-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-1001 JPCERT/CC 2014-03-12 <<< JPCERT/CC WEEKLY REPORT 2014-03-12 >>> ―――――――――――――――――――――――――――――――――――――― ■03/02(日)〜03/08(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】GnuTLS に証明書検証不備の脆弱性 【2】Foscam の IP カメラに認証回避の脆弱性 【今週のひとくちメモ】Phishing Activity Trends Report, 3rd Quarter 2013 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr141001.html https://www.jpcert.or.jp/wr/2014/wr141001.xml ============================================================================ 【1】GnuTLS に証明書検証不備の脆弱性 情報源 US-CERT Current Activity GnuTLS Releases Security Update http://www.us-cert.gov/ncas/current-activity/2014/03/05/GnuTLS-Releases-Security-Update 概要 GnuTLS には、証明書の検証が回避される脆弱性があります。結果として、遠隔 の第三者が、正規の Web サイトを偽造したり、中間者攻撃を実行したりする可 能性があります。 対象となるバージョンは以下の通りです。 - GnuTLS 3.2.12 より前のバージョン - GnuTLS 3.1.22 より前のバージョン - GnuTLS 2.12.x この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに GnuTLS を更新することで解決します。詳細については、各ベンダや配布 元が提供する情報を参照して下さい。 関連文書 (英語) GnuTLS Advisories Certificate verification issue http://www.gnutls.org/security.html#GNUTLS-SA-2014-2 【2】Foscam の IP カメラに認証回避の脆弱性 情報源 CERT/CC Vulnerability Note VU#525132 Foscam IP camera authentication bypass vulnerability http://www.kb.cert.org/vuls/id/525132 概要 Foscam の IP カメラには、認証回避の脆弱性があります。結果として、遠隔 の第三者が、動画や画像データにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - FI8910W ファームウェア 11.37.2.54 およびそれ以前 この問題は、Shenzhen Foscam Intelligent Technology が提供する修正済みの バージョンにファームウェアを更新することで解決します。詳細については、 Shenzhen Foscam Intelligent Technology が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93348073 Foscam FI8910W に認証回避の脆弱性 https://jvn.jp/vu/JVNVU93348073/index.html 関連文書 (英語) FOSCAM MJPEG .54 Firmware Bug - User Logon Bypass http://foscam.us/forum/mjpeg-54-firmware-bug-user-logon-bypass-t8442.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Phishing Activity Trends Report, 3rd Quarter 2013 Anti-Phishing Working Group (APWG) から Phishing Activity Trends Report, 3rd Quarter 2013 が公開されています。これは、四半期毎に公開さ れているもので、 APWG に報告されたレポート内容を分析しています。 フィッシングサイトの総数が前四半期と比較して増加していること、フィッシ ングのターゲットとされる業種は金融サービスや決済代行サービスが多いこと などが報告されています。 また、国内でフィッシング詐欺に関する報告を受け付けているフィッシング対 策協議会は、月次報告書を公開しています。こちらもあわせてご参照ください。 参考文献 (日本語) フィッシング対策協議会 月次報告書 一覧 https://www.antiphishing.jp/report/monthly/ 参考文献 (英語) Anti-Phishing Working Group Phishing Activity Trends Report, 3rd Quarter 2013 http://docs.apwg.org/reports/apwg_trends_report_q3_2013.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTH62XAAoJEDF9l6Rp7OBI1foIAJAviVYIWib5tQbvX/HehNrH 38w93WdOT1752wwZMZ96yjyDgPlO39iU2i+3+iyPfKJvE8+n1FqN2U7qJlgnK+0u f29oZ+0s/6/+fUi18RaHM2YzdTKvIrAMEnZaBTxhA98iV8jrsdXAPDI4ysm8IHiW L+pUA1KOAhvNAUs72oyoVGLDYUA2Ee/7EVMhC8EqCQobYFVjrpZGUAQHsAhKG5Bl UwH/HPwNoUZo7CH+jCWO7Hxt7UTtA7WRxYfOKqSSyXp9NsPudmvZ+UOc/UWgOiGr 12HYXITkYgKFFt5RuRlxuGhiE4QxylBPKSkyoju9c02KuB6QoOxJNCjsmZkCRBE= =FIs5 -----END PGP SIGNATURE-----