JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2016 > Weekly Report 2016-01-27号

最終更新: 2016-01-27

Weekly Report 2016-01-27号


JPCERT-WR-2016-0401
JPCERT/CC
2016-01-27

<<< JPCERT/CC WEEKLY REPORT 2016-01-27 >>>

■01/17(日)〜01/23(土) のセキュリティ関連情報

目 次

【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

【2】2016年1月 Oracle Critical Patch Update について

【3】複数の Cisco 製品に脆弱性

【4】FFmpeg および Libav に情報漏えいの脆弱性

【5】複数の Apple 製品に脆弱性

【6】バッファロー製の複数のネットワーク機器に脆弱性

【今週のひとくちメモ】サイバーセキュリティ月間

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr160401.txt
https://www.jpcert.or.jp/wr/2016/wr160401.xml

【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

情報源

US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2016/01/19/Internet-Systems-Consortium-ISC-Releases-Security-Updates-BIND

概要

ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者が、
サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは以下の通りです。

- BIND 9.3.0 から 9.8.8 まで
- BIND 9.9.0 から 9.9.8-P2 まで
- BIND 9.9.3-S1 から 9.9.8-S3 まで
- BIND 9.10.0 から 9.10.3-P2 まで

この問題は、ISC が提供する修正済みのバージョンに BIND 9 を更新すること
で解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

JPNIC
BIND 9における複数の脆弱性について(2016年1月)
https://www.nic.ad.jp/ja/topics/2016/20160120-01.html

Japan Vulnerability Notes JVNVU#96264182
ISC BIND 9 に複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU96264182/

JPCERT/CC Alert 2016-01-20
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8704) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160006.html

関連文書 (英語)

ISC Knowledge Base
CVE-2015-8704: Specific APL data could trigger an INSIST in apl_42.c
https://kb.isc.org/article/AA-01335

ISC Knowledge Base
CVE-2015-8705: Problems converting OPT resource records and ECS options to text format can cause BIND to terminate.
https://kb.isc.org/article/AA-01336

【2】2016年1月 Oracle Critical Patch Update について

情報源

US-CERT Current Activity
Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2016/01/19/Oracle-Releases-Security-Bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

Oracle
Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/jp/topics/ojkbcpujan2016-2868497-ja.html

Japan Vulnerability Notes JVNVU#95592853
Oracle Outside In 8.5.2 にスタックバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU95592853/

JPCERT/CC Alert 2016-01-20
2016年1月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2016/at160005.html

【3】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/01/20/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Cisco Modular Encoding Platform D9036 02.04.70 より前のバージョン
- Cisco UCS Manager
- Firepower 9000 シリーズ 1.1.2 より前のバージョン

この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Modular Encoding Platform D9036 Software Default Credentials Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-d9036

Cisco Security Advisory
Cisco Unified Computing System Manager and Cisco Firepower 9000 Remote Command Execution Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-ucsm

【4】FFmpeg および Libav に情報漏えいの脆弱性

情報源

CERT/CC Vulnerability Note VU#772447
ffmpeg and Libav cross-domain information disclosure vulnerability
https://www.kb.cert.org/vuls/id/772447

概要

FFmpeg および Libav には、情報漏えいの脆弱性があります。結果として、遠
隔の第三者が、ユーザのローカルシステムに存在する任意のファイルを取得す
る可能性があります。

対象となる製品およびバージョンは以下の通りです。

- FFmpeg 2.8.5 より前のバージョン
- Libav

この問題は、開発者が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92302510
FFmpeg および Libav に情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU92302510/

【5】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates for iOS, OS X El Capitan, and Safari
https://www.us-cert.gov/ncas/current-activity/2016/01/19/Apple-Releases-Security-Updates-iOS-OS-X-El-Capitan-and-Safari

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- iOS 9.2.1 より前のバージョン
- OS X El Capitan 10.11.3 より前のバージョン
- Safari 9.0.3 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90405245
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90405245/

関連文書 (英語)

Apple
About the security content of iOS 9.2.1
https://support.apple.com/ja-jp/HT205732

Apple
About the security content of OS X El Capitan 10.11.3 and Security Update 2016-001
https://support.apple.com/ja-jp/HT205731

Apple
About the security content of Safari 9.0.3
https://support.apple.com/ja-jp/HT205730

【6】バッファロー製の複数のネットワーク機器に脆弱性

情報源

Japan Vulnerability Notes JVN#49225722
バッファロー製の複数のネットワーク機器におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN49225722/

Japan Vulnerability Notes JVN#09268287
バッファロー製の複数のネットワーク機器におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN09268287/

概要

バッファロー製の複数のネットワーク機器には、クロスサイトスクリプティン
グとクロスサイトリクエストフォージェリの脆弱性が存在します。結果として、
遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、細工
したページにアクセスさせることでユーザの意図しない操作を行ったりする可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- WSR-1166DHP ファームウェア Ver.1.01
- WHR-1166DHP ファームウェア Ver.1.90 およびそれ以前
- WHR-600D ファームウェア Ver.1.90 およびそれ以前
- WHR-300HP2 ファームウェア Ver.1.90 およびそれ以前
- WMR-433 ファームウェア Ver.1.01 およびそれ以前
- WMR-300 ファームウェア Ver.1.90 およびそれ以前
- WEX-300 ファームウェア Ver.1.90 およびそれ以前
- BHR-4GRV2 ファームウェア Ver.1.04 およびそれ以前

この問題は、株式会社バッファローが提供する修正済みのバージョンに該当す
る製品を更新することで解決します。詳細は、株式会社バッファローが提供す
る情報を参照してください。

関連文書 (日本語)

株式会社バッファロー
クロスサイトスクリプティング(XSS)の脆弱性
http://buffalo.jp/support_s/s20141030_2.html

株式会社バッファロー
クロスサイトリクエストフォージェリ(CSRF)の脆弱性
http://buffalo.jp/support_s/s20141030_1.html

■今週のひとくちメモ

○サイバーセキュリティ月間

2月1日から 3月18日は、「サイバーセキュリティ月間」です。
この期間には、府省庁対抗の事案対処訓練やサイバーセキュリティ実演イベン
トのほか、情報セキュリティハンドブックの公開、サイバーセキュリティに関
する国民の意識調査など、サイバーセキュリティの普及啓発のための様々な活
動が企画されています。
サイバーセキュリティに関する理解を深めるため、是非参加をご検討ください。

参考文献 (日本語)

内閣サイバーセキュリティセンター
2016年「サイバーセキュリティ月間」(2月1日~3月18日)について
http://www.nisc.go.jp/conference/cs/dai06/pdf/06shiryou06.pdf

内閣サイバーセキュリティセンター
2016 年 「サイバーセキュリティ月間」 の実施について
http://www.nisc.go.jp/press/pdf/csm2016_press1.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english