<<< JPCERT/CC WEEKLY REPORT 2014-08-27 >>> ■08/17(日)〜08/23(土) のセキュリティ関連情報 目　次 【1】PHP に複数の脆弱性 【2】Ruby 1.9.2 に脆弱性 【3】WordPress 用テーマ Cakifo にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】SECCON 2014 開催 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr143301.txt https://www.jpcert.or.jp/wr/2014/wr143301.xml 【1】PHP に複数の脆弱性 情報源 PHP

YAPC::Asia 2014 Reject con LT 2014-09-03

<<< JPCERT/CC WEEKLY REPORT 2014-08-13 >>> ■08/03(日)〜08/09(土) のセキュリティ関連情報 目　次 【1】OpenSSL に複数の脆弱性 【2】WordPress に複数の脆弱性 【3】Cisco EnergyWise Module にサービス運用妨害 (DoS) の脆弱性 【4】Symantec Endpoint Protection にバッファオーバーフローの脆弱性 【5】Piwigo に複数の脆弱性 【今週のひとくちメモ】POS システムを狙うマルウエア ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr1

という記法は、Markdownでリンクを生成するときに使用します。 通常記事編集画面では、javascript:から始まる文字列はリンクにならないように対策が施されています。 しかし、今回はMarkdownのエスケープ文字である\と半角スペースを組み合わせることによりXSSが発生するリンクが生成されてしまいました。 aタグのhref属性には、スキーム名の先頭に半角スペースを入れてもリンクとして認識されてしまうという特性があります。

<<< JPCERT/CC WEEKLY REPORT 2014-08-06 >>> ■07/27(日)〜08/02(土) のセキュリティ関連情報 目　次 【1】Samba に任意のコードが実行可能な脆弱性 【2】ServerView Operations Manager にクロスサイトスクリプティングの脆弱性 【3】Silver Peak VX にクロスサイトリクエストフォージェリおよびクロスサイトスクリプティングの脆弱性 【4】アイ・オー・データ機器の複数の IP カメラに認証が回避される脆弱性 【5】Android 版 Outlook.com に SSL サーバ証明書の検証不備の脆弱性 【6】acmailer にクロスサイトリクエストフォージェリの脆弱性 【今週のひとくちメモ】EMET 5.0 正式リリース ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 ht

各位 JPCERT-AT-2014-0027 JPCERT/CC 2014-06-12 <<< JPCERT/CC Alert 2014-06-12 >>> ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2014-3859) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140027.html I. 概要 ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があります。 本脆弱性を使用された場合、遠隔からの攻撃によって named が異常終了する 可能性があります。 該当するバージョンの ISC BIND 9(権威 DNS サーバ、キャッシュ DNS サー バ) を運用している場合は、「III. 対策」を参考に、修正済みバージョンの 適用について検討してください。また、本脆弱性は ISC BIND 9 に含まれる

<<< JPCERT/CC WEEKLY REPORT 2014-06-11 >>> ■06/01(日)〜06/07(土) のセキュリティ関連情報 目　次 【1】OpenSSL に複数の脆弱性 【2】SOY CMS におけるクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】名前衝突問題 (Name Collision) ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr142201.txt https://www.jpcert.or.jp/wr/2014/wr142201.xml 【1】OpenSSL に複数の脆弱性 情報源 OpenSSL Project

<<< JPCERT/CC WEEKLY REPORT 2014-06-04 >>> ■05/25(日)〜05/31(土) のセキュリティ関連情報 目　次 【1】Dell ML6000 および Quantum Scalar i500 に OS コマンドインジェクションの脆弱性 【2】Alfresco Enterprise に複数のクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】J-CSIP 2013年度活動レポートの公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr142101.txt https://www.jpcert.or.jp/wr/2014

<<< JPCERT/CC WEEKLY REPORT 2014-05-28 >>> ■05/18(日)〜05/24(土) のセキュリティ関連情報 目　次 【1】Microsoft Internet Explorer 8 に解放済みメモリ使用の脆弱性 【2】Apple の Safari に複数の脆弱性 【3】複数の Cisco 製品に脆弱性 【4】Hanvon Face ID に認証欠如の問題 【今週のひとくちメモ】不正送金の被害にあわないために ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr142001.txt https://www.jpcert.or.jp/

