JPCERT コーディネーションセンター

Weekly Report 2016-06-08号

JPCERT-WR-2016-2201
JPCERT/CC
2016-06-08

<<< JPCERT/CC WEEKLY REPORT 2016-06-08 >>>

■05/29(日)〜06/04(土) のセキュリティ関連情報

目 次

【1】NTP.org の ntpd に複数の脆弱性

【2】サイボウズ ガルーンに複数の脆弱性

【3】Cisco Prime Network Analysis Module (NAM) に複数の脆弱性

【4】Lenovo Accelerator Application のアップデート機能に脆弱性

【5】WordPress 用プラグイン「WP Mobile Detector」に任意のファイルをアップロード可能な脆弱性

【6】DMM.com証券製の複数の Android アプリに SSL サーバ証明書の検証不備の脆弱性

【7】Fonality (旧称 trixbox Pro) に複数の脆弱性

【8】「平成27年1月以前の旧地理院地図のソース」にディレクトリトラバーサルの脆弱性

【今週のひとくちメモ】IPA が改訂版「増加するインターネット接続機器の不適切な情報公開とその対策」公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr162201.txt
https://www.jpcert.or.jp/wr/2016/wr162201.xml

【1】NTP.org の ntpd に複数の脆弱性

情報源

US-CERT Current Activity
Vulnerabilities Identified in Network Time Protocol Daemon (ntpd)
https://www.us-cert.gov/ncas/current-activity/2016/06/03/Vulnerabilities-Identified-Network-Time-Protocol-Daemon-ntpd

概要

NTP.org の ntpd には、複数の脆弱性があります。結果として、遠隔の第三者
が、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは以下の通りです。

- ntp-4.2.8p8 より前の ntp-4 系のバージョン
- ntp-4.3.93 より前の ntp-4.3 系のバージョン

この問題は、開発者や配布元が提供する修正済みのバージョンに ntp を更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#94410990
NTP.org の ntpd にサービス運用妨害 (DoS) など複数の脆弱性
https://jvn.jp/vu/JVNVU94410990/

関連文書 (英語)

Network Time Protocol Project
June 2016 ntp-4.2.8p8 NTP Security Vulnerability Announcement (HIGH)
http://support.ntp.org/bin/view/Main/SecurityNotice#June_2016_ntp_4_2_8p8_NTP_Securi

【2】サイボウズ ガルーンに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#26298347
サイボウズ ガルーンにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN26298347/

Japan Vulnerability Notes JVN#25765762
サイボウズ ガルーンにおける情報漏えいの脆弱性
https://jvn.jp/jp/JVN25765762/

Japan Vulnerability Notes JVN#14749391
サイボウズ ガルーンにおける複数のディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN14749391/

Japan Vulnerability Notes JVN#18975349
サイボウズ ガルーンにおける複数のアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN18975349/

Japan Vulnerability Notes JVN#32218514
サイボウズ ガルーンにおけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN32218514/

Japan Vulnerability Notes JVN#33879831
サイボウズ ガルーンにおけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN33879831/

Japan Vulnerability Notes JVN#37121456
サイボウズ ガルーンにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN37121456/

Japan Vulnerability Notes JVN#49285177
サイボウズ ガルーンにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN49285177/

Japan Vulnerability Notes JVN#53542912
サイボウズ ガルーンにおけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN53542912/

概要

サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第
三者が、サービス運用妨害 (DoS) 攻撃を行ったり、ユーザのブラウザ上で任
意のスクリプトを実行したりするなどの可能性があります。

対象となるバージョンは以下の通りです。

- サイボウズ ガルーン 3.0 から 4.2 まで

この問題は、サイボウズ株式会社が提供する修正済みのバージョンにサイボウ
ズ ガルーンを更新することで解決します。詳細は、サイボウズ株式会社が提
供する情報を参照してください。

関連文書 (日本語)

サイボウズ株式会社
[CyVDB-977]スケジュールに関するサービス運用妨害 (DoS) の脆弱性
https://support.cybozu.com/ja-jp/article/8983

サイボウズ株式会社
[CyVDB-946][Internet Explorer 9の現象]メールに関する閲覧制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/8919

サイボウズ株式会社
[CyVDB-973]PHPプログラムに関するパス・トラバーサルの脆弱性
https://support.cybozu.com/ja-jp/article/9306

