-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-4901 JPCERT/CC 2016-12-14 <<< JPCERT/CC WEEKLY REPORT 2016-12-14 >>> ―――――――――――――――――――――――――――――――――――――― ■12/04(日)〜12/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apache HTTP Web Server にサービス運用妨害 (DoS) の脆弱性 【2】PHP に複数の脆弱性 【3】BSD libc にバッファオーバーフローの脆弱性 【4】三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールに複数の脆弱性 【5】ForeScout CounterACT SecureConnector エージェントに権限昇格の脆弱性 【6】Sleipnir for Mac にアドレス表示偽装の脆弱性 【7】Android アプリ「株式会社三菱東京UFJ銀行」に SSL/TLS ダウングレード攻撃が可能となる脆弱性 【8】PHP FormMail Generator で作成した PHP コードに複数の脆弱性 【9】IPA が「サイバーセキュリティ経営ガイドライン解説書」を公開 【今週のひとくちメモ】2017年1月1日に「うるう秒」を挿入 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr164901.html https://www.jpcert.or.jp/wr/2016/wr164901.xml ============================================================================ 【1】Apache HTTP Web Server にサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVNVU#97133859 Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU97133859/ 概要 Apache HTTP Web Server の HTTP/2 プロトコルの処理には、脆弱性がありま す。結果として、遠隔の第三者が、細工した HTTP/2 リクエストを送信するこ とで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Apache HTTP web server 2.4.17 から 2.4.23 まで 2016年12月13日現在、対策済みのバージョンは公開されていません。なお、ソー スコードリポジトリでは、修正が行われています。以下の回避策を適用するこ とで、本脆弱性の影響を軽減することが可能です。 - 設定ファイル内の 'Protocols' 行から 'h2' および 'h2c' を削除することで HTTP/2 を無効にする 詳細は、Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) httpd-announce mailing list archives CVE-2016-8740, Server memory can be exhausted and service denied when HTTP/2 is used https://mail-archives.apache.org/mod_mbox/httpd-announce/201612.mbox/%3C1A097A43-7CCB-4BA1-861F-E0C7EEE83A4B%40apache.org%3E 【2】PHP に複数の脆弱性 情報源 PHP Group PHP 7.0.14 Released https://secure.php.net/archive/2016.php#id2016-12-08-1 PHP Group PHP 5.6.29 Released https://secure.php.net/archive/2016.php#id2016-12-08-2 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 対象となるバージョンは以下の通りです。 - PHP 7.0.14 より前のバージョン - PHP 5.6.29 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。 関連文書 (英語) PHP Group PHP 7 ChangeLog Version 7.0.14 https://secure.php.net/ChangeLog-7.php#7.0.14 PHP Group PHP 5 ChangeLog Version 5.6.29 https://secure.php.net/ChangeLog-5.php#5.6.29 【3】BSD libc にバッファオーバーフローの脆弱性 情報源 CERT/CC Vulnerability Note VU#548487 BSD libc contains a buffer overflow vulnerability in link_ntoa() https://www.kb.cert.org/vuls/id/548487 概要 BSD libc には、バッファオーバーフローの脆弱性があります。結果として、 遠隔の第三者が任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - BSD libc この問題は、BSD libc を、使用している OS のベンダや配布元が提供する修 正済みのバージョンに更新することで解決します。詳細は、開発者が提供する 情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91242711 BSD libc にバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU91242711/ 関連文書 (英語) The FreeBSD Project link_ntoa(3) buffer overflow https://www.freebsd.org/security/advisories/FreeBSD-SA-16:37.libc.asc 【4】三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールに複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#99901500 三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールに複数の脆弱性 https://jvn.jp/vu/JVNVU99901500/ 概要 三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールには、 複数の脆弱性があります。結果として、遠隔の第三者が、パスワードを取得し たり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - QJ71E71-100 のすべてのバージョン - QJ71E71-B5 のすべてのバージョン - QJ71E71-B2 のすべてのバージョン この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン に更新し、以下の設定を行うことで解決します。 - 適切な送信元からの通信のみを許可するように IP フィルタリング機能を設定する 詳細は、三菱電機株式会社が提供する情報を参照してください。 関連文書 (英語) ISC-CERT Advisory (ICSA-16-336-03) Mitsubishi Electric MELSEC-Q Series Ethernet Interface Module Vulnerabilities https://ics-cert.us-cert.gov/advisories/ICSA-16-336-03 【5】ForeScout CounterACT SecureConnector エージェントに権限昇格の脆弱性 情報源 CERT/CC Vulnerability Note VU#768331 ForeScout CounterACT SecureConnector agent is vulnerable to privilege escalation https://www.kb.cert.org/vuls/id/768331 概要 ForeScout CounterACT SecureConnector エージェント には、権限昇格の脆弱 性があります。