<<< JPCERT/CC WEEKLY REPORT 2015-05-27 >>>

■05/17(日)〜05/23(土) のセキュリティ関連情報

目　次

【1】TLS プロトコルに弱い鍵を受け入れる問題

【2】Apple Watch OS に複数の脆弱性

【3】SXF 共通ライブラリにバッファオーバーフローの脆弱性

【4】mt-phpincgi に任意の PHP コードが実行可能な脆弱性

【5】KCodes NetUSB カーネルドライバにバッファオーバーフローの脆弱性

【6】BGA32.DLL および QBga32.DLL に複数の脆弱性

【今週のひとくちメモ】金融機関のフィッシングサイトが増加

【1】TLS プロトコルに弱い鍵を受け入れる問題

情報源

Logjam: How Diffie-Hellman Fails in Practice
The Logjam Attack
https://weakdh.org/

概要

TLS プロトコルには、弱い (512 ビット以下の) 鍵がセッション鍵として使わ
れる問題があります。結果として、中間者攻撃を行う第三者が、暗号化された
情報を復号する可能性があります。

影響を受ける製品は複数あります。詳細については、各ベンダや配布元が提供
する情報を参照してください。

関連文書 (日本語)

マイクロソフト セキュリティ情報
Schannel の脆弱性により、情報漏えいが起こる (3061518)
https://technet.microsoft.com/library/security/MS15-055

関連文書 (英語)

OpenSSL Blog
Logjam, FREAK and Upcoming Changes in OpenSSL
https://www.openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/

【2】Apple Watch OS に複数の脆弱性

情報源

Apple
About the security content of Watch OS 1.0.1
https://support.apple.com/ja-jp/HT204870

概要

Apple Watch OS には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなど
の可能性があります。

対象となるバージョンは以下の通りです。

- Watch OS 1.0.1 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに Apple Watch OS を更
新することで解決します。詳細については、Apple が提供する情報を参照して
ください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#93832567
Apple Watch OS に複数の脆弱性
https://jvn.jp/vu/JVNVU93832567/

【3】SXF 共通ライブラリにバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#93976566
SXF 共通ライブラリにおけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN93976566/

概要

SXF 共通ライブラリには、バッファオーバーフローの脆弱性があります。結果
として、遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- SXF 共通ライブラリ Ver.3.21 およびそれ以前

この問題は、オープンCADフォーマット評議会が提供する修正済みのバージョン
に SXF 共通ライブラリを更新することで解決します。詳細については、オープ
ンCADフォーマット評議会が提供する情報を参照してください。

関連文書 (日本語)

オープンCADフォーマット評議会
SXF共通ライブラリの脆弱性対応
http://www.ocf.or.jp/top/topix/027.shtml

【4】mt-phpincgi に任意の PHP コードが実行可能な脆弱性

情報源

Japan Vulnerability Notes JVN#64459670
mt-phpincgi において任意の PHP コードが実行可能な脆弱性
https://jvn.jp/jp/JVN64459670/

概要

mt-phpincgi には、脆弱性があります。結果として、遠隔の第三者が、任意の
PHP コードを実行する可能性があります。

対象となる製品は以下の通りです。

- mt-phpincgi

この問題は、開発者が提供する修正済みのバージョンに mt-phpincgi を更新
することで解決します。詳細については、開発者が提供する情報を参照してく
ださい。

関連文書 (日本語)

The blog of H.Fujimoto
mt-phpincgi.phpセキュリティアップデート
http://www.h-fj.com/blog/archives/2015/05/15-112843.php

【5】KCodes NetUSB カーネルドライバにバッファオーバーフローの脆弱性

情報源

CERT/CC Vulnerability Note VU#177092
KCodes NetUSB kernel driver is vulnerable to buffer overflow
http://www.kb.cert.org/vuls/id/177092

概要

KCodes NetUSB カーネルドライバには、バッファオーバーフローの脆弱性があ
ります。結果として、第三者が、任意のコードを実行したり、サービス運用妨
害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品は以下の通りです。

- KCodes が提供する NetUSB カーネルドライバを使用する製品

この問題は、使用している製品のベンダが提供する修正済みのバージョンに
ファームウェアを更新することで解決します。また、以下の回避策を適用する
ことで、本脆弱性の影響を軽減することが可能です。

- USB デバイスのネットワーク共有を無効にする
- 20005/tcp の通信をブロックする

詳細については、使用している製品のベンダが提供する情報を参照してくださ
い。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90185396
KCodes NetUSB カーネルドライバにバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU90185396/

【6】BGA32.DLL および QBga32.DLL に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#78689801
BGA32.DLL および QBga32.DLL における複数の脆弱性
https://jvn.jp/jp/JVN78689801/

概要

BGA32.DLL および QBga32.DLL には、複数の脆弱性があります。結果として、
遠隔の第三者が、細工したファイルをユーザに開かせることで、任意のコード
を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ
ります。

対象となる製品およびバージョンは以下の通りです。

- BGA32.DLL
- QBga32.DLL version 0.04 およびそれ以前

BGA32.DLL は開発を終了していますので、使用を停止してください。
QBga32.DLL については、開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細については、開発者が提供する情報を参照してください。

関連文書 (日本語)

kmonos.net
QBga32.DLL
http://www.kmonos.net/lib/qbga32.ja.html

■今週のひとくちメモ

○金融機関のフィッシングサイトが増加

2015年4月21日、警察庁 @police は、「金融機関のフィッシングサイトの増加
について」を公開しました。このレポートでは、4月中旬以降、日本国内の金
融機関を騙るフィッシングサイトが増加していること、これらのフィッシング
サイトでは SSL/TLS で暗号化されていないことなどが紹介されています。

また、フィッシング対策協議会からも、フィッシングに関する情報が公開され
ています。あわせて参考にしてください。

参考文献 (日本語)

警察庁 @police
金融機関のフィッシングサイトの増加について
https://www.npa.go.jp/cyberpolice/detect/pdf/20150421.pdf

フィッシング対策協議会
フィッシングに関するニュース
https://www.antiphishing.jp/news/alert/

■JPCERT/CC からのお願い