<<< JPCERT/CC WEEKLY REPORT 2016-10-05 >>>
■09/25(日)〜10/01(土) のセキュリティ関連情報
目 次
【1】OpenSSL に複数の脆弱性
【2】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
【3】複数の Cisco 製品に脆弱性
【4】ManageEngine ServiceDesk Plus に複数の脆弱性
【5】FlashAir にアクセス制限不備の脆弱性
【6】baserCMS に複数の脆弱性
【7】Aternity に複数の脆弱性
【8】Borderless Cyber Asia 2016 開催
【今週のひとくちメモ】NISC が「サイバーセキュリティ国際キャンペーン」を開始
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr163901.txt
https://www.jpcert.or.jp/wr/2016/wr163901.xml
【1】OpenSSL に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99474230
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU99474230/
概要
OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.1.0a - OpenSSL 1.0.2i この問題は、OpenSSL を、使用している OS のベンダや配布元が提供する修正 済みのバージョンに更新することで解決します。詳細は、開発者が提供する情 報を参照してください。
関連文書 (日本語)
JPCERT/CC Alert 2016-09-28
OpenSSL の脆弱性 (CVE-2016-6309) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160038.html
関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [26 Sep 2016]
https://www.openssl.org/news/secadv/20160926.txt
【2】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
情報源
US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2016/09/27/ISC-Releases-Security-Updates-BIND
概要
ISC BIND 9 には、脆弱性があります。結果として、遠隔の第三者が、サービ ス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.0.0 から 9.8 系まで - BIND 9.9.0 から 9.9.9-P2 まで - BIND 9.9.3-S1 から 9.9.9-S3 まで - BIND 9.10.0 から 9.10.4-P2 まで - BIND 9.11.0a1 から 9.11.0rc1 まで この問題は、ISC BIND を、ISC が提供する修正済みのバージョンに更新する ことで解決します。詳細は、ISC が提供する情報を参照してください。
関連文書 (日本語)
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2776)
https://jprs.jp/tech/security/2016-09-28-bind9-vuln-rendering.html一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
BIND 9における不正なリクエストによるサーバ停止の脆弱性について(2016年9月) - JPNIC
https://www.nic.ad.jp/ja/topics/2016/20160928-01.htmlJapan Vulnerability Notes JVNVU#90255292
ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU90255292/JPCERT/CC Alert 2016-09-28
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-2776) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160037.html
関連文書 (英語)
ISC Knowledge Base
CVE-2016-2776: Assertion Failure in buffer.c While Building Responses to a Specifically Constructed Request
https://kb.isc.org/article/AA-01419
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/09/28/Cisco-Releases-Security-Updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意の SQL 文を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Email Security Appliance (ESA) 9.1.2-023 - Cisco Email Security Appliance (ESA) 9.1.2-028 - Cisco Email Security Appliance (ESA) 9.1.2-036 - Cisco Email Security Appliance (ESA) 9.7.2-046 - Cisco Email Security Appliance (ESA) 9.7.2-047 - Cisco Email Security Appliance (ESA) 9.7-2-054 - Cisco Email Security Appliance (ESA) 10.0.0-124 - Cisco Email Security Appliance (ESA) 10.0.0-125 - Cisco IOS Software - Cisco IOS XE Software - Cisco Firepower Management Center この問題は、該当する製品を、Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Email Security Appliance Internal Testing Interface Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160922-esaCisco Security Advisory
Cisco IOS and IOS XE Software Smart Install Memory Leak Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-smiCisco Security Advisory
Cisco IOS and IOS XE Software Multicast Routing Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-msdpCisco Security Advisory
Cisco IOS and IOS XE Software IP Detail Record Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-ipdrCisco Security Advisory
Cisco IOS and IOS XE Software Internet Key Exchange Version 1 Fragmentation Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-ios-ikev1Cisco Security Advisory
Cisco IOS and IOS XE Software H.323 Message Validation Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-h323Cisco Security Advisory
Cisco IOS XE Software IP Fragment Reassembly Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-fragCisco Security Advisory
Cisco Firepower Management Center SQL Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-fpmcCisco Security Advisory
Cisco Firepower Management Center Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-fmc1Cisco Security Advisory
Cisco IOS XE Software NAT Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-esp-natCisco Security Advisory
Cisco IOS and IOS XE Software DNS Forwarder Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-dnsCisco Security Advisory
Cisco IOS Software Common Industrial Protocol Request Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-cipCisco Security Advisory
Cisco IOS and IOS XE Software AAA Login Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-aaados
【4】ManageEngine ServiceDesk Plus に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#50347324
ManageEngine ServiceDesk Plus におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN50347324/Japan Vulnerability Notes JVN#89726415
ManageEngine ServiceDesk Plus におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN89726415/Japan Vulnerability Notes JVN#72559412
ManageEngine ServiceDesk Plus における Cookie の生成処理に関する脆弱性
https://jvn.jp/jp/JVN72559412/
概要
ManageEngine ServiceDesk Plus には、複数の脆弱性があります。結果として、 遠隔の第三者が、認証情報を取得したり、ユーザのブラウザ上で任意のスクリ プトを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - ManageEngine ServiceDesk Plus 9.2 より前のバージョン この問題は、ManageEngine ServiceDesk Plus を、Zoho Corporation が提供 する修正済みのバージョンに更新することで解決します。詳細は、Zoho Corporation が提供する情報を参照してください。
関連文書 (英語)
ManageEngine
ServiceDesk Plus 9.2 ReadMe
https://www.manageengine.com/products/service-desk/readme-9.2.html
【5】FlashAir にアクセス制限不備の脆弱性
情報源
Japan Vulnerability Notes JVN#39619137
FlashAir におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN39619137/
概要
FlashAir には、アクセス制限不備の脆弱性があります。結果として、遠隔の 第三者が、任意の Lua スクリプトを実行したり、ファイルやデータを取得ま たは改ざんしたりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - FlashAir SD-WD/WC シリーズ Class 6 モデル ファームウェアバージョン 1.00.04 およびそれ以降 - FlashAir SD-WD/WC シリーズ Class 10 モデル W-02 ファームウェアバージョン 2.00.02 およびそれ以降 - FlashAir SD-WE シリーズ Class 10 モデル W-03 この問題は、株式会社東芝が提供する情報をもとに、認証設定を追加すること で解決します。詳細は、株式会社東芝が提供する情報を参照してください。
関連文書 (日本語)
FlashAir Developers
CONFIG
https://flashair-developers.com/ja/documents/api/config/
【6】baserCMS に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#92765814
baserCMS における複数の脆弱性
https://jvn.jp/jp/JVN92765814/
概要
baserCMS には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザの意図しない操作を実行したり、ユーザのブラウザ上で任意のスクリプトを 実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - baserCMS バージョン 3.0.10 およびそれ以前 - baserCMS 用プラグイン「ブログ」バージョン 3.0.10 およびそれ以前 - baserCMS 用プラグイン「メールフォーム」バージョン 3.0.10 およびそれ以前 - baserCMS 用プラグイン「フィードリーダー」バージョン 3.0.10 およびそれ以前 - baserCMS 用プラグイン「アップローダー」バージョン 3.0.10 およびそれ以前 この問題は、baserCMS を、開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
baserCMSユーザー会
CSRFをはじめとする複数の脆弱性
http://basercms.net/security/JVN92765814
【7】Aternity に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#706359
Aternity version 9 vulnerable to cross-site scripting and remote code execution
https://www.kb.cert.org/vuls/id/706359
概要
Aternity には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、機密情報を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - Aternity version 9 およびそれ以前 2016年10月4日現在、対策済みのバージョンは公開されていません。以下の回 避策を適用することで、本脆弱性の影響を軽減することが可能です。 - 14777 番ポートへのアクセスを制限する 詳細は、Aternity が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90976810
Aternity に複数の脆弱性
https://jvn.jp/vu/JVNVU90976810/
【8】Borderless Cyber Asia 2016 開催
情報源
OASIS
Borderless Cyber Asia
http://borderlesscyber.oasis-open.org/asia16/
概要
OASIS と慶応義塾大学が共同で主催する国際会議「Borderless Cyber Asia 2016」が、2016年11月1日から 2日間、慶應義塾大学の三田キャンパスで開催 されます。この国際会議は、民間企業や政府の役員、IT セキュリティ担当者 などを対象に、サイバー脅威情報の共有のための戦略や技術に関する意見交換 を目的としています。講演は、日本語と英語の同時通訳が提供される予定です。 なお、JPCERT/CC は「Borderless Cyber Asia 2016」を後援しています。 開催日時: 2016年11月1日 (火) - 2016年11月2日 (水) 会場: 東京都港区三田 2-15-45 慶応義塾大学三田キャンパス 参加費: 20,000円 (政府関係者、OASIS メンバー割引あり)
■今週のひとくちメモ
○NISC が「サイバーセキュリティ国際キャンペーン」を開始
内閣官房内閣サイバーセキュリティセンター (NISC) は「サイバーセキュリティ 国際キャンペーン」を開始しました。このキャンペーンは、国際連携の推進や 情報セキュリティの普及のために、2012年から毎年 10月に実施されています。 キャンペーン中は、ASEAN 諸国との情報セキュリティ政策会議や、セキュリティ 専門家によるウィークリーコラムの発信など、様々な行事が予定されています。
参考文献 (日本語)
内閣官房内閣サイバーセキュリティセンター (NISC)
サイバーセキュリティ国際キャンペーン
http://www.nisc.go.jp/security-site/campaign/内閣官房内閣サイバーセキュリティセンター (NISC)
「サイバーセキュリティ国際キャンペーン」の実施について
http://www.nisc.go.jp/press/pdf/campaign2016.pdf警察庁 サイバー犯罪対策
サイバーセキュリティ国際キャンペーン特集
https://www.npa.go.jp/cyber/international/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
