ようこそゲストさん

特に重要なセキュリティ欠陥・ウイルス情報

メッセージ欄

『PHP』 で検索

2014/04/17(木) WordPress 3.8.2 セキュリティリリース、3.8.3 メンテナンスリリース公開

マルチOS

WordPress 3.8.2 セキュリティリリースが公開されました。認証 Cookie を偽装できるセキュリティ欠陥が修正されています。

引き続いて WordPress 3.8.3 メンテナンスリリースが公開されました。WordPress 3.8.2 セキュリティリリースに含まれていた、「クイックドラフト」が機能しない欠陥が修正されています。

WordPress 利用者は更新してください。

注意

管理画面の「ダッシュボード → 更新」で WordPress を更新したい場合は、プロキシの設定が必要となります。

wp-config.php の「/* 編集が必要なのはここまでです ! WordPress でブログをお楽しみください。 */」より上の部分に、次のように記載します。

define('WP_PROXY_HOST', 'cache.st.ryukoku.ac.jp');
define('WP_PROXY_PORT', '8080');
define('WP_USEPROXY', 'TRUE');

wp-includes/class-snoopy.php の 46 行目あたりにある

var $proxy_host     =   "";                 // proxy host to use
var $proxy_port     =   "";                 // proxy port to use

を、次のように変更します。

var $proxy_host     = WP_PROXY_HOST;        // proxy host to use
var $proxy_port     = WP_PROXY_PORT;        // proxy port to use

wp-includes/class-snoopy.php の 117 行目あたりにある

var $_isproxy   =   false;                  // set if using a proxy server

を、次のように変更します。

var $_isproxy   = (WP_USEPROXY == 'TRUE') : true ? false;  // set if using a proxy server

上記設定後、WordPress にログインして管理画面を開き、「ダッシュボード → 更新」を実行してください。wp-includes/class-snoopy.php の修正は、更新の度に必要となります。

2014.04.18 追記

WordPress 3.9 日本語版が公開されました。

最新の WordPress にアップグレードすることを強く推奨します。なお、管理画面から本体アップグレードを行った場合は、別途 WP Multibyte Patch プラグインを 2.0に更新することが必要となるので注意してください。

2013/09/11(水) Flash Player および AIR の更新版公開(Windows 用 11.8.800.168 等)

マルチOS

Flash Player および AIR の更新版が公開されました。4 件のセキュリティ欠陥が修正されています。

次のバージョンが最新となります。

  • 11.8.800.168 (Windows)
  • 11.8.800.168 (Mac)
  • 11.2.202.310 (Linux)
  • 11.8.800.170 (Google Chrome)
  • 11.8.800.168 (Windows 8 / Server 2012 / RT の Internet Explorer 10)
  • 11.1.115.81 (Android 4.x)
  • 11.1.111.73 (Android 3.x, 2.x)
  • AIR 3.7.0.1430 (Windows, Android)
  • AIR 3.7.0.1430 (Mac)
  • AIR SDK 3.7.0.1430 (Windows)
  • AIR SDK 3.7.0.1430 (Mac)

Flash Player は狙われやすいソフトウェアの1つです。利用者は速やかに更新してください。

なお、Flash Player 11.2 (Windows) / 11.3 (Mac OS X) 以降に備わっている自動更新機能については、Flash Player の自動更新について を参照してください。

Flash Player for Windows / Mac / Linux

Flash Player 11.8.800.168 / 11.2.202.310 は Adobe のダウンロードページから入手できます。また Windows / Mac / Linux 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。

プラットホームダウンロード
Windows (11.8.800.168)Internet Explorer 用EXE ファイルMSI ファイル
Firefox, Opera などプラグイン方式用EXE ファイルMSI ファイル
Mac OS X (11.8.800.168)DMG ファイル
Linux (11.2.202.310)RPM ファイル32bit 版64 bit 版
tar.gz ファイル32bit 版64 bit 版

