-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-0901 JPCERT/CC 2016-03-02 <<< JPCERT/CC WEEKLY REPORT 2016-03-02 >>> ―――――――――――――――――――――――――――――――――――――― ■02/21(日)〜02/27(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Internet Key Exchange (IKEv1, IKEv2) が DDoS 攻撃の踏み台として使用される問題 【2】無線接続するキーボードやマウスなどの入力機器に脆弱性 【3】Apache Tomcat に複数の脆弱性 【4】Drupal に複数の脆弱性 【5】EMET に脆弱性 【6】Apple TV に複数の脆弱性 【7】FlexNet Publisher の lmgrd にバッファオーバーフローの脆弱性 【8】Log-Chat にクロスサイトスクリプティングの脆弱性 【9】Signage Station と iArtist Lite に複数の脆弱性 【今週のひとくちメモ】Ruby 2.0.0 公式サポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr160901.html https://www.jpcert.or.jp/wr/2016/wr160901.xml ============================================================================ 【1】Internet Key Exchange (IKEv1, IKEv2) が DDoS 攻撃の踏み台として使用される問題 情報源 Akamai Community IKE/IKEv2 Ripe for DDoS Abuse https://blogs.akamai.com/2016/02/ikeikev2-ripe-for-ddos-abuse.html 概要 Internet Key Exchange version 1 および 2 (IKEv1, IKEv2) には、問題があ ります。結果として、遠隔の第三者が、IKE/IKEv2 サーバを他のサイトに対す る DDoS 攻撃の踏み台として使用する可能性があります。 影響を受ける製品は以下の通りです。 - Internet Key Exchange version 1 および 2 (IKEv1, IKEv2) を使用するサーバ 2016年3月1日現在、完全な対策方法は不明です。 研究者のアドバイザリでは、DDoS 攻撃の踏み台にされないようにするための 対策として、IKE/IKEv2 サーバのレスポンスの再送制限と、パケットフィルタ リングについて言及しています。詳細は、研究者のアドバイザリを参照してく ださい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91475438 Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題 https://jvn.jp/vu/JVNVU91475438/ 関連文書 (英語) Akamai Community White Paper_IKE_IKEv2 - ripe for DDoS abuse https://community.akamai.com/docs/DOC-5289 【2】無線接続するキーボードやマウスなどの入力機器に脆弱性 情報源 CERT/CC Vulnerability Note VU#981271 Multiple wireless keyboard/mouse devices use an unsafe proprietary wireless protocol https://www.kb.cert.org/vuls/id/981271 概要 2.4GHz 帯 (ISM バンド) を使用する独自の無線通信プロトコルを実装してい るキーボードやマウスなどの入力機器には、脆弱性があります。結果として、 無線通信の到達範囲にいる第三者が、ユーザの端末にキー入力したり、ユーザ のキー入力を傍受したり、他の入力機器をペアリングしたりする可能性があり ます。 影響を受ける製品は複数あります。詳細は、ベンダが提供する情報を参照して ください。 この問題は、ベンダが提供する修正済みのバージョンに、該当の製品のファー ムウェアを更新することで解決します。詳細は、ベンダが提供する情報を参照 してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99797968 無線接続するキーボードやマウスなどの入力機器が安全でない独自通信プロトコルを使用している問題 https://jvn.jp/vu/JVNVU99797968/ 【3】Apache Tomcat に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#94679988 Apache Tomcat の複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU94679988/ 概要 Apache Tomcat には、複数の脆弱性があります。結果として、第三者が、任意 のコードを実行したり、データを改ざんしたりするなどの可能性があります。 対象となるバージョンは以下の通りです。他のバージョンでもこの問題の影響 を受ける可能性があります。 - Apache Tomcat 9.0.0.M1 から 9.0.0.M2 まで - Apache Tomcat 8.0.0.RC1 から 8.0.31 まで - Apache Tomcat 7.0.0 から 7.0.67 まで - Apache Tomcat 6.0.0 から 6.0.44 まで この問題は、The Apache Software Foundation が提供する修正済みのバー ジョンに Apache Tomcat を更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) Apache Tomcat Apache Tomcat 9.x vulnerabilities https://tomcat.apache.org/security-9.html Apache Tomcat Apache Tomcat 8.x vulnerabilities https://tomcat.apache.org/security-8.html Apache Tomcat Apache Tomcat 7.x vulnerabilities https://tomcat.apache.org/security-7.html Apache Tomcat Apache Tomcat 6.x vulnerabilities https://tomcat.apache.org/security-6.html 【4】Drupal に複数の脆弱性 情報源 US-CERT Current Activity Drupal Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/02/24/Drupal-Releases-Security-Updates 概要 Drupal には、複数の脆弱性があります。結果として、遠隔の第三者が、Web サイトを改ざんしたり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの 可能性があります。 対象となるバージョンは以下の通りです。 - Drupal 6.38 より前の 6 系のバージョン - Drupal 7.43 より前の 7 系のバージョン - Drupal 8.0.4 より前の 8.0 系のバージョン この問題は、Drupal が提供する修正済みのバージョンに Drupal を更新する ことで解決します。なお、Drupal 6 は 2016年2月24日をもって公式サポート が終了しました。サポートが行われているバージョンへの移行を推奨します。 詳細は、Drupal が提供する情報を参照してください。 