JPCERT コーディネーションセンター

Weekly Report 2014-03-12号

JPCERT-WR-2014-1001
JPCERT/CC
2014-03-12

<<< JPCERT/CC WEEKLY REPORT 2014-03-12 >>>

■03/02(日)〜03/08(土) のセキュリティ関連情報

目 次

【1】GnuTLS に証明書検証不備の脆弱性

【2】Foscam の IP カメラに認証回避の脆弱性

【今週のひとくちメモ】Phishing Activity Trends Report, 3rd Quarter 2013

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr141001.txt
https://www.jpcert.or.jp/wr/2014/wr141001.xml

【1】GnuTLS に証明書検証不備の脆弱性

情報源

US-CERT Current Activity
GnuTLS Releases Security Update
http://www.us-cert.gov/ncas/current-activity/2014/03/05/GnuTLS-Releases-Security-Update

概要

GnuTLS には、証明書の検証が回避される脆弱性があります。結果として、遠隔
の第三者が、正規の Web サイトを偽造したり、中間者攻撃を実行したりする可
能性があります。

対象となるバージョンは以下の通りです。

- GnuTLS 3.2.12 より前のバージョン
- GnuTLS 3.1.22 より前のバージョン
- GnuTLS 2.12.x 

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに GnuTLS を更新することで解決します。詳細については、各ベンダや配布
元が提供する情報を参照して下さい。

関連文書 (英語)

GnuTLS Advisories
Certificate verification issue
http://www.gnutls.org/security.html#GNUTLS-SA-2014-2

【2】Foscam の IP カメラに認証回避の脆弱性

情報源

CERT/CC Vulnerability Note VU#525132
Foscam IP camera authentication bypass vulnerability
http://www.kb.cert.org/vuls/id/525132

概要

Foscam の IP カメラには、認証回避の脆弱性があります。結果として、遠隔
の第三者が、動画や画像データにアクセスする可能性があります。

対象となるバージョンは以下の通りです。

- FI8910W ファームウェア 11.37.2.54 およびそれ以前

この問題は、Shenzhen Foscam Intelligent Technology が提供する修正済みの
バージョンにファームウェアを更新することで解決します。詳細については、
Shenzhen Foscam Intelligent Technology が提供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#93348073
Foscam FI8910W に認証回避の脆弱性
https://jvn.jp/vu/JVNVU93348073/index.html

関連文書 (英語)

FOSCAM
MJPEG .54 Firmware Bug - User Logon Bypass
http://foscam.us/forum/mjpeg-54-firmware-bug-user-logon-bypass-t8442.html

■今週のひとくちメモ

○Phishing Activity Trends Report, 3rd Quarter 2013

Anti-Phishing Working Group (APWG) から Phishing Activity Trends
Report, 3rd Quarter 2013 が公開されています。これは、四半期毎に公開さ
れているもので、 APWG に報告されたレポート内容を分析しています。

フィッシングサイトの総数が前四半期と比較して増加していること、フィッシ
ングのターゲットとされる業種は金融サービスや決済代行サービスが多いこと
などが報告されています。

また、国内でフィッシング詐欺に関する報告を受け付けているフィッシング対
策協議会は、月次報告書を公開しています。こちらもあわせてご参照ください。

参考文献 (日本語)

フィッシング対策協議会
月次報告書 一覧
https://www.antiphishing.jp/report/monthly/

参考文献 (英語)

Anti-Phishing Working Group
Phishing Activity Trends Report, 3rd Quarter 2013
http://docs.apwg.org/reports/apwg_trends_report_q3_2013.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter