-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-3901 JPCERT/CC 2016-10-05 <<< JPCERT/CC WEEKLY REPORT 2016-10-05 >>> ―――――――――――――――――――――――――――――――――――――― ■09/25(日)〜10/01(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】OpenSSL に複数の脆弱性 【2】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 【3】複数の Cisco 製品に脆弱性 【4】ManageEngine ServiceDesk Plus に複数の脆弱性 【5】FlashAir にアクセス制限不備の脆弱性 【6】baserCMS に複数の脆弱性 【7】Aternity に複数の脆弱性 【8】Borderless Cyber Asia 2016 開催 【今週のひとくちメモ】NISC が「サイバーセキュリティ国際キャンペーン」を開始 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr163901.html https://www.jpcert.or.jp/wr/2016/wr163901.xml ============================================================================ 【1】OpenSSL に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#99474230 OpenSSL に複数の脆弱性 https://jvn.jp/vu/JVNVU99474230/ 概要 OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.1.0a - OpenSSL 1.0.2i この問題は、OpenSSL を、使用している OS のベンダや配布元が提供する修正 済みのバージョンに更新することで解決します。詳細は、開発者が提供する情 報を参照してください。 関連文書 (日本語) JPCERT/CC Alert 2016-09-28 OpenSSL の脆弱性 (CVE-2016-6309) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160038.html 関連文書 (英語) OpenSSL Project OpenSSL Security Advisory [26 Sep 2016] https://www.openssl.org/news/secadv/20160926.txt 【2】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Current Activity ISC Releases Security Updates for BIND https://www.us-cert.gov/ncas/current-activity/2016/09/27/ISC-Releases-Security-Updates-BIND 概要 ISC BIND 9 には、脆弱性があります。結果として、遠隔の第三者が、サービ ス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.0.0 から 9.8 系まで - BIND 9.9.0 から 9.9.9-P2 まで - BIND 9.9.3-S1 から 9.9.9-S3 まで - BIND 9.10.0 から 9.10.4-P2 まで - BIND 9.11.0a1 から 9.11.0rc1 まで この問題は、ISC BIND を、ISC が提供する修正済みのバージョンに更新する ことで解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2776) https://jprs.jp/tech/security/2016-09-28-bind9-vuln-rendering.html 一般社団法人日本ネットワークインフォメーションセンター (JPNIC) BIND 9における不正なリクエストによるサーバ停止の脆弱性について(2016年9月) - JPNIC https://www.nic.ad.jp/ja/topics/2016/20160928-01.html Japan Vulnerability Notes JVNVU#90255292 ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU90255292/ JPCERT/CC Alert 2016-09-28 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-2776) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160037.html 関連文書 (英語) ISC Knowledge Base CVE-2016-2776: Assertion Failure in buffer.c While Building Responses to a Specifically Constructed Request https://kb.isc.org/article/AA-01419 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/09/28/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意の SQL 文を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Email Security Appliance (ESA) 9.1.2-023 - Cisco Email Security Appliance (ESA) 9.1.2-028 - Cisco Email Security Appliance (ESA) 9.1.2-036 - Cisco Email Security Appliance (ESA) 9.7.2-046 - Cisco Email Security Appliance (ESA) 9.7.2-047 - Cisco Email Security Appliance (ESA) 9.7-2-054 - Cisco Email Security Appliance (ESA) 10.0.0-124 - Cisco Email Security Appliance (ESA) 10.0.0-125 - Cisco IOS Software - Cisco IOS XE Software - Cisco Firepower Management Center この問題は、該当する製品を、Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Email Security Appliance Internal Testing Interface Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160922-esa Cisco Security Advisory Cisco IOS and IOS XE Software Smart Install Memory Leak Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-smi Cisco Security Advisory Cisco IOS and IOS XE Software Multicast Routing Denial of Service Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-msdp Cisco Security Advisory Cisco IOS and IOS XE Software IP Detail Record Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-ipdr Cisco Security Advisory Cisco IOS and IOS XE Software Internet Key Exchange Version 1 Fragmentation Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-ios-ikev1 Cisco Security Advisory Cisco IOS and IOS XE Software H.323 Message Validation Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-h323 Cisco Security Advisory Cisco IOS XE Software IP Fragment Reassembly Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-frag Cisco Security Advisory Cisco Firepower Management Center SQL Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-fpmc Cisco Security Advisory Cisco Firepower Management Center Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-fmc1 Cisco Security Advisory Cisco IOS XE Software NAT Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-esp-nat Cisco Security Advisory Cisco IOS and IOS XE Software DNS Forwarder Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-dns