<<< JPCERT/CC WEEKLY REPORT 2014-08-06 >>>
■07/27(日)〜08/02(土) のセキュリティ関連情報
目 次
【1】Samba に任意のコードが実行可能な脆弱性
【2】ServerView Operations Manager にクロスサイトスクリプティングの脆弱性
【3】Silver Peak VX にクロスサイトリクエストフォージェリおよびクロスサイトスクリプティングの脆弱性
【4】アイ・オー・データ機器の複数の IP カメラに認証が回避される脆弱性
【5】Android 版 Outlook.com に SSL サーバ証明書の検証不備の脆弱性
【6】acmailer にクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】EMET 5.0 正式リリース
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr143001.txt
https://www.jpcert.or.jp/wr/2014/wr143001.xml
【1】Samba に任意のコードが実行可能な脆弱性
情報源
Samba - Security Announcement Archive
CVE-2014-3560: Remote code execution in nmbd
http://www.samba.org/samba/security/CVE-2014-3560
概要
Samba には、脆弱性があります。結果として、遠隔の第三者が、管理者権限で 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Samba 4.0.21 より前のバージョン - Samba 4.1.11 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Samba を更新することで解決します。詳細については、各ベンダや配布元 が提供する情報を参照してください。
関連文書 (英語)
SANS ISC
All Samba 4.x.x are vulnerable to a remote code execution vulnerability in the nmbd NetBIOS name services daemon
https://isc.sans.edu/forums/diary/All+Samba+4xx+are+vulnerable+to+a+remote+code+execution+vulnerability+in+the+nmbd+NetBIOS+name+services+daemon/18471
【2】ServerView Operations Manager にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#22534185
ServerView Operations Manager におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN22534185/index.html
概要
ServerView Operations Manager には、クロスサイトスクリプティングの脆弱 性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のス クリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - ServerView Operations Manager V5.00.09 から V6.30.05 まで この問題は、富士通株式会社が提供する修正済みのバージョンに ServerView Operations Manager を更新することで解決します。詳細については、富士通 株式会社が提供する情報を参照して下さい。
関連文書 (日本語)
富士通株式会社
FUJITSU Server PRIMERGY [緊急]ServerView Operations Managerの脆弱性に関するお知らせ
http://jp.fujitsu.com/platform/server/primergy/note/page20.html富士通株式会社
FUJITSU Server PRIMEQUEST(プライムクエスト) 留意事項
http://jp.fujitsu.com/platform/server/primequest/products/2000/catalog/manual/support/note_140729_svom.html
【3】Silver Peak VX にクロスサイトリクエストフォージェリおよびクロスサイトスクリプティングの脆弱性
情報源
CERT/CC Vulnerability Note VU#867980
Silver Peak VX is vulnerable to cross-site request forgery and cross-site scripting
https://www.kb.cert.org/vuls/id/867980
概要
Silver Peak VX には、クロスサイトリクエストフォージェリおよびクロスサ イトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、任 意の操作を実行したり、ユーザのブラウザ上で任意のスクリプトを実行したり する可能性があります。 対象となるバージョンは以下の通りです。 - Silver Peak VX version 6.2.2.0_47968 Silver Peak 社によると、バージョン 6.2.4 においてクロスサイトスクリプ ティングの対策が行われています。また、クロスサイトリクエストフォージェ リの対策は次にリリースされるバージョンで修正予定とのことです。詳細につ いては、Silver Peak が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97348300
Silver Peak VX に複数の脆弱性
https://jvn.jp/vu/JVNVU97348300/index.html
【4】アイ・オー・データ機器の複数の IP カメラに認証が回避される脆弱性
情報源
Japan Vulnerability Notes JVN#94592501
アイ・オー・データ機器製の複数の IP カメラにおける認証回避の脆弱性
https://jvn.jp/jp/JVN94592501/index.html
概要
アイ・オー・データ機器の複数の IP カメラには、認証が回避される脆弱性が あります。結果として、遠隔の第三者が、認証情報を含む設定内容を取得した り、取得した認証情報を使用して当該製品で任意の操作を実行する可能性があ ります。 対象となる製品およびバージョンは以下の通りです。 - TS-WLCAM ファームウェアバージョン 1.06 およびそれ以前 - TS-WLCAM/V ファームウェアバージョン 1.06 およびそれ以前 - TS-WPTCAM ファームウェアバージョン 1.08 およびそれ以前 - TS-PTCAM ファームウェアバージョン 1.08 およびそれ以前 - TS-PTCAM/POE ファームウェアバージョン 1.08 およびそれ以前 - TS-WLC2 ファームウェアバージョン 1.02 およびそれ以前 この問題は、アイ・オー・データ機器が提供する修正済みのバージョンに、対 応するファームウェアを更新することで解決します。詳細については、アイ・ オー・データ機器が提供する情報を参照して下さい。
関連文書 (日本語)
株式会社アイ・オー・データ機器
ネットワークカメラ「Qwatch(クウォッチ)」シリーズご愛用のお客様へお知らせ
http://www.iodata.jp/support/information/2014/qwatch/
【5】Android 版 Outlook.com に SSL サーバ証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#72950786
Android 版 Outlook.com における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN72950786/index.html
概要
Android 版 Outlook.com には、SSL サーバ証明書の検証不備の脆弱性があり ます。結果として、遠隔の第三者が、中間者攻撃を行なうことによって、暗号 通信を盗聴する可能性があります。 対象となるバージョンは以下の通りです。 - Android 版 Outlook.com 7.8.2.12.49.7090 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに Android 版 Outlook.com を更新することで解決します。詳細については、開発者が提供す る情報を参照して下さい。
【6】acmailer にクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#42511610
acmailer におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN42511610/index.html
概要
acmailer には、クロスサイトリクエストフォージェリの脆弱性があります。 結果として、遠隔の第三者が、当該製品に登録されている情報を改ざんしたり、 当該製品の管理者権限を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - acmailer 3.8.17 正式版より前のバージョン - acmailer 3.9.10β 開発版より前のバージョン この問題は、株式会社シーズが提供する修正済みのバージョンに acmailer を 更新することで解決します。詳細については、株式会社シーズが提供する情報 を参照して下さい。
関連文書 (日本語)
株式会社シーズ
acmailer3.8.17正式版とacmailer3.9.10β開発版をリリース
http://www.acmailer.jp/info/de.cgi?id=52
■今週のひとくちメモ
○EMET 5.0 正式リリース
2014年7月31日、Microsoft は、Windows 上で動作するアプリケーションの脆 弱性の影響を緩和するためのツール (Enhanced Mitigation Experience Toolkit: 以下 EMET) の新バージョン EMET 5.0 を正式リリースしました。 EMET 5.0 では、プレビュー版にも含まれていた新しい緩和策 Attack Surface Reduction (ASR)、Export Address Table Filtering Plus (EAF+) が含まれて いるとのことです。 EMET は未修正の脆弱性の影響を緩和できることもありますので、これを機に 導入を検討されてみてはいかがでしょうか。
参考文献 (日本語)
マイクロソフト 日本のセキュリティチーム
EMET 5.0 公開しました
http://blogs.technet.com/b/jpsecurity/archive/2014/08/01/emet-5-released.aspx
参考文献 (英語)
Microsoft
Enhanced Mitigation Experience Toolkit 5.0
http://www.microsoft.com/en-us/download/details.aspx?id=43714Microsoft Security Research and Defense Blog
Announcing EMET 5.0
http://blogs.technet.com/b/srd/archive/2014/07/31/announcing-emet-v5.aspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/