JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2015 > Weekly Report 2015-12-24号

最終更新: 2015-12-24

Weekly Report 2015-12-24号


JPCERT-WR-2015-4901
JPCERT/CC
2015-12-24

<<< JPCERT/CC WEEKLY REPORT 2015-12-24 >>>

■12/13(日)〜12/19(土) のセキュリティ関連情報

目 次

【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

【2】Joomla! に複数の脆弱性

【3】Firefox に複数の脆弱性

【4】Ruby の標準添付ライブラリに脆弱性

【5】Symantec Endpoint Encryption に情報漏えいの脆弱性

【6】ScreenOS に複数の脆弱性

【7】WordPress 用プラグイン Welcart に SQL インジェクションの脆弱性

【8】WinRAR の実行ファイル読込みに脆弱性

【9】Ipswitch WhatsUp Gold に複数の脆弱性

【今週のひとくちメモ】警察庁、「IoT機器を標的とした攻撃の観測について」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr154901.txt
https://www.jpcert.or.jp/wr/2015/wr154901.xml

【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

情報源

US-CERT Current Activity
Internet Systems Consortium (ISC) Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2015/12/15/Internet-Systems-Consortium-ISC-Releases-Security-Updates-BIND

概要

ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者が、
サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- BIND 9 version 9.9.8-P2 より前のバージョン
- BIND 9 version 9.10.3-P2 より前のバージョン
- BIND 9 version 9.9.8-S3 より前のバージョン

この問題は、ISC が提供する修正済みのバージョンに ISC BIND 9 を更新する
ことで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

JPRS
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年12月16日公開)
http://jprs.jp/tech/security/2015-12-16-bind9-vuln-respclass.html

JPRS
BIND 9.xの脆弱性(DNSサービスの停止)について(2015年12月16日公開)
http://jprs.jp/tech/security/2015-12-16-bind9-vuln-racecond.html

JPNIC
BIND9における不正な応答による動作停止の脆弱性について(2015年12月)
https://www.nic.ad.jp/ja/topics/2015/20151216-01.html

Japan Vulnerability Notes JVNVU#97216921
ISC BIND 9 に複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU97216921/

JPCERT/CC Alert 2015-12-16
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8000) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150043.html

関連文書 (英語)

ISC Knowledge Base
CVE-2015-8000: Responses with a malformed class attribute can trigger an assertion failure in db.c
https://kb.isc.org/article/AA-01317

ISC Knowledge Base
CVE-2015-8461: A race condition when handling socket errors can lead to an assertion failure in resolver.c
https://kb.isc.org/article/AA-01319

ISC Knowledge Base
BIND 9.9.8-P2 Release Notes
https://kb.isc.org/article/AA-01326

ISC Knowledge Base
BIND 9.9.8-S3 Release Notes
https://kb.isc.org/article/AA-01327

ISC Knowledge Base
BIND 9.10.3-P2 Release Notes
https://kb.isc.org/article/AA-01328

【2】Joomla! に複数の脆弱性

情報源

US-CERT Current Activity
Joomla Releases Security Update for CMS
https://www.us-cert.gov/ncas/current-activity/2015/12/15/Joomla-Releases-Security-Update-CMS

概要

Joomla! には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
のコードを実行するなどの可能性があります。なお、本脆弱性を使用した攻撃
活動が確認されています。

対象となるバージョンは以下の通りです。

- Joomla! 1.5 から 3.4.5 まで

この問題は、開発者が提供する修正済みのバージョンに Joomla! を更新する
ことで解決します。なお、2015年12月24日現在、本件とは別に二つの脆弱性の
修正と MySQLi ドライバのセキュリティ強化を行った Joomla! 3.4.7 がリリー
スされています。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Joomla!
Joomla! 3.4.6 Released
https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html

Joomla!
Joomla! 3.4.7 Released
https://www.joomla.org/announcements/release-news/5643-joomla-3-4-7.html

【3】Firefox に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2015/12/15/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR

概要

Firefox には、複数の脆弱性があります。結果として、遠隔の第三者が、任意
のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性
があります。

対象となる製品およびバージョンは以下の通りです。

- Firefox 43 より前のバージョン
- Firefox ESR 38.5 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 12 月 15 日)
http://www.mozilla-japan.org/security/announce/

【4】Ruby の標準添付ライブラリに脆弱性

情報源

Ruby
CVE-2015-7551: Fiddle と DL における tainted 文字列使用時の脆弱性について
https://www.ruby-lang.org/ja/news/2015/12/16/unsafe-tainted-string-usage-in-fiddle-and-dl-cve-2015-7551/

概要

Ruby の標準添付ライブラリ Fiddle と DL には、脆弱性があります。結果と
して、第三者がユーザの意図しない操作を行う可能性があります。

対象となるバージョンは以下の通りです。

- Ruby 1.9.2 および 1.9.3
- Ruby 2.0.0 patchlevel 648 より前の Ruby 2.0.0 系列のバージョン
- Ruby 2.2.4 より前の Ruby 2.2 系列のバージョン
- Ruby 2.3.0 preview 1 および preview 2

この問題は、開発者や配布元が提供する修正済みのバージョンに Ruby を更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Ruby
Ruby 2.2.4 リリース
https://www.ruby-lang.org/ja/news/2015/12/16/ruby-2-2-4-released/

Ruby
Ruby 2.1.8 リリース
https://www.ruby-lang.org/ja/news/2015/12/16/ruby-2-1-8-released/

Ruby
Ruby 2.0.0-p648 リリース
https://www.ruby-lang.org/ja/news/2015/12/16/ruby-2-0-0-p648-released/

【5】Symantec Endpoint Encryption に情報漏えいの脆弱性

情報源

US-CERT Current Activity
Symantec Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2015/12/15/Symantec-Releases-Security-Update

概要

Symantec Endpoint Encryption には、情報漏えいの脆弱性があります。結果
として、特権を持たないユーザが、Symantec Endpoint Encryption をインス
トールしている他のシステムに不正にアクセスする可能性があります。

対象となるバージョンは以下の通りです。

- Symantec Endpoint Encryption 11.0 およびそれ以前

この問題は、Symantec が提供する修正済みのバージョンに Symantec Endpoint
Encryption を更新することで解決します。詳細は、Symantec が提供する情報
を参照してください。

関連文書 (英語)

Symantec Security Response
Security Advisories Relating to Symantec Products - Symantec Endpoint Encryption Client Memory Dump Information Disclosure
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20151214_00

【6】ScreenOS に複数の脆弱性

情報源

US-CERT Current Activity
Juniper Releases Out-of-band Security Advisory for ScreenOS
https://www.us-cert.gov/ncas/current-activity/2015/12/17/Juniper-Releases-Out-band-Security-Advisory-ScreenOS

概要

ScreenOS には、複数の脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- ScreenOS 6.2.0r15 から 6.2.0r18 まで
- ScreenOS 6.3.0r12 から 6.3.0r20 まで

この問題は、Juniper Networks が提供する修正済みのバージョンに ScreenOS
を更新することで解決します。詳細は、Juniper Networks が提供する情報を
参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVN#43344629
Juniper ScreenOS に複数の脆弱性
https://jvn.jp/vu/JVNVU94797797/

関連文書 (英語)

Juniper Networks
2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755, CVE-2015-7756)
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713

【7】WordPress 用プラグイン Welcart に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#43344629
WordPress 用プラグイン Welcart における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN43344629/

概要

WordPress 用プラグイン Welcart には、SQL インジェクションの脆弱性があ
ります。結果として、遠隔の第三者が、データベース内の情報を取得したり、
改ざんしたりするなどの可能性があります。

対象となるバージョンは以下の通りです。

- Welcart V1.5.2 およびそれ以前

この問題は、コルネ株式会社が提供する修正済みのバージョンに Welcart を
更新することで解決します。詳細は、コルネ株式会社が提供する情報を参照し
てください。

関連文書 (日本語)

Welcart
Welcart 1.5.3 をリリース【脆弱性の修正】
http://www.welcart.com/community/archives/76035

【8】WinRAR の実行ファイル読込みに脆弱性

情報源

Japan Vulnerability Notes JVN#64636058
WinRAR における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN64636058/

概要

WinRAR には、実行ファイル読込みに関する脆弱性があります。結果として、
第三者が任意のファイルを実行する可能性があります。

対象となるバージョンは以下の通りです。

- WinRAR 5.30 beta 4 (32 bit) およびそれ以前
- WinRAR 5.30 beta 4 (64 bit) およびそれ以前

この問題は、RARLAB が提供する修正済みのバージョンに WinRAR を更新する
ことで解決します。詳細は、RARLAB が提供する情報を参照してください。

【9】Ipswitch WhatsUp Gold に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#176160
IPswitch WhatsUp Gold contains multiple XSS vulnerabilities and a SQLi
https://www.kb.cert.org/vuls/id/176160

概要

Ipswitch WhatsUp Gold には、複数の脆弱性があります。結果として、遠隔の
第三者が任意の SQL コマンドを実行したり、当該製品の管理者が他の管理者
やユーザのブラウザ上で任意のスクリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- WhatsUp Gold Version 16.4.1 より前のバージョン

この問題は、Ipswitch が提供する修正済みのバージョンに WhatsUp Gold を
更新することで解決します。詳細は、Ipswitch が提供する情報を参照してく
ださい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#94212028
Ipswitch WhatsUp Gold に SQL インジェクションおよび複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU94212028/

■今週のひとくちメモ

○警察庁、「IoT機器を標的とした攻撃の観測について」を公開

2015年12月15日、警察庁は「IoT機器を標的とした攻撃の観測について」を公
開しました。Linux が組み込まれた IoT 機器 (デジタルビデオレコーダなど)
が、それらを標的とした攻撃により、攻撃者の命令に基づいて動作する「ボッ
ト」になる事例を確認しているとのことです。また、IoT 機器の利用者は、予
期せぬ被害に遭わないために IoT 機器への脅威が増加している状況を把握し、
セキュリティ意識を高く持ってこれらの機器を利用していく必要があるとして
います。
JPCERT/CC でも定点観測システム TSUBAME で telnet (23/TCP) へのパケット
を継続的に観測しており、これらの結果を SecurityDay 2015 にて「TSUBAME
センサを使った海外のインシデント状況について」と題した講演で発表しまし
た。

参考文献 (日本語)

警察庁
IoT 機器を標的とした攻撃の観測について (PDF)
https://www.npa.go.jp/cyberpolice/detect/pdf/20151215_1.pdf

SecurityDay 2015
公開資料
http://www.securityday.jp/materials

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english