JPCERT コーディネーションセンター

Weekly Report 2014-01-16号

JPCERT-WR-2014-0201
JPCERT/CC
2014-01-16

<<< JPCERT/CC WEEKLY REPORT 2014-01-16 >>>

■01/05(日)〜01/11(土) のセキュリティ関連情報

目 次

【1】NTP サーバ実装の管理機能に DDoS 攻撃の踏み台として使用される問題

【2】libpng に脆弱性

【3】Synology DiskStation Manager にアクセス制御不備の脆弱性

【4】QNAP QTS にディレクトリトラバーサルの脆弱性

【5】Atmail Webmail Server に複数の脆弱性

【今週のひとくちメモ】NTP サーバのアクセス制限機能を活用しましょう

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr140201.txt
https://www.jpcert.or.jp/wr/2014/wr140201.xml

【1】NTP サーバ実装の管理機能に DDoS 攻撃の踏み台として使用される問題

情報源

CERT/CC Vulnerability Note VU#348126
NTP can be abused to amplify denial-of-service attack traffic
http://www.kb.cert.org/vuls/id/348126

概要

NTP サーバを実装するソフトウエアの一部には、リクエストに対して非常に大
きなレスポンスを返す可能性のある管理機能が存在します。結果として、遠隔
の第三者が、他のサイトに対するサービス運用妨害 (DoS) 攻撃の踏み台として
使用する可能性があります。

問題が確認されている製品およびバージョンは以下の通りです。

- NTP プロジェクトの ntpd 4.2.7p26 より前のバージョン
- NTP プロジェクトの ntpd 4.2.6p5 およびそれ以前

この問題は、開発者が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、開発者が提供する情報を参照して下さ
い。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#96176042
NTP が DDoS 攻撃の踏み台として使用される問題
https://jvn.jp/cert/JVNVU96176042/index.html

関連文書 (英語)

NTP project Security Notice
DRDoS / Amplification Attack using ntpdc monlist command
http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using

【2】libpng に脆弱性

情報源

CERT/CC Vulnerability Note VU#650142
libpng 1.6.1 through 1.6.7 contain a null-pointer dereference vulnerability
http://www.kb.cert.org/vuls/id/650142

概要

libpng には、脆弱性があります。結果として、遠隔の第三者が、任意のコード
を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- libpng バージョン 1.6.1 から 1.6.7 まで

この問題は、PNG Development Group が提供する修正済みのバージョンに
libpng を更新することで解決します。詳細については、PNG Development
Group が提供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98780668
libpng に NULL ポインタ参照の脆弱性
https://jvn.jp/cert/JVNVU98780668/index.html

【3】Synology DiskStation Manager にアクセス制御不備の脆弱性

情報源

CERT/CC Vulnerability Note VU#615910
Synology DiskStation Manager arbitrary file modification
http://www.kb.cert.org/vuls/id/615910

概要

Synology DiskStation Manager には、アクセス制御不備の脆弱性があります。
結果として、遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Synology DiskStation Manager 4.3-3776-3 およびそれ以前

この問題は、Synology が提供する修正済みのバージョンに DiskStation
Manager を更新することで解決します。詳細については、Synology が提供す
る情報を参照して下さい。

関連文書 (日本語)

Synology
ダウンロードセンター
http://www.synology.com/ja-jp/support/download

Japan Vulnerability Notes JVNVU#95919136
Synology DiskStation Manager にアクセス制御不備の脆弱性
https://jvn.jp/cert/JVNVU95919136/index.html

【4】QNAP QTS にディレクトリトラバーサルの脆弱性

情報源

CERT/CC Vulnerability Note VU#487078
QNAP QTS path traversal vulnerability
http://www.kb.cert.org/vuls/id/487078

概要

QNAP QTS には、ディレクトリトラバーサルの脆弱性があります。結果として、
遠隔の第三者が、サーバ上の任意のファイルにアクセスする可能性があります。

対象となるバージョンは以下の通りです。

- QNAP QTS 4.0.3 およびそれ以前

この問題は、QNAP Systems が提供する修正済みのバージョンに QNAP QTS を
更新することで解決します。詳細については、QNAP Systems が提供する情報
を参照して下さい。

関連文書 (日本語)

QNAP Systems, Inc.
ダウンロードセンター
http://www.qnap.com/v3/jp/product_x_down/

Japan Vulnerability Notes JVNVU#95681821
QNAP QTS にディレクトリトラバーサルの脆弱性
https://jvn.jp/cert/JVNVU95681821/index.html

【5】Atmail Webmail Server に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#204950
Atmail Webmail Server version 7.1.3 contains cross-site scripting (XSS) and cross-site request forgery (CSRF) vulnerabilities
http://www.kb.cert.org/vuls/id/204950

概要

Atmail Webmail Server には、複数の脆弱性があります。結果として、遠隔の
第三者が、ユーザの権限で操作を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Atmail Webmail Server 7.2 より前のバージョン

この問題は、Atmail が提供する修正済みのバージョンに Atmail Webmail
Server を更新することで解決します。詳細については、Atmail が提供する情
報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90707877
Atmail Webmail Server に複数の脆弱性
https://jvn.jp/cert/JVNVU90707877/index.html

関連文書 (英語)

Atmail
ChangeLog
http://atmail.com/changelog/

■今週のひとくちメモ

○NTP サーバのアクセス制限機能を活用しましょう

今週のセキュリティ関連情報としてとりあげていますが、NTP サーバの管理機
能がサービス運用妨害 (DoS) 攻撃に使われる可能性のあることが指摘されてい
ます。また、実際に NTP サーバを使った DDoS 攻撃が行われていることが報告
されています。自社のネットワーク環境で NTP サーバを立ち上げている場合、
外部の第三者による DDoS 攻撃に使われることのないよう、NTP サーバへのア
クセスを必要最小限の範囲に設定することをおすすめします。

NTP プロジェクトが提供する ntpd には、アクセスを制限する機能が実装され
ています。ネットワーク経由で ntpd の管理機能を使用する必要がある場合、
ネットワーク機器によるアクセス制限とあわせて、ntpd のアクセス制限機能も
活用することをおすすめします。

参考文献 (英語)

NTP project
Access Control Commands and Options
http://www.eecis.udel.edu/~mills/ntp/html/accopt.html

Team Cymru
Secure NTP Template
http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter