-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-4701 JPCERT/CC 2016-11-30 <<< JPCERT/CC WEEKLY REPORT 2016-11-30 >>> ―――――――――――――――――――――――――――――――――――――― ■11/20(日)〜11/26(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apache Tomcat に複数の脆弱性 【2】NTP.org の ntpd に複数の脆弱性 【3】Xen に複数の脆弱性 【4】複数の VMware 製品に脆弱性 【5】phpMyAdmin に複数の脆弱性 【今週のひとくちメモ】ネットワークカメラや家庭用ルータ等の IoT 機器を使用する際はパスワードの変更を ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr164701.html https://www.jpcert.or.jp/wr/2016/wr164701.xml ============================================================================ 【1】Apache Tomcat に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#92250735 Apache Tomcat の複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU92250735/ 概要 Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となるバージョンは以下の通りです。 - Apache Tomcat 9.0.0.M1 から 9.0.0.M11 まで - Apache Tomcat 8.5.0 から 8.5.6 まで - Apache Tomcat 8.0.0.RC1 から 8.0.38 まで - Apache Tomcat 7.0.0 から 7.0.72 まで - Apache Tomcat 6.0.0 から 6.0.47 まで この問題は、Apache Tomcat を、The Apache Software Foundation が提供す る修正済みのバージョンに更新することで解決します。詳細は、The Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) The Apache Software Foundation Fixed in Apache Tomcat 9.0.0.M13 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M13 The Apache Software Foundation Fixed in Apache Tomcat 8.5.8 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.8 The Apache Software Foundation Fixed in Apache Tomcat 8.0.39 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.39 The Apache Software Foundation Fixed in Apache Tomcat 7.0.73 https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.73 The Apache Software Foundation Fixed in Apache Tomcat 6.0.48 https://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.48 【2】NTP.org の ntpd に複数の脆弱性 情報源 US-CERT Current Activity Vulnerabilities Identified in Network Time Protocol Daemon (ntpd) https://www.us-cert.gov/ncas/current-activity/2016/11/21/Vulnerabilities-Identified-Network-Time-Protocol-Daemon-ntpd 概要 Network Time Protocol Project (NTP.org) の ntpd には、複数の脆弱性があ ります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うな どの可能性があります。 対象となるバージョンは以下の通りです。 - ntp-4.2.8p9 より前のバージョンの ntp-4 系 この問題は、ntpd を、NTP.org が提供する修正済みのバージョンに更新する ことで解決します。また、以下の回避策を適用することで、本脆弱性の影響を 軽減することが可能です。 - mode 6 のクエリは、ファイアウォールや ntpd の設定 (ntp.conf) などを 用いて信頼できるネットワークやホストからのみ許可する 詳細は、NTP.org が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99531229 NTP.org の ntpd に複数の脆弱性 https://jvn.jp/vu/JVNVU99531229/ 関連文書 (英語) Network Time Protocol Project November 2016 ntp-4.2.8p9 NTP Security Vulnerability Announcement (HIGH for Windows, MEDUIM otherwise) http://support.ntp.org/bin/view/Main/SecurityNotice#November_2016_ntp_4_2_8p9_NTP_Se 【3】Xen に複数の脆弱性 情報源 Xen Project Advisories, publicly released or pre-released https://xenbits.xen.org/xsa/ 概要 Xen には複数の脆弱性 (XSA-191〜XSA-198) があります。結果として、 ゲストユーザが、ホスト OS に対してサービス運用妨害 (DoS) 攻撃を行った り、ホスト OS 上の機微な情報を読み取ったり、QEMU プロセスが動作する権 限に昇格したりするなどの可能性があります。 