サイボウズ株式会社
[CyVDB-974]ログに関するパス・トラバーサルの脆弱性
https://support.cybozu.com/ja-jp/article/9305

サイボウズ株式会社
[CyVDB-928]メールに関する操作制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/8845

サイボウズ株式会社
[CyVDB-932]ポートレットに関する操作制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/9020

サイボウズ株式会社
[CyVDB-934]マルチレポートに関する閲覧制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/8877

サイボウズ株式会社
[CyVDB-988]ネット連携に関するOpen Redirectの脆弱性
https://support.cybozu.com/ja-jp/article/8987

サイボウズ株式会社
[CyVDB-989]APIに関する閲覧制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/8970

サイボウズ株式会社
[CyVDB-1000]スケジュールに関するクロスサイトスクリプティングの脆弱性
https://support.cybozu.com/ja-jp/article/9303

サイボウズ株式会社
[CyVDB-953]メールに関するクロスサイトスクリプティングの脆弱性
https://support.cybozu.com/ja-jp/article/8893

サイボウズ株式会社
[CyVDB-800]メールに関する閲覧制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/8757

サイボウズ株式会社
[CyVDB-986][Mozilla FirefoxとGoogle Chromeの現象]メールに関する閲覧制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/8982

サイボウズ株式会社
[CyVDB-948][CyVDB-963]メールに関する閲覧制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/8897

サイボウズ株式会社
[CyVDB-1032]メールに関する閲覧制限回避の脆弱性
https://support.cybozu.com/ja-jp/article/8951

【3】Cisco Prime Network Analysis Module (NAM) に複数の脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/06/01/Cisco-Releases-Security-Updates

概要

Cisco Prime Network Analysis Module (NAM) には、複数の脆弱性があります。
結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Cisco Prime Network Analysis Module (NAM) 6.1(1) およびそれ以前において nam-security-patch.6.1-2-final を未適用のもの
- Cisco Prime Network Analysis Module (NAM) 6.2(1b) およびそれ以前
- Cisco Prime Virtual Network Analysis Module (vNAM) 6.1(1) およびそれ以前において nam-security-patch.6.1-2-final を未適用のもの
- Cisco Prime Virtual Network Analysis Module (vNAM) 6.2(1b) およびそれ以前

この問題は、Cisco が提供する修正済みのバージョンに Cisco Prime Network
Analysis Module (NAM) を更新するか、パッチを適用することで解決します。
詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Prime Network Analysis Module Unauthenticated Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160601-prime

Cisco Security Advisory
Cisco Prime Network Analysis Module Authenticated Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160601-prime2

Cisco Security Advisory
Cisco Prime Network Analysis Module Local Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160601-prime1

Cisco Security Advisory
Cisco Prime Network Analysis Module IPv6 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160601-prime3

【4】Lenovo Accelerator Application のアップデート機能に脆弱性

情報源

US-CERT Current Activity
Lenovo Accelerator Application Vulnerability
https://www.us-cert.gov/ncas/current-activity/2016/06/02/Lenovo-Accelerator-Application-Vulnerability

概要

Lenovo Accelerator Application のアップデート機能には、脆弱性がありま
す。結果として、遠隔の第三者が、中間者攻撃を行うことによって、任意のコー
ドを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Windows 10 搭載の Lenovo ノートブックに初期インストールされている Lenovo Accelerator Application

2016年6月8日現在、対策済みのバージョンは公開されていません。Lenovo
Accelerator Application をアンインストールすることを推奨します。詳細は、
レノボが提供する情報を参照してください。

関連文書 (日本語)

レノボ セキュリティ アドバイザリ
Lenovo Accelerator Application のアップデートにおける脆弱性
https://support.lenovo.com/jp/ja/product_security/len_6718

【5】WordPress 用プラグイン「WP Mobile Detector」に任意のファイルをアップロード可能な脆弱性

情報源

US-CERT Current Activity
WP Mobile Detector Vulnerability
https://www.us-cert.gov/ncas/current-activity/2016/06/03/WP-Mobile-Detector-Vulnerability

概要

WP Mobile Detector の resize.php には、脆弱性があります。結果として、
遠隔の第三者が、任意のファイルをアップロードする可能性があります。

