<<< JPCERT/CC WEEKLY REPORT 2013-08-28 >>>
■08/18(日)〜08/24(土) のセキュリティ関連情報
目 次
【1】PHP OpenID Library に 脆弱性
【2】McAfee Email Gateway SMTP にサービス運用妨害 (DoS) の脆弱性
【3】HP StoreOnce D2D Backup Systems にサービス運用妨害 (DoS) の脆弱性
【4】ヤフーのスマートフォン向けアプリに SSL サーバ証明書検証不備の脆弱性
【今週のひとくちメモ】マイクロソフトが MD5 ハッシュの利用制限プログラムを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr133401.txt
https://www.jpcert.or.jp/wr/2013/wr133401.xml
【1】PHP OpenID Library に 脆弱性
情報源
Japan Vulnerability Notes JVN#24713981
PHP OpenID Library における XML 外部実体参照に関する脆弱性
https://jvn.jp/jp/JVN24713981/index.html
概要
PHP OpenID Library には、脆弱性があります。結果として、遠隔の第三者が、 サーバ上の情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - PHP OpenID Library バージョン 2.2.2 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに PHP OpenID Library を更新することで解決します。詳細については、開発者が提供する情報を参照 して下さい。
関連文書 (英語)
PHP OpenID Library Project
disable external XML entities and libxml errors
https://github.com/openid/php-openid/commit/625c16bb28bb120d262b3f19f89c2c06cb9b0da9
【2】McAfee Email Gateway SMTP にサービス運用妨害 (DoS) の脆弱性
情報源
JC3 Bulletin
V-225: McAfee Email Gateway SMTP Processing Flaw Lets Remote Users Deny Service
http://energy.gov/cio/articles/v-225-mcafee-email-gateway-smtp-processing-flaw-lets-remote-users-deny-service
概要
McAfee Email Gateway SMTP には、サービス運用妨害 (DoS) の脆弱性がありま す。結果として、遠隔の第三者が細工したメールを送信することで、サービス 運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - McAfee Email Gateway (MEG) 7.5 この問題は、McAfee が提供する修正済みのパッチを McAfee Email Gateway に 適用することで解決します。詳細については、McAfee が提供する情報を参照し て下さい。
関連文書 (英語)
McAfee Technical Articles
MEG 7.5 SMTP proxy stops responding when scanning specifically formatted emails
http://kc.mcafee.com/corporate/index?page=content&id=KB79117
【3】HP StoreOnce D2D Backup Systems にサービス運用妨害 (DoS) の脆弱性
情報源
JC3 Bulletin
V-226: HP StoreOnce D2D Backup Systems Denial of Service Vulnerability
http://energy.gov/cio/articles/v-226-hp-storeonce-d2d-backup-systems-denial-service-vulnerability
概要
HP StoreOnce D2D Backup Systems には、サービス運用妨害 (DoS) の脆弱性が あります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う 可能性があります。 対象となるバージョンは以下の通りです。 - HP StoreOnce D2D Backup Systems 1.2.18 以前のバージョン 1.x - HP StoreOnce D2D Backup Systems 2.2.18 以前のバージョン 2.x この問題は、HP が提供する修正済みのバージョンに StoreOnce D2D Backup Systems を更新することで解決します。詳細については、HP が提供する情報を 参照して下さい。
関連文書 (英語)
HP SUPPORT COMMUNICATION - SECURITY BULLETIN
HPSBST02897 rev.1 - HP StoreOnce D2D Backup System, Remote Denial of Service (DoS)
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03828580
【4】ヤフーのスマートフォン向けアプリに SSL サーバ証明書検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#75084836
Android 版 Yahoo!ショッピングにおける SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN75084836/index.htmlJapan Vulnerability Notes JVN#68156832
ヤフオク! における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN68156832/index.html
概要
ヤフー株式会社が提供する複数のスマートフォン向けアプリには、SSL サーバ 証明書検証不備の脆弱性があります。結果として、遠隔の第三者が、暗号通信 を盗聴する可能性があります。 対象となるバージョンは以下の通りです。 - Yahoo!ショッピング ver.1.4 およびそれ以前 (Android 版) - ヤフオク! ver.4.3.0 およびそれ以前 (iOS 版、Android 版) この問題は、ヤフー株式会社が提供する修正済みのバージョンに該当する製品 を更新することで解決します。詳細については、ヤフー株式会社が提供する情 報を参照して下さい。
■今週のひとくちメモ
○マイクロソフトが MD5 ハッシュの利用制限プログラムを公開
マイクロソフトは 8月に MD5 ハッシュの利用制限のセキュリティ更新プログラ ムを公開しました。このプログラムを適用すると、いくつかの条件では MD5 ハッ シュを利用した証明書が利用できなくなります。 現在は、ダウンロードセンターのみで公開されていますが、来年の 2月以降、 WindowsUpdate などによる自動更新が予定されています。使用している環境で 問題が発生しないか、事前に検証し、適用準備をしましょう。
参考文献 (日本語)
Microsoft TechNet blog 日本のセキュリティチーム
セキュリティ アドバイザリ 2862973 〜 ルート証明書プログラムにおける MD5ハッシュの利用制限
http://blogs.technet.com/b/jpsecurity/archive/2013/08/14/3590346.aspxCRYPTREC
電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)
http://www.cryptrec.go.jp/images/cryptrec_ciphers_list_2013.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/