対象となるバージョンは、脆弱性によって異なります。 この問題は、Xen Project が提供するパッチを適用することで解決します。詳 細は、Xen Project が提供する情報を参照してください。 【4】複数の VMware 製品に脆弱性 情報源 VMware Security Advisories VMSA-2016-0021 https://www.vmware.com/security/advisories/VMSA-2016-0021.html VMware Security Advisories VMSA-2016-0022 https://www.vmware.com/security/advisories/VMSA-2016-0022.html 概要 複数の VMware 製品には、脆弱性があります。結果として、遠隔の攻撃者が VMware 製品が動作するサーバに対してサービス運用妨害 (DoS) 攻撃を行った り、設定ファイルの情報を読み取ったりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware Identity Manager 2.7.1 より前のバージョンの 2 系 - vRealize Automation 7.2.0 より前のバージョンの 7 系 - vRealize Automation 6.2.5 より前のバージョンの 6 系 - vSphere Client 5.5 / 6.0 - vCenter Server 5.5 / 6.0 この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。 【5】phpMyAdmin に複数の脆弱性 情報源 phpMyAdmin phpMyAdmin 4.0.10.18, 4.4.15.9, and 4.6.5 are released https://www.phpmyadmin.net/news/2016/11/25/phpmyadmin-401018-44159-and-465-are-released/ 概要 phpMyAdmin には、複数の脆弱性 (PMASA-2016-57〜PMASA-2016-71) が あります。結果として、遠隔の攻撃者が権限がないテーブルにアクセスしたり、 セキュリティ機構をバイパスしたり、ログインページに不正なコードを挿入し たりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - phpMyAdmin 4.0.10.18 より前のバージョン - phpMyAdmin 4.4.15.9 より前のバージョン - phpMyAdmin 4.6.5 より前のバージョン この問題は、phpMyAdmin が提供する修正済みのバージョンに更新することで 解決します。詳細は、phpMyAdmin が提供する情報を参照してください。 関連文書 (英語) phpMyAdmin Security https://www.phpmyadmin.net/security/ phpMyAdmin phpMyAdmin 4.0.10.18 https://www.phpmyadmin.net/files/4.0.10.18/ phpMyAdmin phpMyAdmin 4.4.15.9 https://www.phpmyadmin.net/files/4.4.15.9/ phpMyAdmin phpMyAdmin 4.6.5 https://www.phpmyadmin.net/files/4.6.5/ phpMyAdmin phpMyAdmin 4.6.5.1 is released https://www.phpmyadmin.net/news/2016/11/26/phpmyadmin-4651-released/ phpMyAdmin phpMyAdmin security issues https://blog.cihar.com/archives/2016/11/28/phpmyadmin-security-issues/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ネットワークカメラや家庭用ルータ等の IoT 機器を使用する際はパスワードの変更を 2016年11月25日、情報処理推進機構 (IPA) は、「安心相談窓口だより ネット ワークカメラや家庭用ルータ等のIoT機器は利用前に必ずパスワードの変更を」 を公開しました。2016年10月に発生した米国企業に対する大規模な DDoS 攻撃 に使用されたとされる「Mirai」マルウェアは「root」や「password」など、 IoT 機器の初期設定で使われているユーザ名やパスワードを使用して感染を拡 大していることから、IoT 機器を使用する際はパスワードを変更するよう呼び かけています。 参考文献 (日本語) 情報処理推進機構 (IPA) 安心相談窓口だより ネットワークカメラや家庭用ルータ等のIoT機器は利用前に必ずパスワードの変更を https://www.ipa.go.jp/security/anshin/mgdayori20161125.html JPCERT/CC WEEKLY REPORT 2016-10-19 【今週のひとくちメモ】 US-CERT が「Heightened DDoS Threat Posed by Mirai and Other Botnets」公開 https://www.jpcert.or.jp/wr/2016/wr164101.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYPiZHAAoJEDF9l6Rp7OBIPfEH/1f6BLNGKA2XM2mqmDg1/D5+ Wn4XBUjUhmIiwx4no6kNCHpmIITRKIP+BOoz3jfmEu8Ih1JI16zu/UHLIST17gon Izt5ggkjuzHnBZM89Hk10qupxX1WDojH3eDPt4X2IUKgR32rfsg8D8ZJFhKXeEZK zYpn16bcGoWNikP5SmTzhcNMtg1F4s73B+dnNRnF3B8b1ZRMU/g5ClKWpixWNSDp Ou0DWdhoWcoURgXBgyWq+jGSyzvLOolU4A5rObN5/ixq2QnsXtqbFPRmrsgeK8g9 hudpYNt8rA9JAviSu8NqjKKNnoA5WDz570MZoBqCDlpPmiHIpw0PFKrHlVgrtEw= =xxQe -----END PGP SIGNATURE-----