原則として Flash Player 11 系列の最新版に更新してください。互換性の問題等によりどうしても更新できない場合にのみ、Flash Player 11.7 系列の最新版 11.7.700.242 をご利用ください。Flash Player 11.7.700.242 は Archived Flash Player versions からダウンロードできます。また Windows / Mac 用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。ただし Linux 用の 11.7.700.242 は存在しません。

プラットホームダウンロード
Windows (11.7.700.242)Internet Explorer 用EXE ファイルMSI ファイル
Firefox, Opera などプラグイン方式用EXE ファイルMSI ファイル
Mac OS X (11.7.700.242)DMG ファイル

10.3 系列の更新は 2013.07.08 で終了しました。Flash Player 11 系列に移行してください。

Flash Builder、Flash Catalyst、Flash Professional 等開発ツール用の Flash Player は Adobe Flash Player Support Center からダウンロードしてください。

Google Chrome に内蔵されている Flash Player は自動的に更新されます。利用者は Flash Player が上記のバージョン以降に更新されていることを chrome://plugins から確認してください。PPAPI 版は Chrome 内蔵のもの、NPAPI 版は Firefox などと共用のプラグイン方式用です。Chrome 自身の更新と、Chrome 内蔵の Flash Player の更新とは、非同期的に行われるようです。Chrome の状態が「最新」でも、内蔵 Flash Player はまだ更新されていない、ということがあります。ご注意ください。

Windows 8 / Server 2012 / RT の Internet Explorer 10 専用版の Flash Player の更新は Microsoft から提供されます。Microsoft UpdateMicrosoft Windows Software Update Services などを利用して更新してください。Windows 7 の Internet Explorer 10 では、専用版ではなく Internet Explorer 汎用版を使用します。

Mac では、11.8.800.94 より前の Flash Player はブロックされると Apple から案内されています。ご注意ください。参照:APPLE-SA-2013-09-10-1 OS X: Flash Player plug-in blocked

Flash Player for Android

Android 用の Flash Player は Google play から入手できます。ただし、2012年8月14日以前に Flash Player をインストール済みだった方しかダウンロードできません。Flash PlayerとAndroidに関する最新情報 をご参照ください。

AIR

次の場所からダウンロードできます。

Flash Player バージョン確認方法

現在使用している Flash Player のバージョンは About Flash Player ページ (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。

関連キーワード: Flash Player


2013.09.12 追記

Flash Player 11.8.800.168 ですが、「Windows 7のInternet Explorer環境で日本語の文字化けを起こす」不具合があり、現在修正作業中だそうです。

不具合が発生している事例:

この不具合は 11.7.700.242 では発生しないようです。回避方法としては、

  • IE ではないブラウザを使う (Firefox, Google Chrome など)
  • 11.7.700.242 にダウングレードする

があります。Google Chrome は Flash Player を内蔵しているため、新たにプラグイン方式の Flash Player をインストールするする必要がなく、こういう場合の回避手段には適していると言えます。ただし、IE に強く依存している Web ページの場合にはうまく閲覧できない場合があります。


2013.09.28 追記

文字化け問題を修正した、Internet Explorer 用の Flash Player 11.8.800.175 が公開されました。

Windows 8 / Server 2012 / RT
Microsoft Update で配布されます。KB2889543 からも入手できます。
Windows 7 以前
Adobe のダウンロードページ から入手してください。RINS web ページでも配布しています (学内からのみ入手可)
プラットホームダウンロード
Windows (11.8.800.175)Internet Explorer 用EXE ファイルMSI ファイル

2013.11.14 追記

Flash Player for Android の更新は、これで最後でした。詳細は、Archived Flash Player versions の Flash Player for Android 4.0 archives と Flash Player for Android 2.x and 3.x archives を参照してください。

2012/01/13(金) Webアプリケーションに対するサービス妨害攻撃(hashdos)に対応してください

マルチOS

PHP や ASP.NET をはじめとする、広範な Web アプリケーションフレームワークに対して有効なサービス妨害攻撃 (DoS 攻撃) 手法が発見されました。