関連文書 (英語) Drupal Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-001 https://www.drupal.org/SA-CORE-2016-001 【5】EMET に脆弱性 情報源 US-CERT Current Activity Microsoft Releases Update for EMET https://www.us-cert.gov/ncas/current-activity/2016/02/23/Microsoft-Releases-Update-EMET 概要 Microsoft Enhanced Mitigation Experience Toolkit (EMET) には、脆弱性が あります。結果として、遠隔の第三者が、EMET の機能を無効化する可能性が あります。 対象となるバージョンは以下の通りです。 - Microsoft Enhanced Mitigation Experience Toolkit (EMET) 5.5 より前のバージョン この問題は、Microsoft が提供する修正済みのバージョンに EMET を更新する ことで解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) TechNet Blogs EMET 5.5 リリースしました http://blogs.technet.com/b/jpsecurity/archive/2016/02/04/emet-55-released.aspx 関連文書 (英語) FireEye Blogs Using EMET to Disable EMET https://www.fireeye.com/blog/threat-research/2016/02/using_emet_to_disabl.html 【6】Apple TV に複数の脆弱性 情報源 US-CERT Current Activity Apple Releases Security Update for Apple TV https://www.us-cert.gov/ncas/current-activity/2016/02/25/Apple-Releases-Security-Update-Apple-TV 概要 Apple TV には、脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Apple TV 7.2.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Apple TV を更新する ことで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (英語) Apple About the security content of Apple TV 7.2.1 https://support.apple.com/HT205795 【7】FlexNet Publisher の lmgrd にバッファオーバーフローの脆弱性 情報源 CERT/CC Vulnerability Note VU#485744 Flexera Software FlexNet Publisher lmgrd contains a buffer overflow vulnerability https://www.kb.cert.org/vuls/id/485744 概要 FlexNet Publisher の lmgrd には、バッファオーバーフローの脆弱性があり ます。結果として、遠隔の第三者が、任意のコードを実行する可能性がありま す。 対象となる製品およびバージョンは以下の通りです。 - FlexNet Publisher 11.13.1.0 およびそれ以前に含まれる lmgrd - ライセンス管理のため lmgrd と通信するベンダ固有のサーバプログラム この問題は、Flexera Software が提供する修正済みのバージョンに該当する 製品を更新することで解決します。詳細は、Flexera Software が提供する情 報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91895172 FlexNet Publisher の lmgrd にバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU91895172/ 【8】Log-Chat にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#93535632 Log-Chat におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN93535632/ 概要 Log-Chat には、クロスサイトスクリプティングの脆弱性があります。結果と して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可 能性があります。 対象となるバージョンは以下の通りです。 - Log-Chat ver 1.0 この問題は、Script* が提供する修正済みのバージョンに Log-Chat を更新す ることで解決します。詳細は、Script* が提供する情報を参照してください。 関連文書 (日本語) Script* log-chat ReadMe http://r.o0o0.jp/sc/log-chat/ 【9】Signage Station と iArtist Lite に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#444472 QNAP Signage Station and iArtist Lite contain multiple vulnerabilities https://www.kb.cert.org/vuls/id/444472 概要 Signage Station と iArtist Lite には、複数の脆弱性が存在します。結果と して、遠隔の第三者が、任意のコマンドを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Signage Station 2.0.1 より前のバージョン - iArtist Lite 1.4.54 より前のバージョン この問題は、QNAP が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、QNAP が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92717873 QNAP Signage Station と iArtist Lite に複数の脆弱性 https://jvn.jp/vu/JVNVU92717873/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Ruby 2.0.0 公式サポート終了 2016年2月24日をもって、Ruby 2.0.0 は公式サポートを終了しました。 Ruby 2.0.0 のユーザは、サポートが行われているバージョンへの移行を推奨 します。なお、Ruby 2.1 は、2016年3月末までに予定されている 2.1.9 のリ リースをもってセキュリティメンテナンスに移行し、1年後には公式サポート を終了するとのことです。 参考文献 (日本語) Ruby Ruby 2.0.0 および Ruby 2.1 の今後について https://www.ruby-lang.org/ja/news/2016/02/24/support-plan-of-ruby-2-0-0-and-2-1/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJW1jFcAAoJEDF9l6Rp7OBIZyUH/2E/WinBlLF3x+KW2kG504os mdhJJUFYBiqLrUWL+w91AbZmTM8BHOa2tce5ivWoMSWflUWJOEdgCeVsFgtxjpRZ hPHkcMEbIemkFjCvKL2HYCjLaJa2OtCas43gfroqzePMQC+D7jeMYqUqegSOEtXw U6Ox2hOLdgklwh2SflA/TYyXpEY9XpiAIY3UghnL0bWieUcuo/mcNrbdAXb1nBZN MOzNw9qlz0q+l4548y7vn2+7CP+/MneaAthAi4afuSuWqXlhgYuIzU8V2RoiaUp8 ADsH1QExjPCmZQd9R59M3GzvAPug3Op3o2TAgEdFWKXrfvJOYGdTx7MXHkWXDLE= =O3bA -----END PGP SIGNATURE-----