JPCERT コーディネーションセンター

Weekly Report 2016-07-27号

JPCERT-WR-2016-2901
JPCERT/CC
2016-07-27

<<< JPCERT/CC WEEKLY REPORT 2016-07-27 >>>

■07/17(日)〜07/23(土) のセキュリティ関連情報

目 次

【1】CGI 等を利用する Web サーバに脆弱性

【2】2016年7月 Oracle Critical Patch Update について

【3】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

【4】PHP に複数の脆弱性

【5】複数の Apple 製品に脆弱性

【6】Android OS に複数の脆弱性

【7】Objective Systems ASN1C で生成したソースコードにバッファオーバーフローの脆弱性

【8】Cisco UCS Performance Manager に任意のコマンドを実行可能な脆弱性

【9】WordPress 用プラグイン「Nofollow Links」にクロスサイトスクリプティングの脆弱性

【10】EC-CUBE 用プラグイン「割引クーポンプラグイン」に SQL インジェクションの脆弱性

【11】Vtiger CRM にアクセス制限不備の脆弱性

【今週のひとくちメモ】CGI 等を利用するウェブサーバの脆弱性 (httpoxy) を標的としたアクセス

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr162901.txt
https://www.jpcert.or.jp/wr/2016/wr162901.xml

【1】CGI 等を利用する Web サーバに脆弱性

情報源

CERT/CC Vulnerability Note VU#797896
CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables
https://www.kb.cert.org/vuls/id/797896

US-CERT Current Activity
Drupal Releases Security Advisory
https://www.us-cert.gov/ncas/current-activity/2016/07/18/Drupal-Releases-Security-Advisory

概要

CGI 等を利用する Web サーバには、環境変数 HTTP_PROXY の設定に関する脆
弱性があります。結果として、遠隔の第三者が中間者攻撃を実行したり、任意
のホストに接続させたりする可能性があります。

対象となる製品は以下の通りです。

- CGI 等を利用する Web サーバ

この問題は、Web サーバや Web アプリケーションなどを開発者や配布元が提
供する修正済みのバージョンに更新することで解決します。また、以下の回避
策を適用することで、本脆弱性の影響を回避することが可能です。

- リクエストに含まれる Proxy ヘッダを無効にする
- CGI において、環境変数 HTTP_PROXY を使用しない
- ファイアウォールなどを用いて Web サーバからの HTTP アウトバウンド通信を必要最小限に制限する

詳細は、開発者や配布元が提供する情報を参照してください。

関連文書 (日本語)

Drupal Japan
きわめて危険度の高い脆弱性を修正した Drupal 8.1.7 がリリース
http://drupal.jp/node/721

Japan Vulnerability Notes JVNVU#91485132
CGI ウェブサーバがヘッダ Proxy の値を環境変数 HTTP_PROXY に設定する脆弱性
https://jvn.jp/vu/JVNVU91485132/

JPCERT/CC Alert 2016-07-19
CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160031.html

【2】2016年7月 Oracle Critical Patch Update について

情報源

US-CERT Current Activity
Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2016/07/19/Oracle-Releases-Security-Bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

対象は、以下の製品を含む広い範囲に存在します。

- Oracle Database Server
- Oracle E-Business Suite
- Oracle Industry Applications
- Oracle Fusion Middleware
- Oracle Sun Products
- Oracle Java SE
- Oracle MySQL

詳細は、 Oracle が提供する情報を参照してください。

関連文書 (日本語)

Oracle
Oracle Critical Patch Update Advisory - July 2016
http://www.oracle.com/technetwork/jp/topics/ojkbcpujul2016-3100482-ja.html

JPCERT/CC Alert 2016-07-20
2016年7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2016/at160032.html

【3】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

情報源

Japan Vulnerability Notes JVNVU#93856717
ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU93856717/

概要

ISC BIND 9 の lightweight resolver プロトコルの実装には、脆弱性があり
ます。結果として、遠隔の第三者が細工したリクエストを送信することで、サー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- BIND 9.9.9-P1 およびそれ以前
- BIND 9.10.0 から 9.10.4-P1 まで
- BIND 9.11.0a3 から 9.11.0b1 まで

この問題は、BIND 9 を、ISC が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2775)
https://jprs.jp/tech/security/2016-07-19-bind9-vuln-lwres.html

関連文書 (英語)

ISC Knowledge Base
CVE-2016-2775: A query name which is too long can cause a segmentation fault in lwresd
https://kb.isc.org/article/AA-01393/74/CVE-2016-2775

【4】PHP に複数の脆弱性

情報源

PHP Group
PHP 7.0.9 Released
https://secure.php.net/archive/2016.php#id2016-07-21-3

PHP Group
PHP 5.6.24 is released
https://secure.php.net/archive/2016.php#id2016-07-21-4

PHP Group
PHP 5.5.38 is released
https://secure.php.net/archive/2016.php#id2016-07-21-2

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。

対象となるバージョンは以下の通りです。

- PHP 7.0.9 より前のバージョン
- PHP 5.6.24 より前のバージョン
- PHP 5.5.38 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。なお、PHP 5.5 のセキュリティサポートは、2016年7月
21日で終了しています。利用している方は、サポート対象のバージョンへの移
行を検討してください。詳細は、開発者や配布元が提供する情報を参照してく
ださい。

関連文書 (英語)

PHP Group
PHP 7 ChangeLog Version 7.0.9
https://secure.php.net/ChangeLog-7.php#7.0.9

PHP Group
PHP 5 ChangeLog Version 5.6.24
https://secure.php.net/ChangeLog-5.php#5.6.24

PHP Group
PHP 5 ChangeLog Version 5.5.38
https://secure.php.net/ChangeLog-5.php#5.5.38

PHP Group
Unsupported Branches
https://secure.php.net/eol.php

【5】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/07/18/Apple-Releases-Multiple-Security-Updates

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユー
ザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- OS X El Capitan v10.11.6 より前のバージョン
- iOS 9.3.3 より前のバージョン
- watchOS 2.2.2 より前のバージョン
- tvOS 9.2.2 より前のバージョン
- Safari 9.1.2 より前のバージョン
- Windows 版 iTunes 12.4.2 より前のバージョン
- Windows 版 iCloud 5.2.1 より前のバージョン

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#94844193
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94844193/

関連文書 (英語)

Apple
About the security content of OS X El Capitan v10.11.6 and Security Update 2016-004
https://support.apple.com/en-us/HT206903

Apple
About the security content of iOS 9.3.3
https://support.apple.com/en-us/HT206902

Apple
About the security content of watchOS 2.2.2
https://support.apple.com/en-us/HT206904

Apple
About the security content of tvOS 9.2.2
https://support.apple.com/en-us/HT206905

Apple
About the security content of Safari 9.1.2
https://support.apple.com/en-us/HT206900

Apple
About the security content of iTunes 12.4.2 for Windows
https://support.apple.com/en-us/HT206901

Apple
About the security content of iCloud for Windows 5.2.1
https://support.apple.com/en-us/HT206899

【6】Android OS に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#06212291
Android OS の電話帳アプリにおけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN06212291/

Japan Vulnerability Notes JVN#65273415
Android OS が CRIME 攻撃による影響を受けてしまう問題
https://jvn.jp/jp/JVN65273415/

概要

Android OS には、複数の脆弱性があります。結果として、遠隔の第三者が、
細工したアプリケーションを使用させることでユーザの意図しない電話をかけ
たり、中間者攻撃によって暗号通信を盗聴したりする可能性があります。

対象となるバージョンは以下の通りです。

- Android OS 4.1.2_r1 より前のバージョン

この問題は、Android OS を、Google や配布元が提供する修正済みのバージョン
に更新することで解決します。詳細は、Google や配布元が提供する情報を参
照してください。

【7】Objective Systems ASN1C で生成したソースコードにバッファオーバーフローの脆弱性

情報源

CERT/CC Vulnerability Note VU#790839
Objective Systems ASN1C generates code that contains a heap overlow vulnerability
https://www.kb.cert.org/vuls/id/790839

概要

Objective Systems が提供する ASN1C で生成したソースコードには、バッファ
オーバーフローの脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- ASN1C 7.0.1.x およびそれ以前で作成された C または C++ のソースコード