各アプリケーションフレームワークでの対応が行われています。利用者は更新して下さい。

PHP

PHP 5.3.9 で修正されています。各 Linux ディストリビューション用の対応パッケージも用意されつつあります。

Linux で構築した Web サーバには PHP がインストールされていることがほとんどです。その場合、PHP の更新が必要となります。

ASP.NET

MS11-100 - 緊急: .NET Framework の脆弱性により、特権が昇格される (2638420) で修正されています。Microsoft Update を利用するなどして適用して下さい。適用には時間がかかりますのでご注意下さい。

Ruby, JRuby

Ruby 1.8.7-p357 / 1.9.x、JRuby 1.6.5.1 で修正されています。

Apache Tomcat

Tomcat 5.5.35 / 6.0.35 / 7.0.23 で修正されています。

2012.01.26 追記

CentOS 5 の PHP 用 fix が公開されたので修正した。

2012.02.07 追記

PHP 5.3.9 の hashdos 対応部分に欠陥が見つかり、この修正のために PHP 5.3.10 が公開されました。各 Linux ディストリビューションでも対応パッケージが用意されています。

Red Hat Enterprise Linux

CentOS (Red Hat Enterprise Linux 互換)

Scientific Linux (Red Hat Enterprise Linux 互換)

Debian GNU/Linux

2010/01/15(金) Internet Explorer 6〜8 に未修正の重大な欠陥、Google などへの攻撃に使用済

Windows

Internet Explorer 6〜8 に未修正の重大な欠陥が発見されました。修正プログラムはまだありません。

この欠陥は、中国の人権活動家のアカウントを狙った、Google などに対する攻撃において悪用されたものだとされています。

この欠陥は Internet Explorer 5.01 には存在しませんが、多くの人は Internet Explorer 6~8 を使用していると思います。

以下の方法を実行してください。

  • FirefoxOpera など、Internet Explorer ではない Web ブラウザを使用することで、この欠陥を回避できます。Internet Explorer のソフトウェアコンポーネントはさまざまな場所で利用されているため、それだけで完全に回避できるわけではありませんが、大きな効果が得られます。
  • データ実行防止 (DEP) 機能を有効にすることで、この欠陥を利用した攻撃の効果を低減できます。Internet Explorer 8 では DEP 機能が標準で有効となっています。Internet Explorer 6 / 7 では標準では無効ですので、Internet Explorer 8 をインストールするか、あるいは KB 979352 の手順に従って DEP を有効にしてください。

なお、龍大標準のアンチウイルスソフト、マカフィー VirusScan Enterprise では、DAT5862 において、この攻撃に用いられた既知のウイルスに対応する予定です。

関連キーワード: Internet Explorer

2010.01.22 追記

修正プログラムが公開されました。

Microsoft UpdateMicrosoft Windows Software Update Services などを利用して修正プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

RINS の複数の機械に修正プログラムをインストールしてみましたが、特に問題は発生していません。不具合が発生した場合は、RINS 担当教員 (内線 7414) までご連絡下さい。

この欠陥を利用した攻撃は、既に各地で確認されています。

できるだけ早く、修正プログラムをインストールして下さい。

2009/04/06(月) PowerPoint 2000 / 2002 / 2003、Office 2004 for Mac に欠陥、修正プログラムはまだない

マルチOS

PowerPoint 2000 / 2002 / 2003、Office 2004 for Mac に重大な欠陥が発見されました。修正プログラムは現在開発中で、まだありません。

この欠陥を悪用する攻略 PowerPoint ファイルも既に一般に出回っているようです。電子メールや Web ページに仕込まれた攻略 PowerPoint ファイルを開くとウイルスに感染してしまいます。

マカフィー VirusScan では DAT5573 で対応されています。アンチウイルスソフトの更新状況を確認して下さい。

関連キーワード: PowerPoint

2009.05.14 追記

Windows 版の修正プログラムが公開されました。PowerPoint 2000 / 2002 / 2003 利用者は適用してください。

Office 2004 for Mac 用の修正プログラムはひきつづき開発中です。