-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-4001 JPCERT/CC 2016-10-13 <<< JPCERT/CC WEEKLY REPORT 2016-10-13 >>> ―――――――――――――――――――――――――――――――――――――― ■10/02(日)〜10/08(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Xen に脆弱性 【2】複数の Cisco 製品に脆弱性 【3】サイボウズ Office に複数の脆弱性 【4】Cryptography API: Next Generation (CNG) にサービス運用妨害 (DoS) の脆弱性 【5】Wireshark に複数の脆弱性 【6】SetucoCMS に複数の脆弱性 【7】L-04D にクロスサイトリクエストフォージェリの脆弱性 【8】「フィッシング対策セミナー 2016」開催のお知らせ 【9】「第8回TCG日本支部(JRF)公開ワークショップ」開催のお知らせ 【今週のひとくちメモ】経済産業省が広報誌「METI Journal 経済産業ジャーナル平成28年10・11月号」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr164001.html https://www.jpcert.or.jp/wr/2016/wr164001.xml ============================================================================ 【1】Xen に脆弱性 情報源 Xen Project CR0.TS and CR0.EM not always honored for x86 HVM guests https://xenbits.xen.org/xsa/advisory-190.html 概要 Xen には脆弱性があります。結果として、ゲストユーザが、同一ゲスト OS 上 の機微な情報を読み取ったり、改ざんしたりする可能性があります。 対象となるバージョンは以下の通りです。 - xen-unstable, Xen 4.7.x, 4.6.x, 4.5.x, 4.4.x この問題は、Xen Project が提供するパッチを適用することで解決します。詳 細は、Xen Project が提供する情報を参照してください。 【2】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/10/05/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品は以下の通りです。 - Multilayer Director Switches - Nexus 1000V Series Switches - Nexus 2000 Series Fabric Extenders - Nexus 3000 Series Switches - Nexus 3500 Platform Switches - Nexus 4000 Series Switches - Nexus 5000 Series Switches - Nexus 5500 Platform Switches - Nexus 5600 Platform Switches - Nexus 6000 Series Switches - Nexus 7000 Series Switches - Nexus 7700 Series Switches - Nexus 9000 Series Switches in Application Centric Infrastructure (ACI) mode - Nexus 9000 Series Switches in NX-OS mode この問題は、該当する製品を、Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco NX-OS Software-Based Products Authentication, Authorization, and Accounting Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-nxaaa Cisco Security Advisory Cisco Nexus 7000 and 7700 Series Switches Overlay Transport Virtualization Buffer Overflow Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-otv Cisco Security Advisory Cisco NX-OS Border Gateway Protocol Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-bgp Cisco Security Advisory Cisco NX-OS Software Crafted DHCPv4 Packet Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-dhcp1 Cisco Security Advisory Cisco NX-OS Software Malformed DHCPv4 Packet Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-dhcp2 【3】サイボウズ Office に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#06726266 サイボウズ Office における複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN06726266/ Japan Vulnerability Notes JVN#07148816 サイボウズ Office