-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-0401 JPCERT/CC 2016-01-27 <<< JPCERT/CC WEEKLY REPORT 2016-01-27 >>> ―――――――――――――――――――――――――――――――――――――― ■01/17(日)〜01/23(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 【2】2016年1月 Oracle Critical Patch Update について 【3】複数の Cisco 製品に脆弱性 【4】FFmpeg および Libav に情報漏えいの脆弱性 【5】複数の Apple 製品に脆弱性 【6】バッファロー製の複数のネットワーク機器に脆弱性 【今週のひとくちメモ】サイバーセキュリティ月間 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr160401.html https://www.jpcert.or.jp/wr/2016/wr160401.xml ============================================================================ 【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Current Activity ISC Releases Security Updates for BIND https://www.us-cert.gov/ncas/current-activity/2016/01/19/Internet-Systems-Consortium-ISC-Releases-Security-Updates-BIND 概要 ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者が、 サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.3.0 から 9.8.8 まで - BIND 9.9.0 から 9.9.8-P2 まで - BIND 9.9.3-S1 から 9.9.8-S3 まで - BIND 9.10.0 から 9.10.3-P2 まで この問題は、ISC が提供する修正済みのバージョンに BIND 9 を更新すること で解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) JPNIC BIND 9における複数の脆弱性について(2016年1月) https://www.nic.ad.jp/ja/topics/2016/20160120-01.html Japan Vulnerability Notes JVNVU#96264182 ISC BIND 9 に複数のサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU96264182/ JPCERT/CC Alert 2016-01-20 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8704) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160006.html 関連文書 (英語) ISC Knowledge Base CVE-2015-8704: Specific APL data could trigger an INSIST in apl_42.c https://kb.isc.org/article/AA-01335 ISC Knowledge Base CVE-2015-8705: Problems converting OPT resource records and ECS options to text format can cause BIND to terminate. https://kb.isc.org/article/AA-01336 【2】2016年1月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Oracle Releases Security Bulletin https://www.us-cert.gov/ncas/current-activity/2016/01/19/Oracle-Releases-Security-Bulletin 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細は、Oracle が提供する情報を参照してください。 関連文書 (日本語) Oracle Oracle Critical Patch Update Advisory - January 2016 http://www.oracle.com/technetwork/jp/topics/ojkbcpujan2016-2868497-ja.html Japan Vulnerability Notes JVNVU#95592853 Oracle Outside In 8.5.2 にスタックバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU95592853/ JPCERT/CC Alert 2016-01-20 2016年1月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2016/at160005.html 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/01/20/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Modular Encoding Platform D9036 02.04.70 より前のバージョン - Cisco UCS Manager - Firepower 9000 シリーズ 1.1.2 より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Modular Encoding Platform D9036 Software Default Credentials Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-d9036 Cisco Security Advisory Cisco Unified Computing System Manager and Cisco Firepower 9000 Remote Command Execution Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-ucsm 【4】FFmpeg および Libav に情報漏えいの脆弱性 情報源 CERT/CC Vulnerability Note VU#772447 ffmpeg and Libav cross-domain information disclosure vulnerability https://www.kb.cert.org/vuls/id/772447 概要 FFmpeg および Libav には、情報漏えいの脆弱性があります。