-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-4301 JPCERT/CC 2015-11-11 <<< JPCERT/CC WEEKLY REPORT 2015-11-11 >>> ―――――――――――――――――――――――――――――――――――――― ■11/01(日)〜11/07(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Firefox に複数の脆弱性 【2】Cisco Web セキュリティ アプライアンスに複数の脆弱性 【3】SonicWall TotalSecure TZ 100 シリーズにサービス運用妨害 (DoS) の脆弱性 【4】MobaXterm にコマンドインジェクションの脆弱性 【5】ZTE 製の複数のルータ製品に脆弱性 【6】TCG日本支部(JRF) セキュリティワークショップ開催のお知らせ 【今週のひとくちメモ】マイクロソフトが SHA-1 廃止に向けた FAQ を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr154301.html https://www.jpcert.or.jp/wr/2015/wr154301.xml ============================================================================ 【1】Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox and Firefox ESR https://www.us-cert.gov/ncas/current-activity/2015/11/04/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR 概要 Firefox には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 42 より前のバージョン - Firefox ESR 38.4 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細は、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2015 年 11 月 3 日) http://www.mozilla-japan.org/security/announce/ 【2】Cisco Web セキュリティ アプライアンスに複数の脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates for Web Security Appliances https://www.us-cert.gov/ncas/current-activity/2015/11/04/Cisco-Releases-Security-Updates-Web-Security-Appliances 概要 Cisco Web セキュリティ アプライアンスには、複数の脆弱性があります。結 果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Cisco AsyncOS 8 系が稼働している Cisco Web セキュリティ アプライアンス この問題は、Cisco が提供する修正済みのバージョンに Cisco Web セキュリ ティ アプライアンスを更新することで解決します。詳細は、Cisco が提供す る情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Web Security Appliance Certificate Generation Command Injection Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151104-wsa Cisco Security Advisory Cisco Web Security Appliance Range Request Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151104-wsa2 Cisco Security Advisory Cisco Web Security Appliance Cache Reply Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151104-wsa1 【3】SonicWall TotalSecure TZ 100 シリーズにサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVN#90135579 SonicWall TotalSecure TZ 100 シリーズにおけるサービス運用妨害 (DoS)の脆弱性 https://jvn.jp/jp/JVN90135579/ 概要 SonicWall TotalSecure TZ 100 シリーズには、サービス運用妨害 (DoS) の脆 弱性があります。結果として、遠隔の第三者が、細工したパケットを送信する ことで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - SonicWall TotalSecure TZ 100 シリーズ向けファームウェア 5.9.1.0-22o より前のバージョン この問題は、Dell が提供する修正済みのバージョンに SonicWall TotalSecure TZ 100 シリーズのファームウェアを更新することで解決します。詳細は、Dell が提供する情報を参照してください。 【4】MobaXterm にコマンドインジェクションの脆弱性 情報源 CERT/CC Vulnerability Note VU#316888 MobaXterm server may allow arbitrary command injection due to missing X11 authentication https://www.kb.cert.org/vuls/id/316888 概要 MobaXterm には、コマンドインジェクションの脆弱性があります。結果として、 遠隔の第三者が、任意の X11 のコマンドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - MobaXterm 8.3 より前のバージョン この問題は、Mobatek が提供する修正済みのバージョンに MobaXterm を更新 することで解決します。詳細は、Mobatek が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95822377 MobaXterm にコマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU95822377/ 関連文書 (英語) Mobatek MobaXterm Home Edition https://mobaxterm.mobatek.net/download-home-edition.html 【5】ZTE 製の複数のルータ製品に脆弱性 情報源 CERT/CC Vulnerability Note VU#391604 ZTE ZXHN H108N R1A routers contain multiple vulnerabilities https://www.kb.cert.org/vuls/id/391604 概要 ZTE 製の複数のルータ製品には、脆弱性があります。結果として、遠隔の第三 者が、認証を回避したり、任意の操作を行ったりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - ZXHN H108N R1A ファームウェアバージョン ZTE.bhs.ZXHNH108NR1A.h_PE - ZXV10 W300 ファームウェアバージョン W300V1.0.0f_ER1_PE ZXHN H108N R1A は、ZTE が提供する修正済みのバージョンにファームウェア を更新することで解決します。ZXV10 W300 は、パッチの提供予定がないため、 使用を停止してください。詳細は、ZTE が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91514956 ZTE 製の複数のルータ製品に脆弱性 https://jvn.jp/vu/JVNVU91514956/ 【6】TCG日本支部(JRF) セキュリティワークショップ開催のお知らせ 情報源 TCG日本支部(JRF) TCG日本支部(JRF) セキュリティワークショップ https://www.trustedcomputinggroup.org/jp/jrfworkshop 概要 2015年12月2日(水)、秋葉原UDX (千代田区外神田) において、TCG日本支部 (JRF) 主催の第7回公開セキュリティワークショップが開催されます。 JPCERT/CC は、本ワークショップに協力し、講演を行います。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○マイクロソフトが SHA-1 廃止に向けた FAQ を公開 2015年10月20日、マイクロソフトは、「FAQ: SHA-1 廃止/SHA-2 移行に関する マイクロソフトのポリシー」を公開しました。この FAQ は、SHA-1 廃止に関 する経緯や SHA-2 移行に必要な作業などをまとめたものです。 マイクロソフトは SHA-1 を廃止することにしており、2016年1月1日から、SHA-1 により署名された Windows 上の SSL/TLS 証明書やアプリの証明書などが順次 利用不可となります。 参考文献 (日本語) マイクロソフト 日本のセキュリティチーム FAQ: SHA-1 廃止/SHA-2 移行に関するマイクロソフトのポリシー http://blogs.technet.com/b/jpsecurity/archive/2015/11/02/faq-microsoft-policy-on-sha1-deprecation.aspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWQolIAAoJEDF9l6Rp7OBInrMIAKMUEcr19HsYNZzawps3HiaM RK5Z5JpwNurEiWinZxLWPLPI4Ftr2sY5o9LqmZYuRToMEYR/qZEBGPYd8GU0wTNw znqT+OPFg+Dus14JGGXWxxPIUnvosx4L104HIwbNbj6UsKDVnqkWYQrokaRQsv5T qZv0CGROiOhkRm+SkRrwxJE4LQrZ+xe5vC2WD5FUKc89pUwMD9SvDti2tEpZTQej QLJ9JzvGILkLEcBZJssjsVN9RhKcl4GYlCl0akKk4eixy/KAFkUJtVXX9y9J5WWc diIK/Q/THC//ekv7VGvzEEyrEd3Afh2/M2/fZERl8aQfP5RznJJjBvKZIhAUhKI= =epqU -----END PGP SIGNATURE-----