における複数のアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN07148816/ Japan Vulnerability Notes JVN#08736331 サイボウズ Office におけるメールヘッダインジェクションの脆弱性 https://jvn.jp/jp/JVN08736331/ Japan Vulnerability Notes JVN#09736331 サイボウズ Office における情報漏えいの脆弱性 https://jvn.jp/jp/JVN09736331/ Japan Vulnerability Notes JVN#10092452 サイボウズ Office におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN10092452/ Japan Vulnerability Notes JVN#11288252 サイボウズ Office における意図しないファイルをダウンロードさせられる脆弱性 https://jvn.jp/jp/JVN11288252/ 概要 サイボウズ Office には、複数の脆弱性があります。結果として、遠隔の第三 者が、ユーザの意図しないメールを送信したり、サービス運用妨害 (DoS) 攻 撃を行ったり、ユーザのブラウザ上で任意のスクリプトを実行したりするなど の可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ Office 9.0.0 から 10.4.0 まで この問題は、サイボウズ Office を、サイボウズ株式会社が提供する修正済み のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提 供する情報を参照してください。 関連文書 (日本語) サイボウズ株式会社 サイボウズ Office 10 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2016/006267.html サイボウズ株式会社 [CyVDB-910]カスタムアプリに関するクロスサイトスクリプティングの脆弱性 https://support.cybozu.com/ja-jp/article/9427 サイボウズ株式会社 [CyVDB-771]プロジェクトに関するクロスサイトスクリプティングの脆弱性 https://support.cybozu.com/ja-jp/article/9431 サイボウズ株式会社 [CyVDB-770]カスタムアプリに関するクロスサイトスクリプティングの脆弱性 https://support.cybozu.com/ja-jp/article/9430 サイボウズ株式会社 [CyVDB-1090]プロジェクトに関する閲覧制限回避の脆弱性 https://support.cybozu.com/ja-jp/article/9424 サイボウズ株式会社 [CyVDB-1144]プロジェクトに関する操作制限回避の脆弱性 https://support.cybozu.com/ja-jp/article/9442 サイボウズ株式会社 [CyVDB-777]プロジェクトに関する閲覧制限回避の脆弱性 https://support.cybozu.com/ja-jp/article/9429 サイボウズ株式会社 [CyVDB-809]メールヘッダインジェクションの脆弱性 https://support.cybozu.com/ja-jp/article/9433 サイボウズ株式会社 [CyVDB-858]CGI環境変数に関する情報漏えいの脆弱性 https://support.cybozu.com/ja-jp/article/9428 サイボウズ株式会社 [CyVDB-956]スケジュールに関する不適切な入力確認の脆弱性 https://support.cybozu.com/ja-jp/article/9426 サイボウズ株式会社 [CyVDB-1136]ファイル書き出し処理におけるReflected File Downloadの脆弱性 https://support.cybozu.com/ja-jp/article/9434 【4】Cryptography API: Next Generation (CNG) にサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVN#20786316 Cryptography API: Next Generation (CNG) におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN20786316/ 概要 Cryptography API: Next Generation (CNG) には、脆弱性があります。結果と して、第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - Windows 7 以前に含まれる Cryptography API: Next Generation (CNG) この問題は、OS を Windows 8.1 以降に更新することで解決します。詳細は、 Microsoft が提供する情報を参照してください。 【5】Wireshark に複数の脆弱性 情報源 Wireshark Wireshark 2.2.1 and 2.0.7 Released https://www.wireshark.org/news/20161004.html 概要 Wireshark には複数の脆弱性があります。結果として、第三者が細工したパケッ トデータを読み込ませることで、サービス運用妨害 (DoS) 攻撃を行う可能性 があります。 対象となるバージョンは以下の通りです。 - Wireshark 2.2.0 この問題は、Wireshark を、Wireshark が提供する修正済みのバージョンに更 新することで解決します。詳細は、Wireshark が提供する情報を参照してくだ さい。 