結果として、遠 隔の第三者が、ユーザのローカルシステムに存在する任意のファイルを取得す る可能性があります。 対象となる製品およびバージョンは以下の通りです。 - FFmpeg 2.8.5 より前のバージョン - Libav この問題は、開発者が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92302510 FFmpeg および Libav に情報漏えいの脆弱性 https://jvn.jp/vu/JVNVU92302510/ 【5】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for iOS, OS X El Capitan, and Safari https://www.us-cert.gov/ncas/current-activity/2016/01/19/Apple-Releases-Security-Updates-iOS-OS-X-El-Capitan-and-Safari 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 9.2.1 より前のバージョン - OS X El Capitan 10.11.3 より前のバージョン - Safari 9.0.3 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90405245 複数の Apple 製品の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU90405245/ 関連文書 (英語) Apple About the security content of iOS 9.2.1 https://support.apple.com/ja-jp/HT205732 Apple About the security content of OS X El Capitan 10.11.3 and Security Update 2016-001 https://support.apple.com/ja-jp/HT205731 Apple About the security content of Safari 9.0.3 https://support.apple.com/ja-jp/HT205730 【6】バッファロー製の複数のネットワーク機器に脆弱性 情報源 Japan Vulnerability Notes JVN#49225722 バッファロー製の複数のネットワーク機器におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN49225722/ Japan Vulnerability Notes JVN#09268287 バッファロー製の複数のネットワーク機器におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN09268287/ 概要 バッファロー製の複数のネットワーク機器には、クロスサイトスクリプティン グとクロスサイトリクエストフォージェリの脆弱性が存在します。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、細工 したページにアクセスさせることでユーザの意図しない操作を行ったりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - WSR-1166DHP ファームウェア Ver.1.01 - WHR-1166DHP ファームウェア Ver.1.90 およびそれ以前 - WHR-600D ファームウェア Ver.1.90 およびそれ以前 - WHR-300HP2 ファームウェア Ver.1.90 およびそれ以前 - WMR-433 ファームウェア Ver.1.01 およびそれ以前 - WMR-300 ファームウェア Ver.1.90 およびそれ以前 - WEX-300 ファームウェア Ver.1.90 およびそれ以前 - BHR-4GRV2 ファームウェア Ver.1.04 およびそれ以前 この問題は、株式会社バッファローが提供する修正済みのバージョンに該当す る製品を更新することで解決します。詳細は、株式会社バッファローが提供す る情報を参照してください。 関連文書 (日本語) 株式会社バッファロー クロスサイトスクリプティング(XSS)の脆弱性 http://buffalo.jp/support_s/s20141030_2.html 株式会社バッファロー クロスサイトリクエストフォージェリ(CSRF)の脆弱性 http://buffalo.jp/support_s/s20141030_1.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○サイバーセキュリティ月間 2月1日から 3月18日は、「サイバーセキュリティ月間」です。 この期間には、府省庁対抗の事案対処訓練やサイバーセキュリティ実演イベン トのほか、情報セキュリティハンドブックの公開、サイバーセキュリティに関 する国民の意識調査など、サイバーセキュリティの普及啓発のための様々な活 動が企画されています。 サイバーセキュリティに関する理解を深めるため、是非参加をご検討ください。 参考文献 (日本語) 内閣サイバーセキュリティセンター 2016年「サイバーセキュリティ月間」(2月1日?3月18日)について http://www.nisc.go.jp/conference/cs/dai06/pdf/06shiryou06.pdf 内閣サイバーセキュリティセンター 2016 年 「サイバーセキュリティ月間」 の実施について http://www.nisc.go.jp/press/pdf/csm2016_press1.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWqBPKAAoJEDF9l6Rp7OBIqgUH/1CfvHIkFqoolO6PpunOLj4V Om47ZoDT9sISvBDIYFfXHnB49zp/rwzqngXDidKPg3Sn89bhSPXGZTH93UIy6JED WMHxzB2x4xA4GMUG+Kb3gX+8FmIGqtn0E4w5iLOWqEYAxO/LP9YPB/lGuwUT189o n/KVSkc1LRHwXJ2ENLiFhnIUDCUkGSDLshzH7Er3XRfc0+WFGQ+m3qT9IuXBCsKF 32AwU/G8Rak+QPtXzjj+804P0Wzlxaonv5jik0gM2hVjSFPzYK34hUDAC4N56Imw g69DqqyUK2v+N3MfyNSuo+XzDqTQGr/u3QzOVjtKOuwjNXC1eq4QAq20O+wZxXU= =6tP7 -----END PGP SIGNATURE-----