-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-0501 JPCERT/CC 2016-02-03 <<< JPCERT/CC WEEKLY REPORT 2016-02-03 >>> ―――――――――――――――――――――――――――――――――――――― ■01/24(日)〜01/30(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】OpenSSL に複数の脆弱性 【2】Firefox に複数の脆弱性 【3】Cisco RV220W Wireless Network Security Firewall に認証回避の脆弱性 【4】CLUSTERPRO X にディレクトリトラバーサルの脆弱性 【5】Apple tvOS に複数の脆弱性 【6】JOB-CUBE にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】NISC が「我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針」を決定 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr160501.html https://www.jpcert.or.jp/wr/2016/wr160501.xml ============================================================================ 【1】OpenSSL に複数の脆弱性 情報源 US-CERT Current Activity OpenSSL Releases Security Advisory https://www.us-cert.gov/ncas/current-activity/2016/01/28/OpenSSL-Releases-Security-Advisory 概要 OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、通信 の暗号化に使用する鍵を取得したり、脆弱な暗号化方式で通信させたりする可 能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.0.2f より前のバージョン - OpenSSL 1.0.1r より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン に OpenSSL を更新することで解決します。詳細は、開発者が提供する情報を 参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95668716 OpenSSL の DH プロトコルにおける脆弱性 https://jvn.jp/vu/JVNVU95668716/ 関連文書 (英語) OpenSSL OpenSSL Security Advisory [28th Jan 2016] https://www.openssl.org/news/secadv/20160128.txt 【2】Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/01/26/Mozilla-Releases-Security-Updates 概要 Firefox には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの 可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 44 より前のバージョン - Firefox ESR 38.6 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2016 年 1 月 26 日) http://www.mozilla-japan.org/security/announce/ 【3】Cisco RV220W Wireless Network Security Firewall に認証回避の脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/01/27/Cisco-Releases-Security-Update 概要 Cisco RV220W Wireless Network Security Firewall には、脆弱性があります。 結果として、遠隔の第三者が、当該製品の管理者権限を取得する可能性があり ます。 対象となるバージョンは以下の通りです。 - Cisco RV220W Wireless Network Security Firewall ファームウェアバージョン 1.0.7.2 より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに、該当する製品を更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco RV220W Management Authentication Bypass Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160127-rv220 【4】CLUSTERPRO X にディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#03050861 CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN03050861/ 概要 CLUSTERPRO X には、ディレクトリトラバーサルの脆弱性があります。結果と して、WebManager 機能にアクセス可能な第三者が、任意のファイルを取得す る可能性があります。 対象となるバージョンは以下の通りです。 - CLUSTERPRO X 3.3 for Windows (内部Ver. 11.31) およびそれ以前 - CLUSTERPRO X 3.3 for Linux (内部Ver. 3.3.1-1) およびそれ以前 - CLUSTERPRO X 3.3 for Solaris (内部Ver. 3.3.1-1) およびそれ以前 この問題は、NEC が提供する修正済みのバージョンに CLUSTERPRO X を更新す ることで解決します。詳細は、NEC が提供する情報を参照してください。 関連文書 (日本語) 日本電気株式会社 CLUSTERPRO におけるディレクトリトラバーサルの脆弱性 http://jpn.nec.com/security-info/secinfo/nv16-001.html 【5】Apple tvOS に複数の脆弱性 情報源 US-CERT Current Activity Apple Releases Security Update for tvOS https://www.us-cert.gov/ncas/current-activity/2016/01/25/Apple-Releases-Security-Update-tvOS 概要 Apple tvOS には、複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - tvOS 9.1.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに tvOS を更新すること で解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Apple tvOS 9.1.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT205729 【6】JOB-CUBE にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#26921563 JOB-CUBE におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN26921563/ 概要 JOB-CUBE には、クロスサイトスクリプティングの脆弱性があります。結果と して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - JOB-CUBE -求人サイト構築システム- 1.2.1 およびそれ以前 - JOB-CUBE -高収入版- 1.0.6 およびそれ以前 この問題は、株式会社ウェブスクウェアが提供する修正済みのバージョンに JOB-CUBE を更新することで解決します。詳細は、株式会社ウェブスクウェア が提供する情報を参照してください。 関連文書 (日本語) 株式会社ウェブスクウェア JOB-CUBE -求人サイト構築システム- 1.2.2 http://www.ws-download.net/info.php?type=version&id=V0001081 株式会社ウェブスクウェア JOB-CUBE -高収入版- 1.0.7 http://www.ws-download.net/info.php?type=version&id=V0001080 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NISC が「我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針」を決定 2016年1月25日、内閣サイバーセキュリティセンター (NISC) は、「我が国の サイバーセキュリティ推進体制の更なる機能強化に関する方針」を発表しまし た。この方針は、2015年に閣議決定された「日本再興戦略」や、新たなサイバー セキュリティ戦略を踏まえて決定されたものです。 参考文献 (日本語) 内閣サイバーセキュリティセンター (NISC) 我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針 http://www.nisc.go.jp/active/kihon/pdf/cs_kyoka_hoshin.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWsUztAAoJEDF9l6Rp7OBIqH0H/jez4vOyPyN5vHLC6yqvL4lX XPKSJm4jlSbtBhxxWR+62oRqljS0iKoCV0XETwYz2jk7BRKjeUyAvT9dU0mH2cqp ta5UccgRUAqGYErLS4BJFTWhcjgImIrlx2xHO2soxWMdlMyZxoms7jmpaHQEo0Ts 1HT/QnxG28Io9z8jKAfxqJbhuD43ejtwmEy4xEBI7Yr0cNodk/66AtqVYRxn2lJ0 e8enT4fLD4PP7OEUzvAl73tROdldU+/vaS6y9XE5Hm/pi9Q8qM+hIQNCJVzg0EIE fMv1MHg/PS+ohYXM+urj9uBsQqWaz9HgjumObRdCG9oyPXJL1c/UfQSR2fbOaQw= =8uWy -----END PGP SIGNATURE-----