Cisco Security Advisory Cisco IOS Software Common Industrial Protocol Request Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-cip Cisco Security Advisory Cisco IOS and IOS XE Software AAA Login Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-aaados 【4】ManageEngine ServiceDesk Plus に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#50347324 ManageEngine ServiceDesk Plus におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN50347324/ Japan Vulnerability Notes JVN#89726415 ManageEngine ServiceDesk Plus におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN89726415/ Japan Vulnerability Notes JVN#72559412 ManageEngine ServiceDesk Plus における Cookie の生成処理に関する脆弱性 https://jvn.jp/jp/JVN72559412/ 概要 ManageEngine ServiceDesk Plus には、複数の脆弱性があります。結果として、 遠隔の第三者が、認証情報を取得したり、ユーザのブラウザ上で任意のスクリ プトを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - ManageEngine ServiceDesk Plus 9.2 より前のバージョン この問題は、ManageEngine ServiceDesk Plus を、Zoho Corporation が提供 する修正済みのバージョンに更新することで解決します。詳細は、Zoho Corporation が提供する情報を参照してください。 関連文書 (英語) ManageEngine ServiceDesk Plus 9.2 ReadMe https://www.manageengine.com/products/service-desk/readme-9.2.html 【5】FlashAir にアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#39619137 FlashAir におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN39619137/ 概要 FlashAir には、アクセス制限不備の脆弱性があります。結果として、遠隔の 第三者が、任意の Lua スクリプトを実行したり、ファイルやデータを取得ま たは改ざんしたりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - FlashAir SD-WD/WC シリーズ Class 6 モデル ファームウェアバージョン 1.00.04 およびそれ以降 - FlashAir SD-WD/WC シリーズ Class 10 モデル W-02 ファームウェアバージョン 2.00.02 およびそれ以降 - FlashAir SD-WE シリーズ Class 10 モデル W-03 この問題は、株式会社東芝が提供する情報をもとに、認証設定を追加すること で解決します。詳細は、株式会社東芝が提供する情報を参照してください。 関連文書 (日本語) FlashAir Developers CONFIG https://flashair-developers.com/ja/documents/api/config/ 【6】baserCMS に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#92765814 baserCMS における複数の脆弱性 https://jvn.jp/jp/JVN92765814/ 概要 baserCMS には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザの意図しない操作を実行したり、ユーザのブラウザ上で任意のスクリプトを 実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - baserCMS バージョン 3.0.10 およびそれ以前 - baserCMS 用プラグイン「ブログ」バージョン 3.0.10 およびそれ以前 - baserCMS 用プラグイン「メールフォーム」バージョン 3.0.10 およびそれ以前 - baserCMS 用プラグイン「フィードリーダー」バージョン 3.0.10 およびそれ以前 - baserCMS 用プラグイン「アップローダー」バージョン 3.0.10 およびそれ以前 この問題は、baserCMS を、開発者が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) baserCMSユーザー会 CSRFをはじめとする複数の脆弱性 http://basercms.net/security/JVN92765814 【7】Aternity に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#706359 Aternity version 9 vulnerable to cross-site scripting and remote code execution https://www.kb.cert.org/vuls/id/706359 概要 Aternity には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、機密情報を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - Aternity version 9 およびそれ以前 2016年10月4日現在、対策済みのバージョンは公開されていません。以下の回 避策を適用することで、本脆弱性の影響を軽減することが可能です。 - 14777 番ポートへのアクセスを制限する 詳細は、Aternity が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90976810 Aternity に複数の脆弱性 https://jvn.jp/vu/JVNVU90976810/ 【8】Borderless Cyber Asia 2016 開催 情報源 OASIS Borderless Cyber Asia http://borderlesscyber.oasis-open.org/asia16/ 概要 OASIS と慶応義塾大学が共同で主催する国際会議「Borderless Cyber Asia 2016」が、2016年11月1日から 2日間、慶應義塾大学の三田キャンパスで開催 されます。この国際会議は、民間企業や政府の役員、IT セキュリティ担当者 などを対象に、サイバー脅威情報の共有のための戦略や技術に関する意見交換 を目的としています。講演は、日本語と英語の同時通訳が提供される予定です。 なお、JPCERT/CC は「Borderless Cyber Asia 2016」を後援しています。 開催日時: 2016年11月1日 (火) - 2016年11月2日 (水) 会場: 東京都港区三田 2-15-45 慶応義塾大学三田キャンパス 参加費: 20,000円 (政府関係者、OASIS メンバー割引あり) ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NISC が「サイバーセキュリティ国際キャンペーン」を開始 内閣官房内閣サイバーセキュリティセンター (NISC) は「サイバーセキュリティ 国際キャンペーン」を開始しました。このキャンペーンは、国際連携の推進や 情報セキュリティの普及のために、2012年から毎年 10月に実施されています。 キャンペーン中は、ASEAN 諸国との情報セキュリティ政策会議や、セキュリティ 専門家によるウィークリーコラムの発信など、様々な行事が予定されています。 参考文献 (日本語) 内閣官房内閣サイバーセキュリティセンター (NISC) サイバーセキュリティ国際キャンペーン http://www.nisc.go.jp/security-site/campaign/ 内閣官房内閣サイバーセキュリティセンター (NISC) 「サイバーセキュリティ国際キャンペーン」の実施について http://www.nisc.go.jp/press/pdf/campaign2016.pdf 警察庁 サイバー犯罪対策 サイバーセキュリティ国際キャンペーン特集 https://www.npa.go.jp/cyber/international/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJX9EqVAAoJEDF9l6Rp7OBIHhUH/j3B/ZPTeLoVdYbUuCBxYwQV Zx6G0OPflYOraIcoB96c03ueU1pDmZIS8CV7R/ZO6XPwyIm1r2qOKAF6QmAykKnE QKAoi5iMvqwGK/ul5EnbIxS/rfKsvj8jJjazWfZJhZiQLXlzf5AjR4+ZZYrk7zFH QYonT1RU+DRbMYxe/bq1CHtYbcwX1RLnOwnlPfWdCVkknRKxZIqstS8murSHTR4y V8cMXnNpSlor6vY5TXBFFPyyaE4PGirzfh98WNXgk/TvWBlK4n0KCWBAJGTIN1rY qUohMLtFia4sXS+sNBn4RQRoHmMmeJ7K6YztSK/UAMQ5GsRCTeWIduPO38T+ohk= =rq95 -----END PGP SIGNATURE-----