<<< JPCERT/CC WEEKLY REPORT 2015-12-09 >>>

■11/29(日)〜12/05(土) のセキュリティ関連情報

目　次

【1】OpenSSL に複数の脆弱性

【2】Drupal に脆弱性

【3】EC-CUBE 用プラグイン「管理画面表示制御プラグイン」に SQL インジェクションの脆弱性

【4】p++BBS にクロスサイトスクリプティングの脆弱性

【5】フレーム高速チャットにクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】JAIPA が「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン（第4版）」を公開

【1】OpenSSL に複数の脆弱性

情報源

US-CERT Current Activity
OpenSSL Patches Multiple Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2015/12/03/OpenSSL-Patches-Multiple-Vulnerabilities

概要

OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、サービス
運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- OpenSSL 1.0.2e より前のバージョン
- OpenSSL 1.0.1q より前のバージョン
- OpenSSL 1.0.0t より前のバージョン
- OpenSSL 0.9.8zh より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン
に OpenSSL を更新することで解決します。詳細は、開発者が提供する情報を
参照してください。

関連文書 (英語)

OpenSSL Project
OpenSSL Security Advisory [3 Dec 2015]
https://www.openssl.org/news/secadv/20151203.txt

【2】Drupal に脆弱性

情報源

Drupal Security advisories
Drupal core - Critical - Remote installation PSA-2015-001
https://www.drupal.org/PSA-2015-001

概要

Drupal には、インストールが完了しておらず、install.php がインターネット
からアクセス可能な状態になっている場合、遠隔の第三者が任意のデータベース
を指定してインストールを完了させる可能性があります。結果として、遠隔の
第三者が任意のデータベースを使用し、サーバ上でコードを実行する可能性が
あります。

対象となるバージョンは以下の通りです。

- Drupal 6 core
- Drupal 7 core
- Drupal 8 core

この問題は、Drupal のインストールを完了させた後に install.php を削除す
ることで解決します。詳細は、Drupal が提供する情報を参照してください。

【3】EC-CUBE 用プラグイン「管理画面表示制御プラグイン」に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#55545372
EC-CUBE 用プラグイン「管理画面表示制御プラグイン」における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN55545372/

概要

EC-CUBE 用プラグイン「管理画面表示制御プラグイン」には、SQL インジェク
ションの脆弱性があります。結果として、ログイン可能なユーザが、SQL 文を
実行する可能性があります。

対象となるバージョンは以下の通りです。

- 管理画面表示制御プラグイン (2.13系) Ver1.0 およびそれ以前
- 管理画面表示制御プラグイン (2.12系) Ver2.0 およびそれ以前

この問題は、ボクブロック株式会社が提供する修正済みのバージョンに管理画
面表示制御プラグインを更新することで解決します。詳細は、ボクブロック株
式会社が提供する情報を参照してください。

関連文書 (日本語)

管理画面表示制御プラグイン (2.13系) リリースノート
セキュリティに配慮した最新版1.1リリース（2015/11/27）
https://www.ec-cube.net/products/detail.php?product_id=781#release

管理画面表示制御プラグイン (2.12系) リリースノート
セキュリティに配慮した最新版2.1リリース（2015/11/27）
https://www.ec-cube.net/products/detail.php?product_id=288#release

【4】p++BBS にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#72891124
p++BBS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN72891124/

概要

p++BBS には、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が
あります。

対象となるバージョンは以下の通りです。

- p++BBS v4.05 およびそれ以前

この問題は、レッツPHP! が提供する修正済みのバージョンに p++BBS を更新
することで解決します。詳細は、レッツPHP! が提供する情報を参照してくだ
さい。

関連文書 (日本語)

レッツPHP!
p++BBS
http://php.s3.to/bbs/bbs2.php

【5】フレーム高速チャットにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#35845584
フレーム高速チャットにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN35845584/

概要

フレーム高速チャットには、クロスサイトスクリプティングの脆弱性がありま
す。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを
実行する可能性があります。

対象となるバージョンは以下の通りです。

- フレーム高速チャット 2015/09/22 より前のバージョン

この問題は、レッツPHP! が提供する修正済みのバージョンにフレーム高速
チャットを更新することで解決します。詳細は、レッツPHP! が提供する情報
を参照してください。

関連文書 (日本語)

レッツPHP!
フレーム高速チャット
http://php.s3.to/chat/

■今週のひとくちメモ

○JAIPA が「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン（第4版）」を公開

2015年11月30日、日本インターネットプロバイダー協会 (JAIPA) は、「電気
通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン
（第4版）」を公開しました。このガイドラインは、サイバー攻撃や迷惑メール
などによって起こる不正な通信の対処を、関係法令に留意しつつ実施するため
の参考資料として、2007年5月に策定され、その後のインターネット環境を巡
る環境変化などを踏まえ改訂されてきました。

今回の改訂では、2015年9月9日に総務省が公表した「電気通信事業におけるサ
イバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ」を踏
まえ、DNS の機能を悪用した DDoS 攻撃への対処や C&C サーバとの通信の遮
断などについて、追加・修正がなされています。

参考文献 (日本語)

一般社団法人日本インターネットプロバイダー協会
電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン
https://www.jaipa.or.jp/other/mtcs/guideline_v4.pdf

一般社団法人日本インターネットプロバイダー協会
電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドラインの改定について
https://www.jaipa.or.jp/topics/2015/11/post.php

総務省
「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ」及び意見募集の結果の公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000100.html

■JPCERT/CC からのお願い