各位 JPCERT-AT-2014-0023 JPCERT/CC 2014-05-14 <<< JPCERT/CC Alert 2014-05-14 >>> Adobe Reader および Acrobat の脆弱性 (APSB14-15) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140023.html I. 概要 PDF ファイル閲覧ソフトウエア Adobe Reader および PDF ファイル作成・ 変換ソフトウエア Adobe Acrobat には複数の脆弱性があります。結果として、 遠隔の第三者が細工した PDF ファイルなどをユーザに開かせることで Adobe Reader や Acrobat を不正終了させたり、ユーザの PC 上で任意のコードを実 行させたりする可能性があります。 Security Updates availa

各位 JPCERT-AT-2014-0022 JPCERT/CC 2014-05-14 <<< JPCERT/CC Alert 2014-05-14 >>> Adobe Flash Player の脆弱性 (APSB14-14) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140022.html I. 概要 Adobe Flash Player には、複数の脆弱性があります。遠隔の第三者は、こ れらの脆弱性を使用する細工したコンテンツをユーザに開かせることで、任 意のコードを実行させる可能性があります。脆弱性の詳細については、Adobe Systems 社の情報を確認してください。 Security updates available for Adobe Flash Player https://helpx.adobe.com/security/

各位 JPCERT-AT-2014-0021 JPCERT/CC 2014-05-14 <<< JPCERT/CC Alert 2014-05-14 >>> 2014年5月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140021.html I. 概要 マイクロソフト社から 2014年5月のセキュリティ情報が公開されました。 本情報には、深刻度が「緊急」のセキュリティ更新プログラムが 3件含まれて います。 この脆弱性を使用された場合、結果として遠隔の第三者によって任意のコー ドを実行される可能性があります。 本脆弱性の詳細は、以下の URL を参照してください。 2014 年 5 月のセキュリティ情報 https://technet.microsoft.com/ja-jp/library/

<<< JPCERT/CC WEEKLY REPORT 2014-05-14 >>> ■04/27(日)〜05/10(土) のセキュリティ関連情報 目　次 【1】「Microsoft Internet Explorer に脆弱性」に関する追加情報 【2】Adobe Flash Player にバッファオーバーフローの脆弱性 【3】Mozilla 製品群に複数の脆弱性 【4】BIND 9.10.0 にサービス運用妨害 (DoS) の脆弱性 【5】サイボウズ ガルーンに複数の脆弱性 【6】Cisco の WebEx Player に複数の脆弱性 【7】intra-mart にオープンリダイレクトの脆弱性 【8】Fortinet Fortiweb にクロスサイトリクエストフォージェリの脆弱性 【9】Google 検索アプライアンスのダイナミック ナビゲーションにクロスサイトスクリプティングの脆弱

各位 JPCERT-AT-2014-0020 JPCERT/CC 2014-05-02 <<< JPCERT/CC Alert 2014-05-02 >>> マイクロソフト セキュリティ情報(MS14-021)に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140020.html I. 概要 マイクロソフト社から Internet Explorer に関するセキュリティ情報が公 開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラム が含まれています。 この脆弱性を使用された場合、結果として遠隔の第三者によって任意のコー ドを実行される可能性がありますので、セキュリティ更新プログラムを早急に 適用してください。 なお、2014年4月にサポートが終了した Windows XP に対するセキュリティ 更新プログラムも提供されております。

各位 JPCERT-AT-2014-0018 JPCERT/CC 2014-04-28(新規) 2014-05-02(更新) <<< JPCERT/CC Alert 2014-04-28 >>> 2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140018.html I. 概要 Microsoft Internet Explorer には未修正の脆弱性があります。結果として 遠隔の第三者は、細工したコンテンツをユーザに開かせることで、任意のコー ドを実行させる可能性があります。 Microsoft Security Advisory 2963983 Vulnerability in Internet Explorer Could Allow Remote Code