<<< JPCERT/CC WEEKLY REPORT 2015-12-16 >>>
■12/06(日)〜12/12(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】Adobe Flash Player および Adobe AIR に複数の脆弱性
【3】複数の Apple 製品に脆弱性
【4】WL-330NUL に複数の脆弱性
【5】Uptime Infrastructure Monitor (旧称 up.time) の Windows 向けエージェントに複数の脆弱性
【6】「アクセス解析」にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】内閣サイバーセキュリティセンター (NISC) が重要インフラにおける分野横断的演習を実施
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr154801.txt
https://www.jpcert.or.jp/wr/2015/wr154801.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases December 2015 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2015/12/08/Microsoft-Releases-December-2015-Security-Bulletin
概要
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Office - Internet Explorer - Microsoft Edge - Microsoft .NET Framework - Skype for Business - Microsoft Lync - Silverlight この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ とで解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2015 年 12 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms15-decJPCERT/CC Alert 2015-12-09
2015年12月 Microsoft セキュリティ情報 (緊急 8件含) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150041.html
【2】Adobe Flash Player および Adobe AIR に複数の脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Flash Player
https://www.us-cert.gov/ncas/current-activity/2015/12/08/Adobe-Releases-Security-Updates-Flash-Player
概要
Adobe Flash Player および Adobe AIR には複数の脆弱性があります。結果と して、遠隔の第三者が、任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 19.0.0.245 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 継続サポートリリース 18.0.0.261 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash PlayerLinux 11.2.202.548 およびそれ以前 (Linux 版) - Adobe AIR デスクトップランタイム 19.0.0.241 およびそれ以前 (Windows 版、Macintosh 版) - Adobe AIR SDK 19.0.0.241 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版) - Adobe AIR SDK & Compiler 19.0.0.241 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS 版) - Adobe AIR 19.0.0.241 およびそれ以前 (Android 版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb15-32.htmlJPCERT/CC Alert 2015-12-09
Adobe Flash Player の脆弱性 (APSB15-32) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150042.html
【3】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Mutliple Security Updates
https://www.us-cert.gov/ncas/current-activity/2015/12/08/Apple-Releases-Multiple-Security-UpdatesUS-CERT Current Activity
Apple Releases Security Update for iTunes
https://www.us-cert.gov/ncas/current-activity/2015/12/11/Apple-Releases-Security-Update-iTunes
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 9.2 より前のバージョン - tvOS 9.1 より前のバージョン - OS X El Capitan 10.11.2 より前のバージョン - watchOS 2.1 より前のバージョン - Safari 9.0.2 より前のバージョン - Xcode 7.2 より前のバージョン - iTunes 12.3.2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97526033
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU97526033/
関連文書 (英語)
Apple
About the security content of iOS 9.2
https://support.apple.com/HT205635Apple
About the security content of tvOS 9.1
https://support.apple.com/HT205640Apple
About the security content of OS X El Capitan 10.11.2, Security Update 2015-005 Yosemite, and Security Update 2015-008 Mavericks
https://support.apple.com/HT205637Apple
About the security content of watchOS 2.1
https://support.apple.com/HT205641Apple
About the security content of Safari 9.0.2
https://support.apple.com/HT205639Apple
About the security content of Xcode 7.2
https://support.apple.com/HT205642Apple
About the security content of iTunes 12.3.2
https://support.apple.com/HT205636
【4】WL-330NUL に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#89965717
WL-330NUL におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN89965717/Japan Vulnerability Notes JVN#85359294
WL-330NUL におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN85359294/Japan Vulnerability Notes JVN#34489380
WL-330NUL において任意のコマンドを実行される脆弱性
https://jvn.jp/jp/JVN34489380/Japan Vulnerability Notes JVN#69462495
WL-330NUL における情報管理不備の脆弱性
https://jvn.jp/jp/JVN69462495/
概要
WL-330NUL には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユー ザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - WL-330NUL Firmware version 3.0.0.42 より前のバージョン この問題は、ASUS JAPAN株式会社が提供する修正済みのバージョンに WL-330NUL のファームウェアを更新することで解決します。詳細は、ASUS JAPAN株式会社 が提供する情報を参照してください。
関連文書 (日本語)
ASUS JAPAN株式会社
無線 LAN ポータブルルータWL-330NULの脆弱性に対する対策済みファームウェア適用のお願い
https://www.asus.com/jp/News/FX04LE8HN0qBoqFI
【5】Uptime Infrastructure Monitor (旧称 up.time) の Windows 向けエージェントに複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#377260
Up.time agent for Windows contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/377260
概要
Uptime Infrastructure Monitor (旧称 up.time) には、複数の脆弱性があり ます。結果として、遠隔の第三者が、任意のコードを実行したり、システム情 報を取得したりするなどの可能性があります。 対象となる製品は以下の通りです。 - Uptime Infrastructure Monitor の Windows 向けエージェント この問題の一部は、Idera が提供する修正済みのバージョンに Uptime Infrastructure Monitor の Windows 向けエージェントを更新することで解決します。また、 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 - データ読み取り専用で動作させる - パスワードを設定する - 通信を SSL により暗号化するなど、適切に設定する - 使用する予定のないコマンドを無効にする 詳細は、Idera が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99135508
Uptime Infrastructure Monitor (旧称 up.time) の Windows 向けエージェントに複数の脆弱性
https://jvn.jp/vu/JVNVU99135508/
関連文書 (英語)
Idera
Securing the Linux agent (tcpwrappers and ssl)
http://docs.uptimesoftware.com/pages/viewpage.action?pageId=4555083Idera
Securing the Windows Agent with SSL
http://docs.uptimesoftware.com/display/KB/Securing+the+Windows+Agent+with+SSL
【6】「アクセス解析」にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#70083512
「アクセス解析」におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN70083512/
概要
「アクセス解析」には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となる製品は以下の通りです。 - 「アクセス解析」サービスを利用するための JavaScript 2015年12月16日現在、「アクセス解析」のサービスは終了しています。「アク セス解析」サービスを利用するための JavaScript を削除してください。
関連文書 (日本語)
株式会社NTTデータ・スマートソーシング
旧・株式会社NTTデータキュビットがご提供していた「アクセス解析」旧ご利用者様への脆弱性に関するお知らせ
http://www.nttdata-smart.co.jp/information/2015/000040.html
■今週のひとくちメモ
○内閣サイバーセキュリティセンター (NISC) が重要インフラにおける分野横断的演習を実施
2015年12月7日、内閣サイバーセキュリティセンター (NISC) は、重要インフ ラにおける分野横断的演習を実施しました。この演習は、サイバー攻撃を想定 した、情報通信、金融、電力、医療などの重要インフラ 13分野の事業者など が参加する共同演習です。10回目を迎える今回は、302組織 1,168名が参加し、 標的型攻撃や DDoS 攻撃などのサイバー攻撃により IT 障害が発生した際の対 処の手順や役割分担の検証などを行いました。
参考文献 (日本語)
内閣サイバーセキュリティセンター (NISC)
重要インフラにおける分野横断的演習の実施概要について 〜【2015 年度分野横断的演習】〜
http://www.nisc.go.jp/active/infra/pdf/bunya_enshu2015gaiyou.pdf内閣サイバーセキュリティセンター (NISC)
2015年度 分野横断的演習について
http://www.nisc.go.jp/conference/cs/ciip/dai02/pdf/02shiryou03.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/