<<< JPCERT/CC WEEKLY REPORT 2014-03-05 >>>
■02/23(日)〜03/01(土) のセキュリティ関連情報
目 次
【1】Apple の複数の製品に脆弱性
【2】libpng にサービス運用妨害 (DoS) の脆弱性
【3】サイボウズ ガルーンに複数の脆弱性
【4】XooNIps にクロスサイトスクリプティングの脆弱性
【5】Norman Security Suite に権限昇格の脆弱性
【6】Blue Coat ProxySG に脆弱性
【今週のひとくちメモ】Hong Kong Security Watch Report
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr130901.txt
https://www.jpcert.or.jp/wr/2013/wr130901.xml
【1】Apple の複数の製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates for Safari 6.1.2 and Safari 7.0.2
http://www.us-cert.gov/ncas/current-activity/2014/02/27/Apple-Releases-Security-Updates-Safari-612-and-Safari-702US-CERT Current Activity
Apple Releases OS X Mavericks v10.9.2 and Security Update 2014-001
http://www.us-cert.gov/ncas/current-activity/2014/02/27/Apple-Releases-Security-Updates-OSX-Mavericks-v1092-and-SecurityUS-CERT Current Activity
Apple Releases QuickTime 7.7.5
http://www.us-cert.gov/ncas/current-activity/2014/02/27/Apple-Releases-Secutiy-Update-QuickTime-775
概要
Apple の複数の製品には脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品は以下の通りです。 - Safari - OS X Lion、Lion Server、Mountain Lion、Mavericks - QuickTime (Windows版) この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Apple が提供する情報を参照して下さ い。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98302748
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98302748/index.htmlJapan Vulnerability Notes JVNVU#95868425
Apple OS X における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95868425/index.htmlJapan Vulnerability Notes JVNVU#95788297
Apple QuickTime における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95788297/index.html
関連文書 (英語)
Apple Support
About the security content of Safari 6.1.2 and Safari 7.0.2
http://support.apple.com/kb/HT6145Apple Support
About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001
http://support.apple.com/kb/HT6150Apple Support
About the security content of QuickTime 7.7.5
http://support.apple.com/kb/HT6151
【2】libpng にサービス運用妨害 (DoS) の脆弱性
情報源
CERT/CC Vulnerability Note VU#684412
libpng denial-of-service vulnerability
http://www.kb.cert.org/vuls/id/684412
概要
libpng には、サービス運用妨害 (DoS) の脆弱性があります。結果として、遠 隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - libpng バージョン 1.6.0 から 1.6.9 この問題は、PNG Development Group が提供する修正済みのバージョンに libpng を更新することで解決します。詳細については、PNG Development Group が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98404231
libpng におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU98404231/
関連文書 (英語)
LIBPNG: PNG reference library
ANNOUNCE
http://sourceforge.net/p/libpng/code/ci/libpng16/tree/ANNOUNCE
【3】サイボウズ ガルーンに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#24035499
サイボウズ ガルーンにおけるセッション管理不備の脆弱性
https://jvn.jp/jp/JVN24035499/index.htmlJapan Vulnerability Notes JVN#26393529
サイボウズ ガルーンにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN26393529/index.htmlJapan Vulnerability Notes JVN#71045461
サイボウズ ガルーンにおける SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN71045461/index.html
概要
サイボウズ ガルーンには、複数の脆弱性があります。結果として、ログイン 可能なユーザが、他のユーザになりすましたり、データの取得や改ざんを行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ ガルーン 2.5.4 およびそれ以前 - サイボウズ ガルーン 3.7 Service Pack 3 およびそれ以前 この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ ガルー ンを更新することで解決します。詳細については、サイボウズが提供する情報 を参照して下さい。
関連文書 (日本語)
サイボウズ株式会社
セッション管理不備の脆弱性【CY14-002-002】
http://cs.cybozu.co.jp/information/gr20140225up03.phpサイボウズ株式会社
ファイルダウンロード処理に関するSQLインジェクションの脆弱性【CY14-002-003】
http://cs.cybozu.co.jp/information/gr20140225up04.phpサイボウズ株式会社
ファイルダウンロード処理に関するディレクトリトラバーサルの脆弱性【CY14-002-004】
http://cs.cybozu.co.jp/information/gr20140225up05.php
【4】XooNIps にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#87797318
XooNIps におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN87797318/index.html
概要
XooNIps には、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは以下の通りです。 - XooNIps 3.47 およびそれ以前 この問題は、理化学研究所 脳科学総合研究センター 神経情報基盤センターが 提供する修正済みのバージョンに XooNIps を更新することで解決します。詳 細については、理化学研究所 脳科学総合研究センター 神経情報基盤センター が提供する情報を参照して下さい。
関連文書 (日本語)
XooNIps official site
XooNIps 3.48 をリリースしました (2014/1/31)
http://xoonips.sourceforge.jp/modules/news/index.php?page=article&storyid=11&ml_lang=ja
【5】Norman Security Suite に権限昇格の脆弱性
情報源
Japan Vulnerability Notes JVN#02017463
Norman Security Suite における権限昇格の脆弱性
https://jvn.jp/jp/JVN02017463/index.html
概要
Norman Security Suite には、権限昇格の脆弱性があります。結果として、当 該製品がインストールされた PC にログイン可能なユーザによって、権限が昇 格され、任意のコードが実行される可能性があります。 対象となるバージョンは以下の通りです。 - Norman Security Suite 10.1 およびそれ以前 この問題は、Norman Safeground AS が提供する修正済みのバージョンに Norman Security Suite を更新することで解決します。詳細については、 Norman Safeground AS が提供する情報を参照して下さい。
【6】Blue Coat ProxySG に脆弱性
情報源
CERT/CC Vulnerability Note VU#221620
Blue Coat ProxySG local user changes contain a time and state vulnerability
http://www.kb.cert.org/vuls/id/221620
概要
Blue Coat ProxySG には認証情報の更新機能に脆弱性があります。結果として、 アカウントを削除されたユーザが、システムにアクセスする可能性があります。 対象となるシステムは以下の通りです。 - SGOS 6.5.4 より前のバージョン この問題は、Blue Coat Systems が提供する修正済みのバージョンに Blue Coat ProxySG を更新することで解決します。詳細については、Blue Coat Systems が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93097036
Blue Coat ProxySG に脆弱性
https://jvn.jp/vu/JVNVU93097036/index.html
関連文書 (英語)
Security Advisories
February 18, 2014 - Changes to ProxySG local users are delayed
https://kb.bluecoat.com/index?page=content&id=SA77
■今週のひとくちメモ
○Hong Kong Security Watch Report
香港の CSIRT である HKCERT が、Hong Kong Security Watch Report の公開 を開始しました。これは、香港で起こっているインシデントなど、セキュリティ 関連情報をまとめているもので、四半期ごとにリリースされる予定です。
参考文献 (英語)
HKCERT Security Blog
Hong Kong Security Watch Report (Q4 2013)
https://www.hkcert.org/my_url/en/blog/14022601HKCERT
Hong Kong Security Watch Report
https://www.hkcert.org/hkswr
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/