JPCERT-WR-2015-4501
2015-11-26
2015-11-15
2015-11-21
複数の Adobe 製品に脆弱性
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、
サーバ上でユーザに意図しない操作を行わせたり、ユーザのブラウザ上で
任意のスクリプトを実行したりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- ColdFusion 11 Update 6 およびそれ以前
- ColdFusion 10 Update 17 およびそれ以前
- LiveCycle Data Services 4.7、4.6.2、4.5、3.1.x、3.0.x
- Adobe Premiere Clip 1.1.1 およびそれ以前 (iOS 版)
この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Adobe が提供する情報を参照してください。
Adobe セキュリティ情報
セキュリティアップデート: ColdFusion 用ホットフィックス公開
https://helpx.adobe.com/jp/security/products/coldfusion/apsb15-29.html
Adobe セキュリティ情報
LiveCycle Data Services 対象のセキュリティアップデート
https://helpx.adobe.com/jp/security/products/livecycleds/apsb15-30.html
Adobe セキュリティ情報
Adobe Premiere Clip に使用できるセキュリティアップデート
https://helpx.adobe.com/jp/security/products/premiereclip/apsb15-31.html
複数の VMware 製品に脆弱性
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、
細工した XML リクエストを送信することによって、情報を取得する可能性が
あります。
対象となる製品およびバージョンは以下の通りです。
- VMware vCenter Server 5.5 update 3 より前のバージョン
- VMware vCenter Server 5.1 update u3b より前のバージョン
- VMware vCenter Server 5.0 update u3e より前のバージョン
- vCloud Director 5.6.4 より前のバージョン
- vCloud Director 5.5.3 より前のバージョン
- VMware Horizon View 6.1 より前のバージョン
- VMware Horizon View 5.3.4 より前のバージョン
この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細は、VMware が提供する情報を参照してください。
VMware Security Advisories
VMware product updates address information disclosure issue.
https://www.vmware.com/security/advisories/VMSA-2015-0008.html
ArcSight Management Center および ArcSight Logger にクロスサイトスクリプティングの脆弱性
ArcSight Management Center および ArcSight Logger には、クロスサイトス
クリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザの
ブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- ArcSight Management Center v2.1 より前のバージョン
- ArcSight Logger v6.1 より前のバージョン
この問題は、HP が提供する修正済みのバージョンに該当する製品を更新する
ことで解決します。詳細は、HP が提供する情報を参照してください。
Hewlett Packard Enterprise サポートセンター
HPSBGN03507 rev.2 - HP Arcsight Management Center, Arcsight Logger, Remote Cross-Site Scripting (XSS)
https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c04797406
Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
Apache Commons Collections ライブラリのデシリアライズ処理には脆弱性が
あります。Apache Commons Collections ライブラリを使用している Java
アプリケーションにおいてシリアライズ機能の使い方が適切でない場合、遠隔
の第三者が、当該アプリケーションの権限で任意のコードを実行する可能性が
あります。
対象となる製品およびバージョンは以下の通りです。
- Commons Collections ライブラリ v3 系
- Commons Collections ライブラリ v4 系
- 上記ライブラリを直接使用している、またはクラスパス指定でアクセス
できる範囲にライブラリが設置されている製品
2015年11月26日現在、Apache Software Foundation では、初期設定で問題の
あるクラスのシリアライズ機能を無効にする対応を行っており、v3 系は、
3.2.2 が提供されています。v4 系については、リポジトリ上で変更は行われ
ていますがまだ正式なアップデートは提供されていません。
詳細は、Apache Software Foundation が提供する情報を参照してください。
また、Apache Commons Collections ライブラリを同梱している各製品の対応
状況については、各ベンダが提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#94276522
Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
https://jvn.jp/vu/JVNVU94276522/
Apache Software Foundation
Apache Commons statement to widespread Java object de-serialisation vulnerability
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
Kirby に任意のファイルを作成される脆弱性
Kirby には、任意のファイルを作成される脆弱性があります。結果として、ロ
グイン可能なユーザが、細工したファイルを作成することによって、サーバ上
で任意の PHP コードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Kirby 2.1.1 およびそれ以前
この問題は、Bastian Allgeier GmbH が提供する修正済みのバージョンに Kirby
を更新することで解決します。詳細は、Bastian Allgeier GmbH が提供する情
報を参照してください。
Kirby
Kirby 2.1.2
http://getkirby.com/changelog/kirby-2-1-2
「今からはじめるマイナンバー対策セミナー」開催のお知らせ
2015年12月8日、JPタワーホール&カンファレンス (千代田区丸の内) におい
て、株式会社ナノオプト・メディア主催の「今からはじめるマイナンバー対策
セミナー」が開催されます。
JPCERT/CC は、本セミナーを後援しています。また「セキュリティインシデン
トの傾向から読み解く!マイナンバー等重要情報の取扱い」と題した講演も行
います。
SecurityDay 2015 開催のお知らせ
SecurityDay 実行委員会主催の SecurityDay 2015 が開催されます。今年は、
「IoTとセキュリティ」をテーマとしたセッションも設けられています。
JPCERT/CC は、本セミナーの運営委員会に参加しています。
また「TSUBAMEセンサーを使った海外のインシデント状況について」と題した
講演も行います。
日時および場所:
2015年12月16日 09:55 - 16:30 (09:30開場)
東京都中小企業振興公社 秋葉原庁舎 第1会議室(千代田区神田佐久間町)
問い合わせURL:
info@securityday.jp
SecurityDay 実行委員会
SecurityDay 2015
http://www.securityday.jp/