扱い」と題した講演も行 います。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○SecurityDay 2015 開催のお知らせ SecurityDay 実行委員会主催の SecurityDay 2015 が開催されます。今年は、 「IoTとセキュリティ」をテーマとしたセッションも設けられています。 JPCERT/CC は、本セミナーの運営委員会に参加しています。 また「TSUBAMEセンサーを使った海外のインシデント状況について」と題した 講演も行います。 日時および場所: 2015年12月16日 09:55 - 16:30 (09:30開場) 東京都中小企業振興公社 秋葉原庁舎 第1会議室(千代田区神田佐久間町) 問い合わせURL: info@securityday.jp 参考文献 (日本語) SecurityDay 実行委員会 SecurityDay 2015 http://www.securityday.jp/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWVlelAAoJEDF9l6Rp7OBIIiQH/17V8wCHo5lD9pfo+VJOUCkr gjfmA80SutmiUcu4NE6BOr1iHkrs1mGkhxNa4WavC7EupGBKdJzjgBjoke7BSyx9 rOieGS9lSmLfQZO/SLdhxLOCoDQ0TPXmjdw/ltYrBZHl4Xy9zWZwcEX+ixImxNME mUKLYBhIjbRqmmhCWOho/QXoXygQVCpPgTZERT/Ypl4S99y0ayMpLnJGdL8qtFNn Gz3m+1TNudf+AAw2FdVot3/j16MqlEGAabtkMO7e84q4L4+kaPmENSbPSD/vyKJG MHfEHkbLcM+XA3FF67fxe6gP9nOuC6IeVYWKiv2LdHDqAMhtuwgQujGeKV0kE38= =/5Vx -----END PGP SIGNATURE-----