== 目  次 ==================================================================

【1】Firefox に解放済みメモリ使用の脆弱性
【2】WordPress に複数の脆弱性
【3】PowerDNS に脆弱性
【4】Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題
【5】TransmitMail に複数の脆弱性
【今週のひとくちメモ】「Interop Tokyo 2015」開催

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。

https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。

https://www.jpcert.or.jp/wr/2015/wr151701.html
https://www.jpcert.or.jp/wr/2015/wr151701.xml

============================================================================
【1】Firefox に解放済みメモリ使用の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Update for Firefox

https://www.us-cert.gov/ncas/current-activity/2015/04/21/Mozilla-Releases-Security-Update-Firefox

概要

Firefox には、解放済みメモリ使用の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

– Firefox 37.0.2 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新することで解決します。
詳細は、Mozilla が提供する情報を参照してください。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 4 月 20 日)
http://www.mozilla-japan.org/security/announce/

【2】WordPress に複数の脆弱性

情報源

US-CERT Current Activity
WordPress Releases Security Update

https://www.us-cert.gov/ncas/current-activity/2015/04/23/WordPress-Releases-Security-Update

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、当該製品が参照するデータベースに対して、任意の SQL コマンドを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

– WordPress 4.1.1 およびそれ以前

この問題は、WordPress が提供する修正済みのバージョンに WordPress を更新することで解決します。
詳細については、WordPress が提供する情報を参照してください。

関連文書 (日本語)

WordPress
WordPress 4.1.2 セキュリティリリース
https://ja.wordpress.org/2015/04/22/wordpress-4-1-2/

【3】PowerDNS に脆弱性

情報源

株式会社日本レジストリサービス(JPRS)
PowerDNS Authoritative Server及びPowerDNS Recursorの脆弱性

http://jprs.jp/tech/security/2015-04-27-powerdns-vuln-decompression.html

概要

PowerDNS には、脆弱性があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

– PowerDNS Authoritative Server 3.4.4より前のバージョン
– PowerDNS Recursor 3.6.3より前のバージョン
– PowerDNS Recursor 3.7.2より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに PowerDNS を更新することで解決します。
詳細については、開発者が提供する情報を参照してください。

関連文書 (英語)

PowerDNS Security Advisory 2015-01
Label decompression bug can cause crashes on specific platforms
https://doc.powerdns.com/md/security/powerdns-advisory-2015-01/

【4】Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題

情報源

CERT/CC Vulnerability Note VU#260780
NetNanny uses a shared private key and root CA
http://www.kb.cert.org/vuls/id/260780

概要

 Net Nanny は共有の秘密鍵とルート CA 証明書を使用します。この証明書の生成に用いられる秘密鍵は、直接平文で取得できる形でプログラムに含まれています。攻撃者は、この秘密鍵を用いることで Net Nanny によって信頼される証明書を生成することが可能です。

問題が確認されたバージョンは以下の通りですが、他のバージョンも影響を受ける可能性があります。

– Net Nanny 7.2.4.2

2015年4月28日現在、対策済みのバージョンは公開されていません。以下のいずれかの回避策を適用することで、影響を軽減することが可能です。

– SSL フィルタリングを無効にし、Net Nanny がインストールした証明書を削除する
– Net Nanny をアンインストールする

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90912447
Net Nanny が共有の秘密鍵とルート CA 証明書を使用している問題
https://jvn.jp/vu/JVNVU90912447/

関連文書 (英語)

CERT/CC Blog
The Risks of SSL Inspection
https://www.cert.org/blogs/certcc/post.cfm?EntryID=221

【5】TransmitMail に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#41653647
TransmitMail におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN41653647/

Japan Vulnerability Notes JVN#26860747
TransmitMail におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN26860747/

概要

TransmitMail には、複数の脆弱性があります。結果として、遠隔の第三者が、サーバ上の任意のファイルを閲覧したり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

– TransmitMail 1.0.11 から 1.5.8 まで

この問題は、開発者が提供する修正済みのバージョンに TransmitMail を更新することで解決します。
詳細については、開発者が提供する情報を参照してください。

関連文書 (日本語)

どうのこうの
TransmitMail の脆弱性について
http://dounokouno.com/2015/04/20/

 

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「Interop Tokyo 2015」開催

「Interop Tokyo 2015」が、2015年6月8日から 12日にかけて開催されます。
6月8日から 9日にはカンファレンス、6月10日から 12日には展示会が開催されます。
JPCERT/CC は、カンファレンスの企画・運営の協力と後援をしており、CSIRT 構築・運用の事例を紹介する以下のプログラムでは、スピーカーも務めます。ふるってご参加ください。

6月8日のプログラム: C3-3

CSIRT構築のすすめ
Building CSIRT by Example
https://reg.f2ff.jp/public/session/view/3094

参考文献 (日本語)

Interop Tokyo 2015
Interop Tokyo 2015 カンファレンスサイト
http://www.interop.jp/2015/conf/index.html