<<< JPCERT/CC WEEKLY REPORT 2015-04-22 >>>
■04/12(日)〜04/18(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】Windows NTLM が file:// URL へのリダイレクト時に SMB 接続を行いユーザ認証情報を送信する問題
【3】複数の Adobe 製品に脆弱性
【4】2015年4月 Oracle Critical Patch Update について
【5】PHP に複数の脆弱性
【6】Ruby の OpenSSL 拡張ライブラリ に複数の脆弱性
【7】JBoss RichFaces に脆弱性
【8】HP Network Automation に複数の脆弱性
【9】SearchBlox に複数の脆弱性
【10】JAIPA Cloud Conference 2015 開催
【今週のひとくちメモ】Java SE JDK/JRE 7 の公式アップデート終了
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr151601.txt
https://www.jpcert.or.jp/wr/2015/wr151601.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases April 2015 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2015/04/14/Microsoft-Releases-April-2015-Security-Bulletin
概要
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office - Microsoft サーバー ソフトウェア - プロダクティビティ ソフトウェア - Microsoft .NET Framework この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細については、Microsoft が提供する情報を参照して下さい。
関連文書 (日本語)
マイクロソフト株式会社
2015 年 4 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms15-aprJPCERT/CC Alert 2015-04-15
2015年4月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150009.html
【2】Windows NTLM が file:// URL へのリダイレクト時に SMB 接続を行いユーザ認証情報を送信する問題
情報源
CERT/CC Vulnerability Note VU#672268
Microsoft Windows NTLM automatically authenticates via SMB when following a file:// URL
https://www.kb.cert.org/vuls/id/672268
概要
いくつかの Windows アプリケーションは、HTTP リクエストが SMB サーバを 示す file:// URL にリダイレクトされた場合に SMB 認証情報を送信します。 結果として、遠隔の第三者が、ユーザに file:// で始まる URL へアクセスさ せることで、認証情報を取得する可能性があります。 対象となる製品およびバージョンは複数存在します。 2015年4月21日現在、更新プログラムは公開されていません。以下のいずれかの 回避策を適用することで、本脆弱性の影響を軽減することが可能です。 - 外部ネットワーク向けの SMB 通信 (139/tcp および 445/tcp) を遮断する - 外部ネットワーク向けの SMB 通信を制限するよう NTLM の設定を変更する - デフォルトの認証機能として NTLM を使用しない 詳細については、マイクロソフト株式会社が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99430390
Windows NTLM が file:// URL へのリダイレクト時にSMB 接続を行いユーザ認証情報を送信する問題
https://jvn.jp/vu/JVNVU99430390/
関連文書 (英語)
マイクロソフト株式会社
Using security policies to restrict NTLM traffic
https://technet.microsoft.com/en-us/library/jj865668(v=ws.10).aspx
【3】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Flash Player, ColdFusion and Flex
https://www.us-cert.gov/ncas/current-activity/2015/04/15/Adobe-Releases-Security-Updates-Flash-Player-ColdFusion-and-Flex
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 17.0.0.134 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 13.0.0.277 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.451 およびそれ以前 (Linux 版) - ColdFusion 11 および 10 - Adobe Flex 4.6 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。
関連文書 (日本語)
Adobeセキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb15-06.htmlAdobeセキュリティ情報
セキュリティアップデート:ColdFusion用ホットフィックス公開
https://helpx.adobe.com/jp/security/products/coldfusion/apsb15-07.htmlAdobeセキュリティ情報
Adobe Flex ASdoc ツールの出力のセキュリティ脆弱性
https://helpx.adobe.com/jp/security/products/flex/apsb15-08.htmlJPCERT/CC Alert 2015-04-15
Adobe Flash Player の脆弱性 (APSB15-06) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150011.html
【4】2015年4月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity
Oracle Releases April 2015 Security Advisory
https://www.us-cert.gov/ncas/current-activity/2015/04/15/Oracle-Releases-April-2015-Security-Advisory
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update が公開されました。詳細については、Oracle が提供する情報を参照して下さい。
関連文書 (日本語)
Oracle
Oracle Critical Patch Update Advisory - April 2015
http://www.oracle.com/technetwork/jp/topics/ojkbcpuapr2015-2518565-ja.htmlJPCERT/CC Alert 2015-04-15
2015年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2015/at150010.html
【5】PHP に複数の脆弱性
情報源
PHP Group
PHP 5.6.8 is available
https://php.net/index.php#id2015-04-16-2PHP Group
PHP 5.5.24 is available
https://php.net/index.php#id2015-04-16-1PHP Group
PHP 5.4.40 Released
https://php.net/index.php#id2015-04-16-3
概要
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - PHP 5.6.8 より前のバージョン - PHP 5.5.24 より前のバージョン - PHP 5.4.40 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細については、開発者や配布元が提供する情報を参 照して下さい。
関連文書 (英語)
PHP Group
PHP 5 ChangeLog Version 5.6.8
https://php.net/ChangeLog-5.php#5.6.8PHP Group
