<<< JPCERT/CC WEEKLY REPORT 2013-04-03 >>>

■03/24(日)〜03/30(土) のセキュリティ関連情報

目　次

【1】オープンリゾルバを使った DDoS 攻撃が増加

【2】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

【3】IBM Lotus Domino に複数の脆弱性

【4】IBM Security AppScan Enterprise に複数の脆弱性

【今週のひとくちメモ】IPA、「企業ウェブサイトのための脆弱性対応ガイド」を公開

【1】オープンリゾルバを使った DDoS 攻撃が増加

情報源

US-CERT
DNS Amplification Attacks
https://www.us-cert.gov/ncas/alerts/TA13-088A

概要

最近、オープンリゾルバを使った DDoS 攻撃の増加が指摘されています。これ
に対応して US-CERT は、ネームサーバの設定確認を呼びかけるアラートを発行
しました。

ネームサーバを管理している方は、運用しているネームサーバについて、DDoS
攻撃に悪用されないよう、設定状況の確認と対策を講じて下さい。

関連文書 (日本語)

JPCERT/CC Weekly Report ひとくちメモ 2013-03-27
DNS キャッシュサーバの設定に注意
https://www.jpcert.or.jp/tips/2013/wr131201.html

関連文書 (英語)

ISC Blogs
Is Your Open DNS Resolver Part of a Criminal Conspiracy?
https://www.isc.org/wordpress/is-your-open-dns-resolver-part-of-a-criminal-conspiracy/

【2】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

情報源

ISC Knowledge Base
CVE-2013-2266 [JP]: 不正に細工された正規表現によってnamedがメモリ不足になる
https://kb.isc.org/article/AA-00881

概要

ISC BIND 9 には、脆弱性があります。結果として、遠隔の第三者がサービス運
用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- ISC BIND 9.7 の全てのバージョン (サポートは終了しています)
- ISC BIND 9.8.0 から 9.8.5b1 までのバージョン
- ISC BIND 9.9.0 から 9.9.3b1 までのバージョン

この問題は BIND 9 に含まれる libdns に起因しており、libdns を使用してい
る他のアプリケーションも影響を受ける可能性があります。なお、Windows 版
の BIND 9 は本脆弱性の影響を受けません。

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに BIND を更新することで解決します。詳細については、ISC が提供する情
報を参照して下さい。

関連文書 (日本語)

株式会社日本レジストリサービス (JPRS)
（緊急）BIND 9.xの致命的な脆弱性（過度のメモリ消費）について（2013年3月27日公開）
http://jprs.jp/tech/security/2013-03-27-bind9-vuln-regexp.html

一般社団法人日本ネットワークインフォメーションセンター(JPNIC)
ISC BIND 9に関する脆弱性について(2013年3月)
https://www.nic.ad.jp/ja/topics/2013/20130327-01.html

独立行政法人情報処理推進機構 (IPA)
DNS サーバ BIND の脆弱性について(CVE-2013-2266)
https://www.ipa.go.jp/security/ciadr/vul/20130328-bind.html

関連文書 (英語)

ISC Knowledge Base
CVE-2013-2266: FAQ and Supplemental Information
https://kb.isc.org/article/AA-00879

ISC Knowledge Base
CVE-2013-2494: A Vulnerability in libdns Could Cause Excessive Memory Use in ISC DHCP 4.2
https://kb.isc.org/article/AA-00880

【3】IBM Lotus Domino に複数の脆弱性

情報源

JC3 Bulletin
V-118: IBM Lotus Domino Multiple Vulnerabilities
http://energy.gov/cio/articles/v-118-ibm-lotus-domino-multiple-vulnerabilities

概要

IBM の Lotus Domino には、複数の脆弱性があります。結果として、遠隔の第
三者が、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする
可能性があります。

対象となるバージョンは以下の通りです。

- IBM Lotus Domino 8.5.x

この問題は、IBM が提供する修正済みのバージョンに IBM Lotus Domino を更
新することで解決します。詳細については、IBM が提供する情報を参照して下
さい。

関連文書 (日本語)

Japan Vulnerability Notes JVN#51305555
Lotus Domino におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN51305555/index.html

関連文書 (英語)

IBM Support Portal
Security Bulletin: Security vulnerabilities addressed in IBM Domino & IBM Domino Designer 9.0 (CVE-2013-0487, CVE-2012-2161, CVE-2012-2159, CVE-2013-0486, CVE-2012-6277, CVE-2013-0488, CVE-2013-0489)
http://www-01.ibm.com/support/docview.wss?uid=swg21627597

【4】IBM Security AppScan Enterprise に複数の脆弱性

情報源

JC3 Bulletin
V-119: IBM Security AppScan Enterprise Multiple Vulnerabilities
http://energy.gov/cio/articles/v-119-ibm-security-appscan-enterprise-multiple-vulnerabilities

概要

IBM Security AppScan Enterprise には、複数の脆弱性があります。結果とし
て、遠隔の第三者が、任意のコードを実行したり、SQL インジェクションを行っ
たりする可能性があります。

対象となるバージョンは以下の通りです。

- AppScan 8.7 より前のバージョン

この問題は、IBM が提供する修正済みのバージョンに AppScan を更新すること
で解決します。詳細については、IBM が提供する情報を参照して下さい。

関連文書 (英語)

IBM Support Portal
Security Bulletin: Multiple vulnerabilities in IBM Security AppScan Enterprise (CVE-2013-0532, CVE-2013-0510, CVE-2013-0512, CVE-2012-4431, CVE-2013-0513, CVE-2008-4033, CVE-2013-0474, CVE-2013-0511, CVE-2013-0473, CVE-2012-5081)
http://www-01.ibm.com/support/docview.wss?uid=swg21626264

■今週のひとくちメモ

○IPA、「企業ウェブサイトのための脆弱性対応ガイド」を公開

3月28日、IPA は「企業ウェブサイトのための脆弱性対応ガイド」を公開しまし
た。この文書では、企業がウェブサイトを運用する上で必要とされる、脆弱性
への対応についてまとめています。ウェブサイトの運用体制や脆弱性対応につ
いて検討する際の資料としてご活用下さい。

参考文献 (日本語)

独立行政法人情報処理推進機構 (IPA)
安全なウェブサイト運営にむけて〜企業ウェブサイトのための脆弱性対応ガイド〜
https://www.ipa.go.jp/security/ciadr/safewebmanage.pdf

独立行政法人情報処理推進機構 (IPA)
「企業ウェブサイトのための脆弱性対応ガイド」などの公開および「脆弱性ハンドブック」を発行
https://www.ipa.go.jp/security/fy24/reports/vuln_handling/index.html

■JPCERT/CC からのお願い