関連文書 (英語) Wireshark Wireshark 2.2.1 Release Notes https://www.wireshark.org/docs/relnotes/wireshark-2.2.1.html 【6】SetucoCMS に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#80157683 SetucoCMS における複数の脆弱性 https://jvn.jp/jp/JVN80157683/ 概要 SetucoCMS には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユーザ のブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となる製品は以下の通りです。 - SetucoCMS 2016年10月13日現在、SetucoCMS の開発は終了しています。SetucoCMS の使用 を停止してください。 関連文書 (日本語) SetucoCMSプロジェクト SetucoCMS https://ja.osdn.net/projects/setucocms/ 【7】L-04D にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#46351856 L-04D におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN46351856/ 概要 L-04D には、クロスサイトリクエストフォージェリの脆弱性があります。結果 として、遠隔の第三者が、ログインしているユーザに細工したページを開かせ ることで、ユーザの意図しない操作を行う可能性があります。 対象となるバージョンは以下の通りです。 - L-04D ファームウェアバージョン V10a および V10b この問題は、L-04D のファームウェアを、株式会社NTTドコモが提供する修正 済みのバージョンに更新することで解決します。詳細は、株式会社NTTドコモ が提供する情報を参照してください。 関連文書 (日本語) 株式会社NTTドコモ L-04Dの製品アップデート情報 https://www.nttdocomo.co.jp/support/utilization/product_update/list/l04d/index.html 【8】「フィッシング対策セミナー 2016」開催のお知らせ 情報源 フィッシング対策協議会 フィッシング対策セミナー 2016 開催のご案内 https://www.antiphishing.jp/news/event/antiphishing_seminar2016.html 概要 フィッシング対策協議会では、「フィッシング対策セミナー 2016」を開催い たします。本セミナーではフィッシング詐欺に関連する法執行機関、E コマー ス、金融機関、学術機関の 4者それぞれの専門的な立場から、最新の情報と詐 欺の傾向、その対応策などをご紹介いたします。 参加費は無料ですが、事前に参加申込みが必要となります。満席になり次第、 受付終了とさせていただきますので、ご了承ください。 日時および場所: 2016年11月22日(火) 13:00 - 18:00 (受付開始 12:15) 大崎ブライトコア (JR 大崎駅 新東口) 〒141-0001 東京都品川区北品川5丁目5番15号 大崎ブライトコア3階 http://osaki-hall.jp/access/ 【9】「第8回TCG日本支部(JRF)公開ワークショップ」開催のお知らせ 情報源 TCG日本支部(JRF) TCG日本支部(JRF) セキュリティワークショップ https://www.trustedcomputinggroup.org/work-groups/regional-forums/japan/jrfworkshop 概要 TCG日本支部(JRF) 主催の第8回公開セキュリティワークショップが開催されま す。今回のテーマは「IoT、組み込み系システム機器に求められるセキュリティ」 です。JPCERT/CC は、本ワークショップに協力し、講演を行います。 日時および場所: 2016年11月2日(水) 13:30 - 19:30 秋葉原UDX 4F GALLERY NEXT1 & NEXT3 〒101-0021 東京都千代田区外神田4丁目14番1号 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○経済産業省が広報誌「METI Journal 経済産業ジャーナル平成28年10・11月号」を公開 経済産業省が広報誌「METI Journal 経済産業ジャーナル平成28年10・11月号」 を公開しました。同誌では、「進めてる? サイバーセキュリティ対策」とし てサイバー攻撃への対処法や、サイバーセキュリティ対策の実践例などを紹介 しています。 参考文献 (日本語) 経済産業省 METI Journal 経済産業ジャーナル平成28年10・11月号 http://www.meti.go.jp/publication/data/2016_10.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJX/to7AAoJEDF9l6Rp7OBIF+wH/1zQMJBF2I1cAeGfAciRMYKL wBiuYVyCqoYI3cxrELoGmtETfKPVCrgVFrY9fvJNoFcj3aYPMEXJwjMs8PJjGENH CnTWVshB2kM8Y4r7Wq5kp5bbkoT9xKuT7Z3gUXiqtTDPCMFQWTrzGp1h934sp9tY hHYwOoXXk3AhqCpyUO5tQad7KG0dfF9q3a8JbihpT+jZaRtdHXvkA5DOdX6DGKZx Ks+/3yFSWBVFD2wQ4DvCs6cn6vcA+cKoXfOYDx4aQoFglPrJMAlN5YN5vNNfJEIK 6YN+1N8F3UthK05QHBfxHy6hZFycCO5W1Qd16/oapVfuDq6hzJYPULoaNCdzJto= =5wqG -----END PGP SIGNATURE-----