-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2016-3001
                                                                   JPCERT/CC
                                                                  2016-08-03

            <<< JPCERT/CC WEEKLY REPORT 2016-08-03 >>>

――――――――――――――――――――――――――――――――――――――
■07/24(日)〜07/30(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Xen に複数の脆弱性
【2】Intel Crosswalk Project に SSL サーバ証明書の検証が行われなくなる脆弱性
【3】Wireshark に複数の脆弱性
【今週のひとくちメモ】NISC と IPA がスマートフォンアプリの使用に関する注意事項を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2016/wr163001.html
        https://www.jpcert.or.jp/wr/2016/wr163001.xml
============================================================================


【1】Xen に複数の脆弱性

    情報源
      Xen Security Advisory CVE-2016-6258 / XSA-182
      x86: Privilege escalation in PV guests
      https://xenbits.xen.org/xsa/advisory-182.html

      Xen Security Advisory CVE-2016-6259 / XSA-183
      x86: Missing SMAP whitelisting in 32-bit exception / event delivery
      https://xenbits.xen.org/xsa/advisory-183.html

      Xen Security Advisory CVE-2016-5403 / XSA-184
      virtio: unbounded memory allocation issue
      https://xenbits.xen.org/xsa/advisory-184.html

    概要
      Xen には、複数の脆弱性があります。結果として、PV のゲスト OS の管理者
      が、ホスト OS をサービス運用妨害 (DoS) 状態にするなどの可能性がありま
      す。

      対象となるバージョンは以下の通りです。

      - Xen unstable, 4.7.x, 4.6.x, 4.5.x, 4.4.x, 4.3.x

      この問題は、各脆弱性に対応したパッチを適用することで解決します。詳細は、
      Xen Project が提供する情報を参照してください。

【2】Intel Crosswalk Project に SSL サーバ証明書の検証が行われなくなる脆弱性

    情報源
      CERT/CC Vulnerability Note VU#217871
      Intel CrossWalk project does not validate SSL certificates after first acceptance
      https://www.kb.cert.org/vuls/id/217871

    概要
      Intel Crosswalk Project には脆弱性があります。当該製品を使用して作成さ
      れたアプリで一度でも不正なサーバ証明書を許可するよう設定すると、それ以
      降 SSL サーバ証明書の検証を行わなくなります。結果として、遠隔の第三者
      が中間者攻撃を行う可能性があります。

      対象となるバージョンは以下の通りです。

      - Crosswalk Project 19.49.514.5 (stable) より前のバージョン
      - Crosswalk Project 20.50.533.11 (beta) より前のバージョン
      - Crosswalk Project 21.51.546.0 (beta) より前のバージョン
      - Crosswalk Project 22.51.549.0 (canary) より前のバージョン

      この問題は、Crosswalk Project を修正済みのバージョンに更新し、アプリを
      リビルドすることで解決します。詳細は、Intel Corporation が提供する情報
      を参照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#93087310
      Intel Crosswalk Project に SSL サーバ証明書の検証が行われなくなる脆弱性
      https://jvn.jp/vu/JVNVU93087310/

    関連文書 (英語)
      Intel Software and Services
      Crosswalk Security Vulnerability
      http://blogs.intel.com/evangelists/2016/07/28/crosswalk-security-vulnerability/

      Nightwatch Cybersecurity
      Advisory: Intel Crosswalk SSL Prompt Issue [CVE 2016-5672]
      https://wwws.nightwatchcybersecurity.com/2016/07/29/advisory-intel-crosswalk-ssl-prompt-issue/

【3】Wireshark に複数の脆弱性

    情報源
      Wireshark
      Wireshark 2.0.5 and 1.12.13 Released
      https://www.wireshark.org/news/20160727.html

    概要
      Wireshark には複数の脆弱性があります。結果として、遠隔の第三者がサービ
      ス運用妨害 (DoS) 攻撃を行う可能性があります。

      対象となるバージョンは以下の通りです。

      - Wireshark 2.0.4 およびそれ以前
      - Wireshark 1.12.12 およびそれ以前

      この問題は、Wireshark を修正済みのバージョンに更新することで解決します。
      詳細は、Wireshark が提供する情報を参照してください。

    関連文書 (英語)
      Wireshark
      Wireshark 2.0.5 Release Notes
      https://www.wireshark.org/docs/relnotes/wireshark-2.0.5.html

      Wireshark
      Wireshark 1.12.13 Release Notes
      https://www.wireshark.org/docs/relnotes/wireshark-1.12.13.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○NISC と IPA がスマートフォンアプリの使用に関する注意事項を公開

      2016年7月21日、内閣サイバーセキュリティセンター (NISC) から、「内閣サ
      イバーセキュリティセンターからポケモントレーナーのみんなへおねがい♪」
      が公開され、起こりうるトラブルとその対策が提示されました。また、情報処
      理推進機構 (IPA) は、2016年7月26日に「安心相談窓口だより 話題のアプリ
      でトラブルに巻き込まれないために」を公開しており、アプリのインストール
      を公式サイトから行うようにするなど、注意を呼びかけています。

    参考文献 (日本語)
      内閣サイバーセキュリティセンター (NISC)
      内閣サイバーセキュリティセンターからポケモントレーナーのみんなへおねがい♪
      http://www.nisc.go.jp/active/kihon/pdf/reminder_20160721.pdf

      情報処理推進機構 (IPA)
      安心相談窓口だより 話題のアプリでトラブルに巻き込まれないために
      https://www.ipa.go.jp/security/anshin/mgdayori20160726-2.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2016 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJXoTZuAAoJEDF9l6Rp7OBIwvgH/i+/AqzxT1bCTrxNT4zeVujp
l6fBycdsvZIrkoQNTAbl6pyh1aXREiaV7k/tt0t/E8Uoca1WuAZHPRsHUvxIZxwO
8hvXD/RoV7V9YJHddErOl6F2+lHykvFBnFwIBr1ubQyyD33FsYlZAqJCkm5krRqv
/Fc4IcIwOWx8l1gtXp0CS2JZ4AlJvTHlGKT7qAfLjFsu8kxYvFtaeawB4hpXOvu8
sqYR42NcfIEFC4kzwVuW8PgxXdAI7unSwmoGh2Pf9f6gx7htEdi7q/OJp7qOg8xC
WRaQPdtGRPtUtXpofNoqOkPBgUZI4C2vBZCyTv1udxEGh8Q2YZk5ZdkRKw4h6WE=
=2knI
-----END PGP SIGNATURE-----