対象となるバージョンは以下の通りです。

- WP Mobile Detector 3.6 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに WP Mobile Detector
を更新することで解決します。詳細は、開発者が提供する情報を参照してくだ
さい。

関連文書 (英語)

WP Mobile Detector
Changelog
https://wordpress.org/plugins/wp-mobile-detector/changelog/

【6】DMM.com証券製の複数の Android アプリに SSL サーバ証明書の検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#40898764
DMM.com証券製の複数の Android アプリにおける SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN40898764/

概要

DMM.com証券製の複数の Android アプリには、SSL サーバ証明書の検証不備の
脆弱性があります。結果として、遠隔の第三者が、中間者攻撃を行うことで、
暗号通信を盗聴するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Android アプリ「DMMFX Trade」 Ver.1.5.0 およびそれ以前
- Android アプリ「DMMFX DEMO Trade」 Ver.1.5.0 およびそれ以前
- Android アプリ「外為ジャパン FX Trade」 Ver.1.4.0 およびそれ以前

この問題は、株式会社DMM.com証券が提供する修正済みのバージョンに該当す
る製品を更新することで解決します。詳細は、株式会社DMM.com証券が提供す
る情報を参照してください。

関連文書 (日本語)

株式会社DMM.com
[16/05/30] Androidアプリアップデートのお知らせ
http://fx.dmm.com/information/press/2016/2016053001/

株式会社DMM.com証券
Androidアプリアップデートのお知らせ
https://www.gaitamejapan.com/support/news/2016/2016053001/

【7】Fonality (旧称 trixbox Pro) に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#754056
Fonality contains a hard-coded password and embedded SSL private key
https://www.kb.cert.org/vuls/id/754056

概要

Fonality (旧称 trixbox Pro) には、複数の脆弱性があります。結果として、
遠隔の第三者が、root 権限で任意のコードを実行したり、中間者攻撃を実行
したりするなどの可能性があります。

対象となるバージョンは以下の通りです。

- Fonality version 12.6 およびそれ以降のバージョンで、修正パッチを適用していないもの

この問題は、開発者が提供する修正済みのバージョンに Fonality および
Fonality のプラグインを更新することで解決します。詳細は、開発者が提供
する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99203738
Fonality (旧称 trixbox Pro) に複数の脆弱性
https://jvn.jp/vu/JVNVU99203738/

【8】「平成27年1月以前の旧地理院地図のソース」にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#13794955
「平成27年1月以前の旧地理院地図のソース」におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN13794955/

概要

「平成27年1月以前の旧地理院地図のソース」には、ディレクトリトラバーサ
ルの脆弱性があります。結果として、この製品を Windows 上で運用している
場合、遠隔の第三者が任意のファイルを取得する可能性があります。

対象となるバージョンは以下の通りです。

- 2016年5月25日より前に GitHub で公開されていた「平成27年1月以前の旧地理院地図のソース」

この問題は、国土地理院が提供する修正済みのバージョンに「平成27年1月以
前の旧地理院地図のソース」を更新することで解決します。詳細は、国土地理
院が提供する情報を参照してください。

関連文書 (日本語)

国土地理院
平成27年1月以前の旧地理院地図のソースの脆弱性に対するアップデート
http://www.gsi.go.jp/johofukyu/johofukyu40062.html

■今週のひとくちメモ

○IPA が改訂版「増加するインターネット接続機器の不適切な情報公開とその対策」公開

2016年5月31日、情報処理推進機構 (IPA) は、改訂版「増加するインターネッ
ト接続機器の不適切な情報公開とその対策」を公開しました。2014年に公開さ
れた初版では、インターネット接続機器を対象とした検索エンジン「SHODAN」
を紹介し、サーバ機能を持つオフィス機器をネットワークに接続した際のセキュ
リティ上の脅威について解説していました。今回の改訂版では、より広く IoT
機器を対象とした記述となり、新たな検索エンジン「Censys」についての解説
も追加されました。
レポートの最後には、これらの機器を運用する上で実施すべき対策として、
「機器管理の明確化」「ネットワークによる保護」「機器の適切な設定」とい
う 3項目をあげています。

参考文献 (日本語)

情報処理推進機構 (IPA)
IPAテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」
https://www.ipa.go.jp/security/technicalwatch/20160531.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter