-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-4901 JPCERT/CC 2015-12-24 <<< JPCERT/CC WEEKLY REPORT 2015-12-24 >>> ―――――――――――――――――――――――――――――――――――――― ■12/13(日)〜12/19(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 【2】Joomla! に複数の脆弱性 【3】Firefox に複数の脆弱性 【4】Ruby の標準添付ライブラリに脆弱性 【5】Symantec Endpoint Encryption に情報漏えいの脆弱性 【6】ScreenOS に複数の脆弱性 【7】WordPress 用プラグイン Welcart に SQL インジェクションの脆弱性 【8】WinRAR の実行ファイル読込みに脆弱性 【9】Ipswitch WhatsUp Gold に複数の脆弱性 【今週のひとくちメモ】警察庁、「IoT機器を標的とした攻撃の観測について」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr154901.html https://www.jpcert.or.jp/wr/2015/wr154901.xml ============================================================================ 【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Current Activity Internet Systems Consortium (ISC) Releases Security Updates for BIND https://www.us-cert.gov/ncas/current-activity/2015/12/15/Internet-Systems-Consortium-ISC-Releases-Security-Updates-BIND 概要 ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者が、 サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9 version 9.9.8-P2 より前のバージョン - BIND 9 version 9.10.3-P2 より前のバージョン - BIND 9 version 9.9.8-S3 より前のバージョン この問題は、ISC が提供する修正済みのバージョンに ISC BIND 9 を更新する ことで解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) JPRS (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年12月16日公開) http://jprs.jp/tech/security/2015-12-16-bind9-vuln-respclass.html JPRS BIND 9.xの脆弱性(DNSサービスの停止)について(2015年12月16日公開) http://jprs.jp/tech/security/2015-12-16-bind9-vuln-racecond.html JPNIC BIND9における不正な応答による動作停止の脆弱性について(2015年12月) https://www.nic.ad.jp/ja/topics/2015/20151216-01.html Japan Vulnerability Notes JVNVU#97216921 ISC BIND 9 に複数のサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU97216921/ JPCERT/CC Alert 2015-12-16 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8000) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150043.html 関連文書 (英語) ISC Knowledge Base CVE-2015-8000: Responses with a malformed class attribute can trigger an assertion failure in db.c https://kb.isc.org/article/AA-01317 ISC Knowledge Base CVE-2015-8461: A race condition when handling socket errors can lead to an assertion failure in resolver.c https://kb.isc.org/article/AA-01319 ISC Knowledge Base BIND 9.9.8-P2 Release Notes https://kb.isc.org/article/AA-01326 ISC Knowledge Base BIND 9.9.8-S3 Release Notes https://kb.isc.org/article/AA-01327 ISC Knowledge Base BIND 9.10.3-P2 Release Notes https://kb.isc.org/article/AA-01328 【2】Joomla! に複数の脆弱性 情報源 US-CERT Current Activity Joomla Releases Security Update for CMS https://www.us-cert.gov/ncas/current-activity/2015/12/15/Joomla-Releases-Security-Update-CMS 概要 Joomla! には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行するなどの可能性があります。なお、本脆弱性を使用した攻撃 活動が確認されています。 対象となるバージョンは以下の通りです。 - Joomla! 1.5 から 3.4.5 まで この問題は、開発者が提供する修正済みのバージョンに Joomla! を更新する ことで解決します。なお、2015年12月24日現在、本件とは別に二つの脆弱性の 修正と MySQLi ドライバのセキュリティ強化を行った Joomla! 3.4.7 がリリー スされています。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Joomla! Joomla! 3.4.6 Released https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html Joomla! Joomla! 3.4.7 Released https://www.joomla.org/announcements/release-news/5643-joomla-3-4-7.html 【3】Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox and Firefox ESR https://www.us-cert.gov/ncas/current-activity/2015/12/15/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR 概要 Firefox には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 43 より前のバージョン - Firefox ESR 38.5 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細は、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2015 年 12 月 15 日) http://www.mozilla-japan.org/security/announce/ 【4】Ruby の標準添付ライブラリに脆弱性 情報源 Ruby CVE-2015-7551: Fiddle と DL における tainted 文字列使用時の脆弱性について https://www.ruby-lang.org/ja/news/2015/12/16/unsafe-tainted-string-usage-in-fiddle-and-dl-cve-2015-7551/ 概要 Ruby の標準添付ライブラリ Fiddle と DL には、脆弱性があります。結果と して、第三者がユーザの意図しない操作を行う可能性があります。 対象となるバージョンは以下の通りです。 - Ruby 1.9.2 および 1.9.3 - Ruby 2.0.0 patchlevel 648 より前の Ruby 2.0.0 系列のバージョン - Ruby 2.2.4 より前の Ruby 2.2 系列のバージョン - Ruby 2.3.0 preview 1 および preview 2 この問題は、開発者や配布元が提供する修正済みのバージョンに Ruby を更新 することで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Ruby Ruby 2.2.4 リリース https://www.ruby-lang.org/ja/news/2015/12/16/ruby-2-2-4-released/ Ruby Ruby 2.1.8 リリース https://www.ruby-lang.org/ja/news/2015/12/16/ruby-2-1-8-released/ Ruby Ruby 2.0.0-p648 リリース https://www.ruby-lang.org/ja/news/2015/12/16/ruby-2-0-0-p648-released/ 【5】Symantec Endpoint Encryption に情報漏えいの脆弱性 情報源 US-CERT Current Activity Symantec Releases Security Update https://www.us-cert.gov/ncas/current-activity/2015/12/15/Symantec-Releases-Security-Update 概要 Symantec Endpoint Encryption には、情報漏えいの脆弱性があります。結果 として、特権を持たないユーザが、Symantec Endpoint Encryption をインス トールしている他のシステムに不正にアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - Symantec Endpoint Encryption 11.0 およびそれ以前 この問題は、Symantec が提供する修正済みのバージョンに Symantec Endpoint Encryption を更新することで解決します。詳細は、Symantec が提供する情報 を参照してください。 関連文書 (英語) Symantec Security Response Security Advisories Relating to Symantec Products - Symantec Endpoint Encryption Client Memory Dump Information Disclosure https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20151214_00 【6】ScreenOS に複数の脆弱性 情報源 US-CERT Current Activity Juniper Releases Out-of-band Security Advisory for ScreenOS https://www.us-cert.gov/ncas/current-activity/2015/12/17/Juniper-Releases-Out-band-Security-Advisory-ScreenOS 概要 ScreenOS には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - ScreenOS 6.2.0r15 から 6.2.0r18 まで - ScreenOS 6.3.0r12 から 6.3.0r20 まで この問題は、Juniper Networks が提供する修正済みのバージョンに ScreenOS を更新することで解決します。詳細は、Juniper Networks が提供する情報を 参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVN#43344629 Juniper ScreenOS に複数の脆弱性 https://jvn.jp/vu/JVNVU94797797/ 関連文書 (英語) Juniper Networks 2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755, CVE-2015-7756) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713 【7】WordPress 用プラグイン Welcart に SQL インジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#43344629 WordPress 用プラグイン Welcart における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN43344629/ 概要 WordPress 用プラグイン Welcart には、SQL インジェクションの脆弱性があ ります。結果として、遠隔の第三者が、データベース内の情報を取得したり、 改ざんしたりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - Welcart V1.5.2 およびそれ以前 この問題は、コルネ株式会社が提供する修正済みのバージョンに Welcart を 更新することで解決します。詳細は、コルネ株式会社が提供する情報を参照し てください。 関連文書 (日本語) Welcart Welcart 1.5.3 をリリース【脆弱性の修正】 http://www.welcart.com/community/archives/76035 【8】WinRAR の実行ファイル読込みに脆弱性 情報源 Japan Vulnerability Notes JVN#64636058 WinRAR における実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN64636058/ 概要 WinRAR には、実行ファイル読込みに関する脆弱性があります。結果として、 第三者が任意のファイルを実行する可能性があります。 対象となるバージョンは以下の通りです。 - WinRAR 5.30 beta 4 (32 bit) およびそれ以前 - WinRAR 5.30 beta 4 (64 bit) およびそれ以前 この問題は、RARLAB が提供する修正済みのバージョンに WinRAR を更新する ことで解決します。詳細は、RARLAB が提供する情報を参照してください。 【9】Ipswitch WhatsUp Gold に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#176160 IPswitch WhatsUp Gold contains multiple XSS vulnerabilities and a SQLi https://www.kb.cert.org/vuls/id/176160 概要 Ipswitch WhatsUp Gold には、複数の脆弱性があります。結果として、遠隔の 第三者が任意の SQL コマンドを実行したり、当該製品の管理者が他の管理者 やユーザのブラウザ上で任意のスクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - WhatsUp Gold Version 16.4.1 より前のバージョン この問題は、Ipswitch が提供する修正済みのバージョンに WhatsUp Gold を 更新することで解決します。詳細は、Ipswitch が提供する情報を参照してく ださい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94212028 Ipswitch WhatsUp Gold に SQL インジェクションおよび複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/vu/JVNVU94212028/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○警察庁、「IoT機器を標的とした攻撃の観測について」を公開 2015年12月15日、警察庁は「IoT機器を標的とした攻撃の観測について」を公 開しました。Linux が組み込まれた IoT 機器 (デジタルビデオレコーダなど) が、それらを標的とした攻撃により、攻撃者の命令に基づいて動作する「ボッ ト」になる事例を確認しているとのことです。また、IoT 機器の利用者は、予 期せぬ被害に遭わないために IoT 機器への脅威が増加している状況を把握し、 セキュリティ意識を高く持ってこれらの機器を利用していく必要があるとして います。 JPCERT/CC でも定点観測システム TSUBAME で telnet (23/TCP) へのパケット を継続的に観測しており、これらの結果を SecurityDay 2015 にて「TSUBAME センサを使った海外のインシデント状況について」と題した講演で発表しまし た。 参考文献 (日本語) 警察庁 IoT 機器を標的とした攻撃の観測について (PDF) https://www.npa.go.jp/cyberpolice/detect/pdf/20151215_1.pdf SecurityDay 2015 公開資料 http://www.securityday.jp/materials ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEbBAEBCAAGBQJWezsOAAoJEDF9l6Rp7OBIDiEH+NNUpXVmOcospEJO2EyWO7AO QI9STb6Z0ygL+u2bZZvqKYaRUEYffBROlEWBIVqoM4d7IkBEODCyrwqHhHfneG8q dxdqySmV/xM7YmEwB2NZEqyte7zc6vQyenXg9vCPImw6LiiueJ8WDi1WJ2gFmicg Rs90pZYR/rHzBpl9sUiIsuh4FWRyFoAsEiN6dYFHWOd+kZSFi8C+BI72+OFN8F1t /69Mtp4wEIt5t8HC6cVpN+0zejTtnjvTU+Cyhpu7uIPOnG7tHH5jEYsEoqiwmR9X cWtECqyT7VFeSTqTkGiytYBy/f/Z2EvFzGIjkK2qiAuZwuSs0KlI76Pi0JYFEA== =ucb/ -----END PGP SIGNATURE-----