PHP 5 ChangeLog Version 5.5.24
https://php.net/ChangeLog-5.php#5.5.24PHP Group
PHP 5 ChangeLog Version 5.4.40
https://php.net/ChangeLog-5.php#5.4.40
【6】Ruby の OpenSSL 拡張ライブラリ に複数の脆弱性
情報源
Ruby
CVE-2015-1855: Ruby OpenSSL ホスト名検証の脆弱性
https://www.ruby-lang.org/ja/news/2015/04/13/ruby-openssl-hostname-matching-vulnerability/
概要
Ruby の OpenSSL 拡張ライブラリが提供している X.509 証明書のホスト名検 証機能は、RFC で規定されている仕様に違反しています。結果として、ホスト 名の検証が適切に行われない可能性があります。 対象となるバージョンは以下の通りです。 - Ruby 2.0.0 patchlevel 645 より前の Ruby 2.0 系列のバージョン - Ruby 2.1.6 より前の Ruby 2.1 系列のバージョン - Ruby 2.2.2 より前の Ruby 2.2 系列のバージョン - revision 50292 より前の開発版 (trunk) この問題は、開発者や配布元が提供する修正済みのバージョンに Ruby を更新 することで解決します。詳細については、開発者や配布元が提供する情報を参 照して下さい。
関連文書 (日本語)
Ruby
Ruby 2.0.0-p645 リリース
https://www.ruby-lang.org/ja/news/2015/04/13/ruby-2-0-0-p645-released/Ruby
Ruby 2.1.6 リリース
https://www.ruby-lang.org/ja/news/2015/04/13/ruby-2-1-6-released/Ruby
Ruby 2.2.2 リリース
https://www.ruby-lang.org/ja/news/2015/04/13/ruby-2-2-2-released/
【7】JBoss RichFaces に脆弱性
情報源
Japan Vulnerability Notes JVN#56297719
JBoss RichFaces において任意の Java コードが実行される脆弱性
https://jvn.jp/jp/JVN56297719/
概要
JBoss RichFaces のパラメータの処理には、脆弱性があります。結果として、 遠隔の第三者が、細工した入力を処理させることで、任意の Java コードを実 行する可能性があります。 対象となるバージョンは以下の通りです。 - JBoss RichFaces 4.5.4 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに JBoss RichFaces を 更新することで解決します。詳細については、開発者が提供する情報を参照し て下さい。
関連文書 (日本語)
独立行政法人情報処理推進機構 (IPA)
「JBoss RichFaces」において任意の Java コードが実行される脆弱性対策について(JVN#56297719)
https://www.ipa.go.jp/security/ciadr/vul/20150414-jvn.html
関連文書 (英語)
JBossDeveloper
RichFaces 4.5.4.Final Release Announcement
https://developer.jboss.org/people/michpetrov/blog/2015/04/01/richfaces-453final-release-announcement
【8】HP Network Automation に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#750060
Hewlett-Packard Network Automation contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/750060
概要
HP Network Automation には、複数の脆弱性があります。結果として、遠隔の 第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った りするなどの可能性があります。 対象となるバージョンは以下の通りです。 - HP Network Automation v9.0X - HP Network Automation v9.1X - HP Network Automation v9.2X - HP Network Automation v10.X この問題は、HP が提供する修正済みのバージョンに HP Network Automation を更新することで解決します。詳細については、HP が提供する情報を参照し て下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90341582
HP Network Automation に複数の脆弱性
https://jvn.jp/vu/JVNVU90341582/
関連文書 (英語)
HP Support Center
HPSBMU03264 rev.2 - HP Network Automation, Multiple Remote Vulnerabilities
https://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04574207
【9】SearchBlox に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#697316
SearchBlox contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/697316
概要
SearchBlox には、複数の脆弱性があります。結果として、遠隔の第三者が、 ログイン可能なユーザの権限で任意の操作をさせたり、ユーザのブラウザ上で 任意のスクリプトを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - SearchBlox 8.2 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに SearchBlox を更新する ことで解決します。詳細については、開発者が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98215813
SearchBlox に複数の脆弱性
https://jvn.jp/vu/JVNVU98215813/
関連文書 (英語)
SearchBlox Software, Inc.
SearchBlox Version 8.2
http://www.searchblox.com/downloads
【10】JAIPA Cloud Conference 2015 開催
情報源
一般社団法人 日本インターネットプロバイダー協会 クラウド部会
JAIPA Cloud Conference 2015
https://cloudconference.jaipa.or.jp/
概要
2015年5月27日、日本インターネットプロバイダー協会 (JAIPA) クラウド部会 は、クラウド事業者向けのイベントとして、JAIPA Cloud Conference 2015 を 開催します。このイベントでは、省庁の ICT 関連施策に関する講演やクラウ ドに関する法的諸問題に関する講演などが予定されています。JPCERT/CC もこ のイベントを後援しています。 参加は無料ですが、事前申し込みが必要となります。参加を希望する方はお早 めにお申し込み下さい。
■今週のひとくちメモ
○Java SE JDK/JRE 7 の公式アップデート終了
2015年4月14日、Oracle Java SE の Critical Patch Update が公開され、こ れをもって Java SE JDK/JRE 7 の公式アップデートは終了しました。 今後、セキュリティ上の脅威が高まることが懸念されるため、Java SE JDK/JRE 7 をお使いの方は、Java SE JDK/JRE 8 への移行を検討して下さい。
参考文献 (日本語)
Oracle
Java SE 7の公式アップデート終了のお知らせ
http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html#Java6-end-public-updates独立行政法人情報処理推進機構 (IPA)
公式サポートが終了する Java SE 7 の利用者に向けた注意喚起
https://www.ipa.go.jp/security/announce/java7_eol.htmlJPCERT/CC Alert 2015-04-15
2015年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2015/at150010.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/