<<< JPCERT/CC WEEKLY REPORT 2016-03-16 >>>

■03/06(日)〜03/12(土) のセキュリティ関連情報

目　次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】ISC BIND にサービス運用妨害 (DoS) の脆弱性

【4】複数の Cisco 製品に脆弱性

【5】OpenSSH にコマンドインジェクションの脆弱性

【6】Mozilla Firefox に複数の脆弱性

【7】Apple Software Update に脆弱性

【8】Citrix License Server に脆弱性

【9】Quagga にバッファオーバーフローの脆弱性

【今週のひとくちメモ】IPA が「2015年度 中小企業における情報セキュリティ対策に関する実態調査 報告書」を公開

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases March 2016 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2016/03/08/Microsoft-Releases-March-2016-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Edge
- Microsoft Office
- Microsoft Office Services および Web Apps
- Microsoft サーバー ソフトウェア
- Microsoft .NET Framework

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2016 年 3 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/library/security/ms16-mar

JPCERT/CC Alert 2016-03-09
2016年3月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160011.html

【2】複数の Adobe 製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Acrobat, Reader, and Digital Editions
https://www.us-cert.gov/ncas/current-activity/2016/03/08/Adobe-Releases-Security-Updates-Acrobat-Reader-and-Digital-Editions

US-CERT Current Activity
Adobe Releases Security Updates for Flash Player
https://www.us-cert.gov/ncas/current-activity/2016/03/10/Adobe-Releases-Security-Updates-Flash-Player

概要

複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player デスクトップランタイム 20.0.0.306 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 継続サポートリリース 18.0.0.329 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Flash Player 11.2.202.569 およびそれ以前 (Linux 版)
- Adobe AIR デスクトップランタイム 20.0.0.260 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe AIR SDK 20.0.0.260 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版)
- Adobe AIR SDK & Compiler 20.0.0.260 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版)
- Adobe AIR 20.0.0.233 およびそれ以前 (Android 版)
- Adobe Digital Editions 4.5.0 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版)
- Adobe Acrobat DC 連続トラック 15.010.20059 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat Reader DC 連続トラック 15.010.20059 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat DC クラシック 15.006.30119 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat Reader DC クラシック 15.006.30119 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Acrobat XI 11.0.14 およびそれ以前 (Windows 版、Macintosh 版)
- Adobe Reader XI 11.0.14 およびそれ以前 (Windows 版、Macintosh 版)

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe セキュリティ情報
Adobe Digital Editionsに関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb16-06.html

Adobe セキュリティ情報
Adobe Acrobat および Reader に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/acrobat/apsb16-09.html

Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-08.html

JPCERT/CC Alert 2016-03-09
Adobe Reader および Acrobat の脆弱性 (APSB16-09) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160012.html

JPCERT/CC Alert 2016-03-11
Adobe Flash Player の脆弱性 (APSB16-08) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160014.html

【3】ISC BIND にサービス運用妨害 (DoS) の脆弱性

情報源

US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2016/03/09/ISC-Releases-Security-Updates-BIND

概要

ISC BIND には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- BIND 9.0.0 から 9.8.8 まで
- BIND 9.9.0 から 9.9.8-P3 まで
- BIND 9.9.3-S1 から 9.9.8-S5 まで
- BIND 9.10.0 から 9.10.3-P3 まで

この問題は、ISC が提供する修正済みのバージョンに ISC BIND を更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

株式会社日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2016-1285）
https://jprs.jp/tech/security/2016-03-10-bind9-vuln-controlchannel.html

株式会社日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2016-1286）
https://jprs.jp/tech/security/2016-03-10-bind9-vuln-rrsig.html

株式会社日本レジストリサービス (JPRS)
BIND 9.10.xの脆弱性（DNSサービスの停止）について（CVE-2016-2088）
https://jprs.jp/tech/security/2016-03-10-bind9-vuln-dnscookie.html

JPNIC
BIND 9における複数の脆弱性について(2016年3月) - JPNIC
https://www.nic.ad.jp/ja/topics/2016/20160310-01.html

JPCERT/CC Alert 2016-03-10
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-1286) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160013.html

関連文書 (英語)

ISC Knowledge Base
CVE-2016-2088: A response containing multiple DNS cookies causes servers with cookie support enabled to exit with an assertion failure.
https://kb.isc.org/article/AA-01351

ISC Knowledge Base
CVE-2016-1285: An error parsing input received by the rndc control channel can cause an assertion failure in sexpr.c or alist.c
https://kb.isc.org/article/AA-01352

ISC Knowledge Base
CVE-2016-1286: A problem parsing resource record signatures for DNAME resource records can lead to an assertion failure in resolver.c or db.c
https://kb.isc.org/article/AA-01353