この問題は、ASN1C 7.0.1.x に Objective Systems が提供する hotfix を適
用してから生成したソースコードを使うことで解決します。詳細は、Objective
Systems が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99625371
Objective Systems ASN1C で生成したソースコードにバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU99625371/

関連文書 (英語)

Programa STIC
Heap memory corruption in ASN.1 parsing code generated by Objective Systems Inc. ASN1C compiler for C/C++
https://github.com/programa-stic/security-advisories/tree/master/ObjSys/CVE-2016-5080

【8】Cisco UCS Performance Manager に任意のコマンドを実行可能な脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/07/20/Cisco-Releases-Security-Update

概要

Cisco UCS Performance Manager には、脆弱性があります。結果として、遠隔
の第三者が細工した HTTP GET リクエストを送信することで、任意のコマンド
を実行する可能性があります。

対象となるバージョンは以下の通りです。

- Cisco UCS Performance Manager 2.0.0 およびそれ以前

この問題は、Cisco UCS Performance Manager を、Cisco が提供する修正済み
のバージョンに更新することで解決します。詳細は、Cisco が提供する情報を
参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Unified Computing System Performance Manager Input Validation Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160720-ucsperf

【9】WordPress 用プラグイン「Nofollow Links」にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#13582657
WordPressプラグイン「Nofollow Links」におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN13582657/

概要

WordPress 用プラグイン「Nofollow Links」には、クロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者が管理者としてログインし
ているユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Nofollow Links バージョン 1.0.10 およびそれ以前

この問題は、Nofollow Links を、開発者が提供する修正済みのバージョンに
更新することで解決します。詳細は、開発者が提供する情報を参照してくださ
い。

関連文書 (英語)

Nofollow Links
Changelog
https://wordpress.org/plugins/nofollow-links/changelog/

【10】EC-CUBE 用プラグイン「割引クーポンプラグイン」に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#40696431
EC-CUBE 用プラグイン「割引クーポンプラグイン」における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN40696431/

概要

EC-CUBE 用プラグイン「割引クーポンプラグイン」には、SQL インジェクション
の脆弱性があります。結果として、遠隔の第三者がデータベース内の情報を取
得したり、改ざんしたりする可能性があります。

対象となるバージョンは以下の通りです。

- EC-CUBE 用プラグイン「割引クーポンプラグイン」 Ver1.5 およびそれ以前

この問題は、EC-CUBE 用プラグイン「割引クーポンプラグイン」を、株式会社
シードが提供する修正済みのバージョンに更新することで解決します。詳細は、
株式会社シードが提供する情報を参照してください。

関連文書 (日本語)

EC-CUBE 割引クーポンプラグイン
リリースノート
https://www.ec-cube.net/release/detail.php?release_id=2154

【11】Vtiger CRM にアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#01956993
Vtiger CRM におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN01956993/

概要

Vtiger CRM には、アクセス制限不備の脆弱性があります。結果として、一般
ユーザが、アカウントを作成したり、他のユーザの登録情報を改ざんしたりす
る可能性があります。

対象となるバージョンは以下の通りです。

- Vtiger CRM 6.4.0 およびそれ以前

この問題は、Vtiger CRM を、Vtiger が提供する修正済みのバージョンに更新
することで解決します。詳細は、Vtiger が提供する情報を参照してください。

■今週のひとくちメモ

○CGI 等を利用するウェブサーバの脆弱性 (httpoxy) を標的としたアクセス

2016年7月20日、警察庁 @police は、「CGI等を利用するウェブサーバの脆弱
性(httpoxy)を標的としたアクセスの観測について」を公開しました。7月
19日に、本号【1】で紹介した「CGI 等を利用する Web サーバに脆弱性」を標
的としたアクセスを観測したということです。該当する製品をお使いの管理者
は、早急に対策することをお勧めします。

参考文献 (日本語)

警察庁
CGI 等を利用するウェブサーバの脆弱性(httpoxy)を標的としたアクセスの観測について
https://www.npa.go.jp/cyberpolice/detect/pdf/20160720.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter