<<< JPCERT/CC WEEKLY REPORT 2015-11-26 >>>
■11/15(日)〜11/21(土) のセキュリティ関連情報
目 次
【1】複数の Adobe 製品に脆弱性
【2】複数の VMware 製品に脆弱性
【3】ArcSight Management Center および ArcSight Logger にクロスサイトスクリプティングの脆弱性
【4】Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
【5】Kirby に任意のファイルを作成される脆弱性
【6】「今からはじめるマイナンバー対策セミナー」開催のお知らせ
【今週のひとくちメモ】SecurityDay 2015 開催のお知らせ
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr154501.txt
https://www.jpcert.or.jp/wr/2015/wr154501.xml
【1】複数の Adobe 製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for ColdFusion, LiveCycle Data Services, and Adobe Premiere Clip
https://www.us-cert.gov/ncas/current-activity/2015/11/17/Adobe-Releases-Security-Updates-ColdFusion-LiveCycle-Data-Services
概要
複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、 サーバ上でユーザに意図しない操作を行わせたり、ユーザのブラウザ上で 任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - ColdFusion 11 Update 6 およびそれ以前 - ColdFusion 10 Update 17 およびそれ以前 - LiveCycle Data Services 4.7、4.6.2、4.5、3.1.x、3.0.x - Adobe Premiere Clip 1.1.1 およびそれ以前 (iOS 版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe セキュリティ情報
セキュリティアップデート: ColdFusion 用ホットフィックス公開
https://helpx.adobe.com/jp/security/products/coldfusion/apsb15-29.htmlAdobe セキュリティ情報
LiveCycle Data Services 対象のセキュリティアップデート
https://helpx.adobe.com/jp/security/products/livecycleds/apsb15-30.htmlAdobe セキュリティ情報
Adobe Premiere Clip に使用できるセキュリティアップデート
https://helpx.adobe.com/jp/security/products/premiereclip/apsb15-31.html
【2】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2015/11/19/VMware-Releases-Security-Updates
概要
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、 細工した XML リクエストを送信することによって、情報を取得する可能性が あります。 対象となる製品およびバージョンは以下の通りです。 - VMware vCenter Server 5.5 update 3 より前のバージョン - VMware vCenter Server 5.1 update u3b より前のバージョン - VMware vCenter Server 5.0 update u3e より前のバージョン - vCloud Director 5.6.4 より前のバージョン - vCloud Director 5.5.3 より前のバージョン - VMware Horizon View 6.1 より前のバージョン - VMware Horizon View 5.3.4 より前のバージョン この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細は、VMware が提供する情報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMware product updates address information disclosure issue.
https://www.vmware.com/security/advisories/VMSA-2015-0008.html
【3】ArcSight Management Center および ArcSight Logger にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#51046809
ArcSight Management Center および ArcSight Logger におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN51046809/
概要
ArcSight Management Center および ArcSight Logger には、クロスサイトス クリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザの ブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - ArcSight Management Center v2.1 より前のバージョン - ArcSight Logger v6.1 より前のバージョン この問題は、HP が提供する修正済みのバージョンに該当する製品を更新する ことで解決します。詳細は、HP が提供する情報を参照してください。
関連文書 (英語)
Hewlett Packard Enterprise サポートセンター
HPSBGN03507 rev.2 - HP Arcsight Management Center, Arcsight Logger, Remote Cross-Site Scripting (XSS)
https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c04797406
【4】Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
情報源
CERT/CC Vulnerability Note VU#576313
Apache Commons Collections Java library insecurely deserializes data
https://www.kb.cert.org/vuls/id/576313
概要
Apache Commons Collections ライブラリのデシリアライズ処理には脆弱性が あります。Apache Commons Collections ライブラリを使用している Java アプリケーションにおいてシリアライズ機能の使い方が適切でない場合、遠隔 の第三者が、当該アプリケーションの権限で任意のコードを実行する可能性が あります。 対象となる製品およびバージョンは以下の通りです。 - Commons Collections ライブラリ v3 系 - Commons Collections ライブラリ v4 系 - 上記ライブラリを直接使用している、またはクラスパス指定でアクセス できる範囲にライブラリが設置されている製品 2015年11月26日現在、Apache Software Foundation では、初期設定で問題の あるクラスのシリアライズ機能を無効にする対応を行っており、v3 系は、 3.2.2 が提供されています。v4 系については、リポジトリ上で変更は行われ ていますがまだ正式なアップデートは提供されていません。 詳細は、Apache Software Foundation が提供する情報を参照してください。 また、Apache Commons Collections ライブラリを同梱している各製品の対応 状況については、各ベンダが提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94276522
Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
https://jvn.jp/vu/JVNVU94276522/
関連文書 (英語)
Apache Software Foundation
Apache Commons statement to widespread Java object de-serialisation vulnerability
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
【5】Kirby に任意のファイルを作成される脆弱性
情報源
Japan Vulnerability Notes JVN#34780384
Kirby における任意のファイルを作成される脆弱性
https://jvn.jp/jp/JVN34780384/
概要
Kirby には、任意のファイルを作成される脆弱性があります。結果として、ロ グイン可能なユーザが、細工したファイルを作成することによって、サーバ上 で任意の PHP コードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Kirby 2.1.1 およびそれ以前 この問題は、Bastian Allgeier GmbH が提供する修正済みのバージョンに Kirby を更新することで解決します。詳細は、Bastian Allgeier GmbH が提供する情 報を参照してください。
関連文書 (英語)
Kirby
Kirby 2.1.2
http://getkirby.com/changelog/kirby-2-1-2
【6】「今からはじめるマイナンバー対策セミナー」開催のお知らせ
情報源
株式会社ナノオプト・メディア
今からはじめるマイナンバー対策セミナー
http://f2ff.jp/go/jpcert
概要
2015年12月8日、JPタワーホール&カンファレンス (千代田区丸の内) におい て、株式会社ナノオプト・メディア主催の「今からはじめるマイナンバー対策 セミナー」が開催されます。 JPCERT/CC は、本セミナーを後援しています。また「セキュリティインシデン トの傾向から読み解く!マイナンバー等重要情報の取扱い」と題した講演も行 います。
■今週のひとくちメモ
○SecurityDay 2015 開催のお知らせ
SecurityDay 実行委員会主催の SecurityDay 2015 が開催されます。今年は、 「IoTとセキュリティ」をテーマとしたセッションも設けられています。 JPCERT/CC は、本セミナーの運営委員会に参加しています。 また「TSUBAMEセンサーを使った海外のインシデント状況について」と題した 講演も行います。 日時および場所: 2015年12月16日 09:55 - 16:30 (09:30開場) 東京都中小企業振興公社 秋葉原庁舎 第1会議室(千代田区神田佐久間町) 問い合わせURL: info@securityday.jp
参考文献 (日本語)
SecurityDay 実行委員会
SecurityDay 2015
http://www.securityday.jp/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/