JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2016 > Weekly Report 2016-02-10号

最終更新: 2016-02-10

Weekly Report 2016-02-10号


JPCERT-WR-2016-0601
JPCERT/CC
2016-02-10

<<< JPCERT/CC WEEKLY REPORT 2016-02-10 >>>

■01/31(日)〜02/06(土) のセキュリティ関連情報

目 次

【1】PHP に複数の脆弱性

【2】Windows 版 Oracle Java に脆弱性

【3】WordPress に複数の脆弱性

【4】Huawei E5151 および E5186 に不十分なランダム値を使用している問題

【5】OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題

【今週のひとくちメモ】「CSIRT 人材セミナー」開催

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr160601.txt
https://www.jpcert.or.jp/wr/2016/wr160601.xml

【1】PHP に複数の脆弱性

情報源

PHP Group
PHP 7.0.3 Released
https://secure.php.net/archive/2016.php#id2016-02-04-1

PHP Group
PHP 5.6.18 is available
https://secure.php.net/archive/2016.php#id2016-02-04-3

PHP Group
PHP 5.5.32 is available
https://secure.php.net/archive/2016.php#id2016-02-04-2

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。

対象となるバージョンは以下の通りです。

- PHP 7.0.3 より前のバージョン
- PHP 5.6.18 より前のバージョン
- PHP 5.5.32 より前のバージョン

この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。

関連文書 (英語)

PHP Group
PHP 5 ChangeLog Version 7.0.3
http://www.php.net/ChangeLog-7.php#7.0.3

PHP Group
PHP 5 ChangeLog Version 5.6.18
http://www.php.net/ChangeLog-5.php#5.6.18

PHP Group
PHP 5 ChangeLog Version 5.5.32
http://www.php.net/ChangeLog-5.php#5.5.32

【2】Windows 版 Oracle Java に脆弱性

情報源

Oracle Technology Network
8u73 Update Release Notes
http://www.oracle.com/technetwork/java/javase/8u73-relnotes-2874654.html

概要

Oracle Java には脆弱性があります。結果として、遠隔の第三者が、細工した
ファイルをユーザにダウンロードさせた状態で Java をインストールさせるこ
とで、任意のコードを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- JDK/JRE 6u113 (Windows 版) より前のバージョン
- JDK/JRE 7u97 (Windows 版) より前のバージョン
- JDK/JRE 8u73 (Windows 版) より前のバージョン

この問題は、Oracle Technology Network が提供する修正済みのバージョンに
該当する製品を更新することで解決します。詳細は、Oracle Technology Network
が提供する情報を参照してください。

関連文書 (英語)

Oracle Technology Network
Oracle Security Alert for CVE-2016-0603
http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0603-2874360.html

US-CERT Current Activity
Oracle Releases Security Updates for Java
https://www.us-cert.gov/ncas/current-activity/2016/02/08/Oracle-Releases-Security-Updates-Java

【3】WordPress に複数の脆弱性

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/02/02/WordPress-Releases-Security-Update

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、機
微な情報を取得する可能性があります。

対象となるバージョンは以下の通りです。

- WordPress 4.4.1 およびそれ以前

この問題は、WordPress が提供する修正済みのバージョンに WordPress を更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。

関連文書 (日本語)

WordPress
WordPress 4.4.2 セキュリティとメンテナンスのリリース
https://ja.wordpress.org/2016/02/03/wordpress-4-4-2-security-and-maintenance-release/

【4】Huawei E5151 および E5186 に不十分なランダム値を使用している問題

情報源

CERT/CC Vulnerability Note VU#972224
Huawei Mobile WiFi E5151 and E5186 routers use insufficiently random values for DNS queries
https://www.kb.cert.org/vuls/id/972224

概要

Huawei E5151 および E5186 には、不十分なランダム値を使用している問題が
あります。結果として、遠隔の第三者が、偽装した DNS レスポンスを送信する
ことで、ユーザを意図しないサーバに誘導する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Huawei E5151 firmware version E5151s-2TCPU-V200R001B141D13SP00C1080
- Huawei E5186 firmware version V200R001B306D01C00

この問題は、Huawei が提供する修正済みのバージョンに該当する製品のファー
ムウェアを更新することで解決します。詳細は、Huawei が提供する情報を参
照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92574416
Huawei E5151 および Huawei E5186 に不十分なランダム値を使用している問題
https://jvn.jp/vu/JVNVU92574416/

関連文書 (英語)

Huawei
Security Advisory - DNS Static Source Port Vulnerability in Huawei E5186
http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20160129-01-dns-en

【5】OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題

情報源

CERT/CC Vulnerability Note VU#544527
OpenELEC and RasPlex have a hard-coded SSH root password
https://www.kb.cert.org/vuls/id/544527

概要

OpenELEC と RasPlex には、root の SSH パスワードがハードコードされてい
る問題があります。結果として、遠隔の第三者が、root 権限で機器にアクセ
スする可能性があります。

対象となる製品は以下の通りです。

- OpenELEC
- RasPlex

2016年2月9日現在、対策済みのバージョンは公開されていません。以下の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。

- パスワード認証による SSH 接続を無効にする
- 異なるパスワードを使用してビルドする
- ネットワークアクセスを制限する

詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99850969
OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題
https://jvn.jp/vu/JVNVU99850969/

■今週のひとくちメモ

○「CSIRT 人材セミナー」開催

2016年2月23日、日本シーサート協議会 (NCA) および東京電機大学 国際化サ
イバーセキュリティ学特別コース (CySec) の主催で「CSIRT 人材セミナー」
が開催されます。
これは NCA の CSIRT 人材サブワーキンググループが 2015年11月に公開した
資料「CSIRT 人材の定義と確保」の解説を中心としたもので、セキュリティ人
材の採用や育成を担当する方を対象としています。参加費は無料です。

参考文献 (日本語)

日本シーサート協議会
CSIRT 人材セミナー 〜 サイバーセキュリティを担う人材とは 〜
http://www.nca.gr.jp/2016/pr-seminar/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english