結果として、一般ユーザが SYSTEM 権限を取得する可能性があ ります。 対象となる製品は以下の通りです。 - SecureConnector の Windows 向けエージェント この問題は、SecureConnector に ForeScout Technologies Inc. が提供する HPS Inspection Engine Plugin, version 10.4.1.1 を適用することで解決し ます。詳細は、ForeScout Technologies Inc. が提供する情報を参照してくだ さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96676747 ForeScout CounterACT SecureConnector エージェントに権限昇格の脆弱性 https://jvn.jp/vu/JVNVU96676747/ 【6】Sleipnir for Mac にアドレス表示偽装の脆弱性 情報源 Japan Vulnerability Notes JVN#28151745 Sleipnir for Mac におけるアドレス表示偽装の脆弱性 https://jvn.jp/jp/JVN28151745/ 概要 Sleipnir for Mac には、アドレス表示偽装の脆弱性があります。結果として、 遠隔の第三者がアドレス表示欄の URL を偽装し、意図しないサイトに誘導す る可能性があります。 対象となるバージョンは以下の通りです。 - Sleipnir 4 Black Edition for Mac (インストーラ版) 4.5.3 およびそれ以前 - Sleipnir 4 for Mac (Mac App Store 版) 4.5.3 およびそれ以前 この問題は、 Sleipnir for Mac をフェンリル株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、フェンリル株式会社が提供 する情報を参照してください。 関連文書 (日本語) Sleipnir Browser バージョン 4.5.4 の新機能 https://itunes.apple.com/jp/app/sleipnir-browser/id475299388 【7】Android アプリ「株式会社三菱東京UFJ銀行」に SSL/TLS ダウングレード攻撃が可能となる脆弱性 情報源 Japan Vulnerability Notes JVNVU#92900492 Android アプリ「株式会社三菱東京UFJ銀行」に SSL/TLS ダウングレード攻撃が可能となる脆弱性 https://jvn.jp/vu/JVNVU92900492/ 概要 Android アプリ「株式会社三菱東京UFJ銀行」には、SSL/TLS ダウングレー ド攻撃が可能となる脆弱性があります。結果として、遠隔の第三者が、中間者 攻撃によって暗号通信を盗聴するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Android アプリ「株式会社三菱東京UFJ銀行」 ver5.3.1 - Android アプリ「株式会社三菱東京UFJ銀行」 ver5.2.2 およびそれ以前 この問題は、Android アプリ「株式会社三菱東京UFJ銀行」を、株式会社三 菱東京UFJ銀行が提供する修正済みのバージョンに更新することで解決しま す。詳細は、株式会社三菱東京UFJ銀行が提供する情報を参照してください。 【8】PHP FormMail Generator で作成した PHP コードに複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#494015 PHP FormMail Generator generates code with multiple vulnerabilities https://www.kb.cert.org/vuls/id/494015 概要 PHP FormMail Generator で作成した PHP コードには、複数の脆弱性がありま す。結果として、遠隔の第三者が、ウェブフォームの管理パネルにアクセスし たり、任意のファイルを取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - 2016年12月6日より前に PHP FormMail Generator で生成した PHP コード この問題は、PHP コードを PHP FormMail Generator で再生成することで解決 します。詳細は、PHP Form Mail Maker が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99577809 PHP FormMail Generator で作成した PHP コードに複数の脆弱性 https://jvn.jp/vu/JVNVU99577809/ 【9】IPA が「サイバーセキュリティ経営ガイドライン解説書」を公開 情報源 情報処理推進機構 (IPA) サイバーセキュリティ経営ガイドライン解説書 Ver.1.0 https://www.ipa.go.jp/files/000056148.pdf 概要 2016年12月8日、情報処理推進機構 (IPA) は、「サイバーセキュリティ経営ガ イドライン解説書」を公開しました。このドキュメントは、2015年12月に策定 された「サイバーセキュリティ経営ガイドライン」の実施方法を解説したもの です。ガイドラインが示す重要 10項目について、仮想の中小企業および大企 業を例に、それぞれの検討手順や注意すべきポイントをまとめています。 関連文書 (日本語) 経済産業省 サイバーセキュリティ経営ガイドライン http://www.meti.go.jp/policy/netsecurity/mng_guide.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○2017年1月1日に「うるう秒」を挿入 2017年1月1日に「うるう秒」が挿入されます。これは原子時計に基づく時刻と 天文時に基づく時刻とのずれを調整するためのもので、日本では国立研究開発 法人情報通信研究機構 (NICT) が、2017年1月1日午前 8時59分59秒と 9時00分00秒の間に「8時59分60秒」を挿入する予定です。 サーバの管理者は、万が一トラブルが発生した場合に備え、緊急時における連 絡体制や、ソフトウェアのアップデートが適切に実施されているかを確認して ください。 また、Google、Akamai、Bloomberg などが運用している各 NTP サーバでは、 1秒追加という形ではなく、一定の期間クロックを遅らせるという対応を行う とアナウンスしています。 参考文献 (日本語) 国立研究開発法人 情報通信研究機構(NICT) 「うるう秒」挿入のお知らせ https://www.nict.go.jp/press/2016/07/08-1.html 参考文献 (英語) Google Public NTP Leap Smear https://developers.google.com/time/smear ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYUIdgAAoJEDF9l6Rp7OBI2+8H/2zIR+GaouiaBOeSrUS2c0TX GJIQdNLIuBZjRnCmyzuk0mwdC7ZvXEy37d1qgl7OapQUGItQVwzSGU/TzkiZLAUE m8HLe0RXLSoSqxKPIp4FHIqtPZKa4SbUT+3TIIjkYP8noP2MoAI57NYYdQhe5Xwe iluEjJAir+3R/Y3TeniM5nsX7eBaI/4kqf2wwusS+Prw3yK4aVWDRWyxLmZII33q iIWlbqFHKf0xo5rQeDU0WGo/WUpsHvesm5/J6V/pkQYmSoknpjYwM+I+Npz1rNJb hzZMYrvqg7lKq05/lTiqB5PM68mszEi42RtBsap/7e/xrzIzeFQFS5xEZxDClTY= =aW1R -----END PGP SIGNATURE-----