-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2015-4601
                                                                   JPCERT/CC
                                                                  2015-12-02

            <<< JPCERT/CC WEEKLY REPORT 2015-12-02 >>>

――――――――――――――――――――――――――――――――――――――
■11/22(日)〜11/28(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Dell 製の機器に秘密鍵を含む信頼されたルート証明書がインストールされている問題
【2】Apache Cordova におけるアクセス制限不備の脆弱性
【3】ManageEngine Firewall Analyzer に複数の脆弱性
【4】EPSON Network Utility に権限昇格の脆弱性
【5】多くの組込み機器製品が共通の X.509 証明書や SSH ホスト鍵を使用している問題
【今週のひとくちメモ】JPCERT/CC が「CSIRTマテリアル」を更新

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2015/wr154601.html
        https://www.jpcert.or.jp/wr/2015/wr154601.xml
============================================================================


【1】Dell 製の機器に秘密鍵を含む信頼されたルート証明書がインストールされている問題

    情報源
      CERT/CC Vulnerability Note VU#870761
      Dell Foundation Services installs root certificate and private key (eDellRoot)
      https://www.kb.cert.org/vuls/id/870761

      CERT/CC Vulnerability Note VU#925497
      Dell System Detect installs root certificate and private key (DSDTestProvider)
      https://www.kb.cert.org/vuls/id/925497

    概要
      Dell Foundation Services (DFS) および Dell System Detect (DSD) は、ル
      ート証明書およびその秘密鍵を Windows にインストールします。攻撃者は、
      このルート証明書を利用して信頼された証明書を作成することで、ユーザに
      なりすましたり、中間者攻撃によって通信内容を解読したりすることが可能
      となり、結果として、第三者に情報が漏えいする可能性があります。

      対象となる製品は以下の通りです。

      - Dell Foundation Services がインストールされている Dell 製の機器
      - Dell System Detect がインストールされている Dell 製の機器

      なお、Dell Foundation Services (DFS) および、Dell System Detect (DSD)
      は、いくつかの Dell 製の機器にプリインストールされています。DFS は、秘
      密鍵を含む eDellRoot を信頼されたルート証明書としてインストールし、DSD
      は、秘密鍵を含む DSDTestProvider を信頼されたルート証明書としてインス
      トールします。

      この問題は、eDellRoot および DSDTestProvider を無効にすることで対策す
      ることが可能です。詳細は、Dell が提供する情報を参照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#91791008
      Dell Foundation Services (DFS) がルート証明書と秘密鍵 (eDellRoot) をインストールする問題
      https://jvn.jp/vu/JVNVU91791008/

      Japan Vulnerability Notes JVNVU#99824449
      Dell System Detect (DSD) がルート証明書と秘密鍵 (DSDTestProvider) をインストールする問題
      https://jvn.jp/vu/JVNVU99824449/

    関連文書 (英語)
      Dell US
      Information on the eDellRoot and DSDTestProvider certificates and how to remove them from your Dell PC
      http://www.dell.com/support/article/us/en/19/SLN300321

【2】Apache Cordova におけるアクセス制限不備の脆弱性

    情報源
      Japan Vulnerability Notes JVN#18889193
      Apache Cordova におけるアクセス制限不備の脆弱性
      https://jvn.jp/jp/JVN18889193/

    概要
      Apache Cordova には脆弱性があります。Apache Cordova を使って開発された
      Android アプリケーションには、ホワイトリストのアクセス制限が正しく適用
      されない脆弱性が存在し、結果として、ユーザが細工された URL にアクセス
      する事でホワイトリストによるアクセス制限を回避される可能性があります。

      対象となるバージョンは以下の通りです。

      - Cordova Android 3.7.2 およびそれ以前

      この問題は、The Apache Software Foundation が提供する修正済みのバージョン
      に Apache Cordova を更新し、Android アプリケーションをリビルドすること
      で解決します。詳細は、The Apache Software Foundation が提供する情報を
      参照してください。

    関連文書 (英語)
      Apache Cordova
      CVE annoucements for Cordova-Android
      https://cordova.apache.org/announcements/2015/11/20/security.html

【3】ManageEngine Firewall Analyzer に複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#21968837
      ManageEngine Firewall Analyzer におけるディレクトリトラバーサルの脆弱性
      https://jvn.jp/jp/JVN21968837/

      Japan Vulnerability Notes JVN#12991684
       ManageEngine Firewall Analyzer におけるアクセス制限不備の脆弱性
      https://jvn.jp/jp/JVN12991684/

    概要
      ManageEngine Firewall Analyzer には、複数の脆弱性があります。結果とし
      て、遠隔の第三者が、サーバ上の任意のファイルを取得したり、サーバログを
      取得したりする可能性があります。

      対象となるバージョンは以下の通りです。

      - ManageEngine Firewall Analyzer 8.0 より前のバージョン

      この問題は、Zoho Corporation が提供する修正済みのバージョンに、
      ManageEngine Firewall Analyzer を更新することで解決します。詳細は、
      Zoho Corporation が提供する情報を参照してください。

    関連文書 (英語)
      Zoho Corporation
      Release Notes :: Firewall Analyzer
      https://www.manageengine.com/products/firewall/release-notes.html

【4】EPSON Network Utility に権限昇格の脆弱性

    情報源
      CERT/CC Vulnerability Note VU#672500
      EPSON Network Utility installs EpsonBidirectionalService with insecure permissions
      https://www.kb.cert.org/vuls/id/672500

    概要
      EPSON Network Utility には脆弱性があります。結果として、Windows にログ
      イン可能なユーザが、SYSTEM 権限で任意のコードを実行する可能性がありま
      す。

      対象となるバージョンは以下の通りです。

      - EPSON Network Utility v4.10

      この問題は、EPSON が提供する修正済みのバージョンに、EPSON Network Utility
      を更新することで解決します。詳細は、EPSON が提供する情報を参照してくだ
      さい。

    関連文書 (日本語)
      セイコーエプソン株式会社
      製品セキュリティーに関するお知らせ
      http://support.epson.net/ESN/HTML/SecurityNotification-J.html

      Japan Vulnerability Notes JVNVU#93369775
      EPSON Network Utility に権限昇格の脆弱性
      https://jvn.jp/vu/JVNVU93369775/

【5】多くの組込み機器製品が共通の X.509 証明書や SSH ホスト鍵を使用している問題

    情報源
      CERT/CC Vulnerability Note VU#566724
      Embedded devices use non-unique X.509 certificates and SSH host keys
      https://www.kb.cert.org/vuls/id/566724

    概要
      多くの組込み機器製品では、共通の X.509 証明書や SSH ホスト鍵が使用され
      ています。結果として、ユーザのなりすましや、中間者攻撃による通信内容の
      解読が可能となります。

      対象製品は多岐に渡ります。詳細は各開発者が提供する情報を参照してくださ
      い。

      2015年12月2日現在、ほとんどの製品において対策方法は不明です。アクセス
      制限を設定したり、固有の X.509 証明書や SSH ホスト鍵に変更することで、
      脆弱性による影響を軽減することが可能です。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#96100360
      組込み機器に固有でない X.509 証明書および SSH ホスト鍵を使用している問題
      https://jvn.jp/vu/JVNVU96100360/

    関連文書 (英語)
      SEC Consult
      House of Keys: Industry-Wide HTTPS Certificate and SSH Key Reuse Endangers Millions of Devices Worldwide
      http://blog.sec-consult.com/2015/11/house-of-keys-industry-wide-https.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CC が「CSIRTマテリアル」を更新

      2015年11月26日、JPCERT/CC は「CSIRTマテリアル」を更新しました。この資
      料は、組織内の情報セキュリティ問題を専門に扱うインシデント対応チーム
      CSIRT (シーサート: Computer Security Incident Response Team) の構築や
      運用を支援する目的で提供しているものです。

      今回の更新では、組織内 CSIRT 構築のための普遍的な内容を継承しつつ、高
      度サイバー攻撃 (APT) への対応などを加筆しています。これから組織内
      CSIRT の構築および運用を検討している組織だけではなく、既に組織内 CSIRT
      を運用している組織に対しても、有用な資料となっています。

    参考文献 (日本語)
      JPCERT/CC
      CSIRTマテリアル
      https://www.jpcert.or.jp/csirt_material/


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2015 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJWXjpKAAoJEDF9l6Rp7OBIGOQIAKcm3l5pc0FQr7WloMrUjVVf
wIe0WVnflNpB0JIGH3FY/j++OgN44lrKUcjbRA2BuSdu7I+W7q68bD5U6G+QkRoP
8c7I60Up5JBhwf/1nO8J25RbQQbK54TCX3DF1ZIO0PIPXSuPFMJVzAan58WR9EGB
zaIH1OTMtq5s2YSfMppdEzaa2PndeeJdwjGT5HZ3ARoPkEFVCWZt906DXtQIxAzO
mi7DgZXgPoOripYG+CqD9kLcD31OcRsZ5BWwraOAiAxgfaVrY6p3VVu/SuGwiDaW
PVgx2W8QCtRC0rcsWx9rnslx/IvQaKMxETX6uql1gTde8bbXsZDkOHjF5ozSqwY=
=u+MK
-----END PGP SIGNATURE-----