<<< JPCERT/CC WEEKLY REPORT 2015-09-30 >>>
■09/13(日)〜09/26(土) のセキュリティ関連情報
目 次
【1】Adobe Flash Player および Adobe AIR に複数の脆弱性
【2】Firefox に複数の脆弱性
【3】複数の Apple 製品に脆弱性
【4】複数の Cisco 製品に脆弱性
【5】WordPress に複数の脆弱性
【6】VMware vCenter Server に情報漏えいの脆弱性
【今週のひとくちメモ】SiSOC Tokyo 発足セミナー開催
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr153701.txt
https://www.jpcert.or.jp/wr/2015/wr153701.xml
【1】Adobe Flash Player および Adobe AIR に複数の脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Flash Player
https://www.us-cert.gov/ncas/current-activity/2015/09/21/Adobe-Releases-Security-Update-Flash-Player
概要
Adobe Flash Player および Adobe AIR には複数の脆弱性があります。結果と して、遠隔の第三者が任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 18.0.0.232 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 継続サポートリリース 18.0.0.232 およびそれ以前 (Windows 版、Macintosh 版) - Google Chrome 用の Adobe Flash Player 18.0.0.233 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、ChromeOS 版) - Adobe Flash PlayerLinux 11.2.202.508 およびそれ以前 (Linux 版) - Adobe AIR デスクトップランタイム 18.0.0.199 およびそれ以前 (Windows 版、Macintosh 版) - Adobe AIR SDK 18.0.0.199 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版) - Adobe AIR SDK & Compiler 18.0.0.180 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版) - Adobe AIR 18.0.0.143 およびそれ以前 (Android 版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb15-23.htmlJPCERT/CC Alert 2015-09-24
Adobe Flash Player の脆弱性 (APSB15-23) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150033.html
【2】Firefox に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2015/09/22/Mozilla-Releases-Security-Updates-Firefox
概要
Firefoxには、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの 可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 41 より前のバージョン - Firefox ESR 38.3 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 9 月 22 日)
http://www.mozilla-japan.org/security/announce/
【3】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates for OS X Server, iTunes, Xcode, and iOS
https://www.us-cert.gov/ncas/current-activity/2015/09/16/Apple-Releases-Security-Updates-OS-X-Server-iTunes-Xcode-and-iOS
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 9 より前のバージョン - Xcode 7.0 より前のバージョン - iTunes 12.3 より前のバージョン (Windows 7 およびそれ以降) - OS X Server v5.0.3 より前のバージョン - watchOS 2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに対象の製品を更新する ことで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99970459
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU99970459/
関連文書 (英語)
Apple
About the security content of iOS 9
https://support.apple.com/ja-jp/HT205212Apple
About the security content of Xcode 7.0
https://support.apple.com/ja-jp/HT205217Apple
About the security content of iTunes 12.3
https://support.apple.com/ja-jp/HT205221Apple
About the security content of OS X Server v5.0.3
https://support.apple.com/ja-jp/HT205219Apple
About the security content of watchOS 2
https://support.apple.com/ja-jp/HT205213
【4】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2015/09/17/Cisco-Releases-Security-UpdatesUS-CERT Current Activity
Cisco Semiannual Security Advisory Bundle
https://www.us-cert.gov/ncas/current-activity/2015/09/24/Cisco-Semiannual-Security-Advisory-Bundle-0
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 認証を回避したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Prime Collaboration Assurance - Cisco TelePresence Server software 4.1 (2.33) より前のバージョンを稼働している Cisco TelePresence Server - Cisco Prime Collaboration Provisioning - Cisco IOS - Cisco IOS XE ソフトウェア この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (日本語)
Cisco セキュリティ アドバイザリ
Multiple Vulnerabilities in Cisco Prime Collaboration Assurance
http://www.cisco.com/cisco/web/support/JP/113/1135/1135304_cisco-sa-20150916-pca-j.htmlCisco セキュリティ アドバイザリ
Cisco TelePresence Server Denial of Service Vulnerability
http://www.cisco.com/cisco/web/support/JP/113/1135/1135306_cisco-sa-20150916-tps-j.htmlCisco セキュリティ アドバイザリ
Cisco Prime Collaboration Provisioning Web Framework Access Controls Bypass Vulnerability
http://www.cisco.com/cisco/web/support/JP/113/1135/1135305_cisco-sa-20150916-pcp-j.htmlCisco セキュリティ アドバイザリ
Cisco Event Response: September 2015 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication
http://www.cisco.com/cisco/web/support/JP/113/1135/1135337_Cisco_ERP_sep15-j.html
【5】WordPress に複数の脆弱性
情報源
US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2015/09/15/WordPress-Releases-Security-Update
概要
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行したり、ユーザが本来許可されてい ない操作を実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.3 およびそれ以前 この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。
関連文書 (日本語)
WordPress
WordPress 4.3.1 セキュリティとメンテナンスのリリース
https://ja.wordpress.org/2015/09/17/wordpress-4-3-1/
【6】VMware vCenter Server に情報漏えいの脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2015/09/17/VMware-Releases-Security-Update
概要
VMware vCenter Server には、脆弱性があります。結果として、第三者が中間 者攻撃を行うことによって、vCenter Server と LDAP サーバの間の通信を盗 聴するなどの可能性があります。 対象となるバージョンは以下の通りです。 - VMware vCenter Server version 6.0 update 1 より前のバージョン - VMware vCenter Server version 5.5 update 3 より前のバージョン この問題は、VMware が提供する修正済みのバージョンに VMware vCenter Server を更新することで解決します。詳細は、VMware が提供する情報を参照してく ださい。
関連文書 (英語)
VMware Security Advisories
VMware vCenter Server updates address a LDAP certificate validation issue
https://www.vmware.com/security/advisories/VMSA-2015-0006.html
■今週のひとくちメモ
○SiSOC Tokyo 発足セミナー開催
東京大学セキュア情報化社会研究寄付講座 (SiSOC Tokyo) は、発足にあたっ てセミナーを開催します。 SiSOC Tokyo は、セキュリティをはじめとするサ イバー空間に関する課題について学際的研究・人材育成・政策提言の推進を目 指しています。本セミナーでは、東京2020オリンピック・パラリンピック競技 大会の開催とマイナンバー社会を見据え、大会組織委員会やマイナンバー関係 省庁からの講演と併せて、SiSOC Tokyo にて行う研究内容の紹介を行います。 日時および場所: 2015年10月7日(水) 13:30~17:35 (12:45開場) 東京大学 情報学環・福武ホール 福武ラーニングシアター 申し込み URL: http://www.sisoc-tokyo.symposium.jp/
参考文献 (日本語)
東京大学 大学院情報学環
SiSOC Tokyo 発足セミナー
http://www.sisoc-tokyo.symposium.jp/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/