JPCERT-WR-2015-1301
2015-04-01
2015-03-22
2015-03-28
Cisco IOS および IOS XE ソフトウェアに複数の脆弱性
Cisco IOS および IOS XE ソフトウェアには、複数の脆弱性があります。結果
として、遠隔の第三者が、任意のコードを実行するなどの可能性があります。
この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS および
IOS XE ソフトウェアを更新することで解決します。詳細については、Cisco
が提供する情報を参照して下さい。
Cisco
Cisco Event Response: March 2015 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_mar15.html
Android OS に複数の脆弱性
Android OS には、複数の脆弱性があります。結果として、遠隔の第三者が、
ユーザの意図しないアプリをインストールさせたり、端末を DDoS 攻撃の踏み
台に使用したりする可能性があります。
対象となるバージョンは以下の通りです。
- Android OS 4.4 より前のバージョン
この問題は、Google や製品ベンダが提供する修正済みのバージョンに、
Android OS を更新することで解決します。詳細については、Google や製品ベ
ンダ、携帯電話事業者が提供する情報を参照して下さい。
paloalto networks
Android Installer Hijacking Vulnerability Could Expose Android Users to Malware
http://researchcenter.paloaltonetworks.com/2015/03/android-installer-hijacking-vulnerability-could-expose-android-users-to-malware/
複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題
複数の認証局では、「特定のメールアドレスでのやりとりが可能であること」
のみを確認し、証明書が発行されています。これにより、ユーザにメールサー
ビスを提供している場合、結果として、関連するドメインの管理とは無関係な
第三者によって SSL 証明書が取得され、HTTPS スプーフィングが行われる可
能性があります。
ユーザにメールサービスを提供している場合、以下の回避策を適用することで、
本問題の影響を軽減することが可能です。
- 認証局が証明書発行時の確認に使用されるメールアドレスを、ユーザに取得
させない
- 認証局が証明書発行時の確認に使用されるメールアドレスを、すでにユーザ
が取得している場合、無効にする
Japan Vulnerability Notes JVNVU#92002857
複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題
https://jvn.jp/vu/JVNVU92002857/
ANTlabs 製 InnGate の複数のモデルに任意のファイルを読み書き可能な脆弱性
ANTlabs 製 InnGate の複数のモデルには、脆弱性があります。結果として、
遠隔の第三者が、任意のファイルを読み取ったり、改ざんしたりする可能性が
あります。
対象となる製品は以下の通りです。
- IG 3100 model 3100, model 3101
- InnGate 3.00 E-Series, 3.01 E-Series, 3.02 E-Series, 3.10 E-Series
- InnGate 3.01 G-Series, 3.10 G-Series
この問題は、ANTlabs が提供する修正済みのバージョンに該当する製品のファー
ムウェアを更新することで解決します。また、以下の回避策を適用することで、
本脆弱性の影響を軽減することが可能です。
- 873/tcp へのアクセスを制限する
詳細については、ANTlabs が提供する情報を参照して下さい。
Japan Vulnerability Notes JVNVU#91373232
ANTlabs 製 InnGate の複数のモデルにおいて認証なしでファイルシステムへの読書きが可能な脆弱性
https://jvn.jp/vu/JVNVU91373232/
ANTlabs
Rsync remote file system access vulnerability CVE-2015-0932
https://www.antlabs.com/index.php?option=com_content&view=article&id=195:rsync-remote-file-system-access-vulnerability-cve-2015-0932
TERASOLUNA Server Framework for Java(WEB) に脆弱性
TERASOLUNA Server Framework for Java(WEB) には、脆弱性があります。結果
として、遠隔の第三者が、入力値検査を回避する可能性があります。
対象となるバージョンは以下の通りです。
- TERASOLUNA Server Framework for Java(WEB) 2.0.0.1 から 2.0.5.2 まで
この問題は、株式会社エヌ・ティ・ティ・データが提供する修正済みのバー
ジョンに TERASOLUNA Server Framework for Java(WEB) を更新することで解
決します。詳細については、株式会社エヌ・ティ・ティ・データが提供する情
報を参照して下さい。
Sourceforge.jp
TERASOLUNA Framework
http://sourceforge.jp/projects/terasoluna/
IPA「制御システム利用者のための脆弱性対応ガイド」公開
2015年3月26日、情報処理推進機構 (IPA) は、制御システムの利用者に対して、
脆弱性対策を含むセキュリティについてどのように対応すべきかを解説した
「制御システム利用者のための脆弱性対応ガイド」を公開しました。このガイ
ドでは、企業の経営層が制御システムについて考慮すべき点や、制御システム
の管理者がすべき具体的な対策・運用時に注意すべき点などがまとめられてい
ます。
独立行政法人情報処理推進機構 (IPA)
「制御システム利用者のための脆弱性対応ガイド」や研究会報告書などを公開
https://www.ipa.go.jp/security/fy26/reports/vuln_handling/index.html
独立行政法人情報処理推進機構 (IPA)
制御システム利用者のための脆弱性対応ガイド
https://www.ipa.go.jp/files/000044733.pdf