【4】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/03/09/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
などの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Cisco DPC3941 Wireless Residential Gateway with Digital Voice
- Cisco DPC3939B Wireless Residential Voice Gateway
- Cisco Model DPQ3925 8x4 DOCSIS 3.0 Wireless Residential Gateway with EDVA
- Cisco ASA 5500 シリーズ CSC-SSM 6.6.1164.0 より前の 6.6 系列のバージョン
- Cisco Cable Modem with Digital Voice Model DPC2203
- Cisco Cable Modem with Digital Voice Model EPC2203

この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Wireless Residential Gateway Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160309-rgid

Cisco Security Advisory
Cisco Wireless Residential Gateway with EDVA Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160309-cmdos

Cisco Security Advisory
Cisco ASA Content Security and Control Security Services Module Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160309-csc

Cisco Security Advisory
Cisco Cable Modem with Digital Voice Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160309-cmre

【5】OpenSSH にコマンドインジェクションの脆弱性

情報源

US-CERT Current Activity
OpenSSH Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/03/11/OpenSSH-Releases-Security-Update

概要

OpenSSH の X11 フォワーディング機能には、コマンドインジェクションの脆弱
性があります。結果として、遠隔の第三者が、任意のファイルを読み取るなど
の可能性があります。

対象となるバージョンは以下の通りです。

- OpenSSH 7.2p2 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに OpenSSH を更新するこ
とで解決します。また、以下の回避策を適用することで、本脆弱性の影響を軽
減することが可能です。

- X11Forwarding オプションを無効にする

詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

OpenSSH
OpenSSH Security Advisory: x11fwd.adv
http://www.openssh.com/txt/x11fwd.adv

【6】Mozilla Firefox に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/03/08/Mozilla-Releases-Security-Updates

概要

Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
る可能性があります。

対象となるバージョンは以下の通りです。

- Firefox 45 より前のバージョン
- Firefox ESR 38.7 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す
ることで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2016 年 3 月 8 日)
http://www.mozilla-japan.org/security/announce/

【7】Apple Software Update に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/03/09/Apple-Releases-Security-Update

概要

Apple Software Update には、脆弱性があります。結果として、同じネットワー
クに接続している第三者が、アップデートウィンドウの内容を書き換える可能
性があります。

対象となるバージョンは以下の通りです。

- Windows 向け Apple Software Update 2.2 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに Apple Software Update
を更新することで解決します。詳細は、Apple が提供する情報を参照してくださ
い。

関連文書 (英語)

Apple
About the security content of Apple Software Update 2.2
https://support.apple.com/en-us/HT206091

【8】Citrix License Server に脆弱性

情報源

US-CERT Current Activity
Citrix Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/03/10/Citrix-Releases-Security-Update

概要

Citrix License Server には、脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Citrix License Server for Windows 11.13.1.2 より前のバージョン
- Citrix License Server VPX 11.13.1.2 より前のバージョン

この問題は、Citrix が提供する修正済みのバージョンに Citrix License Server
を更新することで解決します。詳細は、Citrix が提供する情報を参照してく
ださい。

関連文書 (英語)

Citrix Support Knowledge Center
Citrix Licensing Security Updates to Address CVE-2015-8277
http://support.citrix.com/article/CTX207824

【9】Quagga にバッファオーバーフローの脆弱性

情報源

CERT/CC Vulnerability Note VU#270232
Quagga bgpd with BGP peers enabled for VPNv4 contains a buffer overflow vulnerability
https://www.kb.cert.org/vuls/id/270232

概要

Quagga には、バッファオーバーフローの脆弱性があります。結果として、遠隔
の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Quagga 0.99.24.1 およびそれ以前

この問題は、開発者が提供する修正済みのバージョンに Quagga を更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#94745180
Quagga にバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU94745180/

関連文書 (英語)

Quagga
bgpd: Fix VU#270232, VPNv4 NLRI parser memcpys to stack on unchecked length
http://git.savannah.gnu.org/cgit/quagga.git/commit/?id=a3bc7e9400b214a0f078fdb19596ba54214a1442

■今週のひとくちメモ

○IPA が「2015年度 中小企業における情報セキュリティ対策に関する実態調査 報告書」を公開

2016年3月8日、情報処理推進機構 (IPA) は、「2015年度 中小企業における情
報セキュリティ対策に関する実態調査 報告書」を公開しました。この報告書
は、中小企業の 20歳以上の経営者・IT 担当者・従業員を対象に、情報セキュ
リティ対策への取り組み状況や、情報セキュリティに関する被害の状況などに
ついて、ウェブアンケートを実施した結果をまとめたものです。

参考文献 (日本語)

独立行政法人情報処理推進機構 (IPA)
2015年度 中小企業における情報セキュリティ対策に関する実態調査 報告書
https://www.ipa.go.jp/files/000051252.pdf

独立行政法人情報処理推進機構 (IPA)
「2015年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
https://www.ipa.go.jp/security/fy27/reports/sme/

■JPCERT/CC からのお願い