JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2017 > Weekly Report 2017-01-12号

最終更新: 2017-01-12

Weekly Report 2017-01-12号


JPCERT-WR-2017-0101
JPCERT/CC
2017-01-12

<<< JPCERT/CC WEEKLY REPORT 2017-01-12 >>>

■12/25(日)〜01/07(土) のセキュリティ関連情報

目 次

【1】PHPMailer に OS コマンドインジェクションの脆弱性

【2】Swift Mailer に OS コマンドインジェクションの脆弱性

【3】zend-mail および Zend Framework の zend-mail コンポーネントに OS コマンドインジェクションの脆弱性

【4】Mozilla Thunderbird に複数の脆弱性

【5】WinSparkle にレジストリ値を検証しない問題

【6】Windows 版 Wireshark に任意ファイルが削除される問題

【7】複数のオリーブデザイン製品にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】担当者が選ぶ 2016年重大ニュース

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr170101.txt
https://www.jpcert.or.jp/wr/2017/wr170101.xml

【1】PHPMailer に OS コマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVNVU#99931177
PHPMailer に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU99931177/

概要

PHPMailer には、OS コマンドインジェクションの脆弱性があります。結果と
して、遠隔の第三者が PHPMailer を使用する Web アプリケーションの実行権
限で任意の OS コマンドを実行する可能性があります。

対象となるバージョンは以下の通りです。

- PHPMailer 5.2.20 より前のバージョン

また、PHPMailer を使用するソフトウェアも本脆弱性の影響を受ける可能性が
あります。PHPMailer を使用する各 Web アプリケーションの対応状況につい
ては、各ベンダが提供する情報を参照してください。

この問題は、PHPMailer を、PHPMailer が提供する修正済みのバージョンに更
新することで解決します。詳細は、PHPMailer が提供する情報を参照してくだ
さい。

関連文書 (英語)

PHPMailer
About the CVE 2016 10033 and CVE 2016 10045 vulnerabilities
https://github.com/PHPMailer/PHPMailer/wiki/About-the-CVE-2016-10033-and-CVE-2016-10045-vulnerabilities

【2】Swift Mailer に OS コマンドインジェクションの脆弱性

情報源

JVN iPedia JVNDB-2016-006449
Swift Mailer の mail transport における mail コマンドに余分なパラメータを渡される脆弱性
http://jvndb.jvn.jp/jvndb/JVNDB-2016-006449

概要

Swift Mailer には、OS コマンドインジェクションの脆弱性があります。結果
として、遠隔の第三者が Swift Mailer を使用する Web アプリケーションの
実行権限で任意の OS コマンドを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Swift Mailer 5.4.5 より前のバージョン

また、Swift Mailer を使用するソフトウェアも本脆弱性の影響を受ける可能
性があります。Swift Mailer を使用する各 Web アプリケーションの対応状況
については、各ベンダが提供する情報を参照してください。

この問題は、Swift Mailer を、SensioLabs が提供する修正済みのバージョン
に更新することで解決します。詳細は、SensioLabs が提供する情報を参照し
てください。

関連文書 (英語)

Swift Mailer
swiftmailer/CHANGES at 5.x swiftmailer/swiftmailer
https://github.com/swiftmailer/swiftmailer/blob/5.x/CHANGES

【3】zend-mail および Zend Framework の zend-mail コンポーネントに OS コマンドインジェクションの脆弱性

情報源

JVN iPedia JVNDB-2016-006448
zend-mail コンポーネントおよび Zend Framework の Sendmail アダプタの setFrom 関数における mail コマンドに余分なパラメータを渡される脆弱性
http://jvndb.jvn.jp/jvndb/JVNDB-2016-006448

概要

zend-mail および Zend Framework の zend-mail コンポーネントには、OS コ
マンドインジェクションの脆弱性があります。結果として、遠隔の第三者がこ
れらのコンポーネントを使用する Web アプリケーションの実行権限で任意の
OS コマンドを実行する可能性があります。

対象となるバージョンは以下の通りです。

- zend-mail 2.4.11 より前のバージョン
- zend-mail 2.5.x
- zend-mail 2.6.x
- zend-mail 2.7.2 より前のバージョンの 2.7.x
- Zend Framework 2.4.11 より前のバージョン

また、zend-mail および Zend Framework の zend-mail コンポーネントを使
用するソフトウェアも本脆弱性の影響を受ける可能性があります。zend-mail
および Zend Framework の zend-mail コンポーネントを使用する各 Web アプ
リケーションの対応状況については、各ベンダが提供する情報を参照してくだ
さい。

この問題は、zend-mail および Zend Framework を、Zend Technologies が提
供する修正済みのバージョンに更新することで解決します。詳細は、Zend
Technologies が提供する情報を参照してください。

関連文書 (英語)

Zend Technologies
ZF2016-04: Potential remote code execution in zend-mail via Sendmail adapter
https://framework.zend.com/security/advisory/ZF2016-04

【4】Mozilla Thunderbird に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/12/28/Mozilla-Releases-Security-Update

概要

Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第
三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った
りする可能性があります。

対象となるバージョンは以下の通りです。

- Mozilla Thunderbird 45.6 より前のバージョン

この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2016 年 12 月 28 日)
http://www.mozilla-japan.org/security/announce/

【5】WinSparkle にレジストリ値を検証しない問題

情報源

Japan Vulnerability Notes JVN#96681653
WinSparkle におけるレジストリ値を検証しない問題
https://jvn.jp/jp/JVN96681653/

概要

WinSparkle には、レジストリ値を検証しない問題があります。結果として、
第三者が任意のディレクトリやファイルを削除する可能性があります。

対象となる製品は以下の通りです。

- WinSparkle 0.5.3 より前のバージョンを使用しているアプリケーション

この問題は、WinSparkle を、WinSparkle が提供する修正済みのバージョンに
更新することで解決します。詳細は、WinSparkle が提供する情報を参照して
ください。

関連文書 (英語)

WinSparkle
Whitespace appended to <sparkle:version> value from appcast #123
https://github.com/vslavik/winsparkle/issues/123

【6】Windows 版 Wireshark に任意ファイルが削除される問題

情報源

Japan Vulnerability Notes JVN#90813656
Windows 版 Wireshark における任意ファイルが削除される問題
https://jvn.jp/jp/JVN90813656/

概要

Windows 版 Wireshark には問題があります。結果として、第三者が任意のディ
レクトリやファイルを削除する可能性があります。

対象となるバージョンは以下の通りです。

- Wireshark 2.2.3 より前のバージョン
- Wireshark 2.0.9 より前のバージョン

この問題は、Wireshark を、Wireshark Foundation が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Wireshark Foundation が提供す
る情報を参照してください。

関連文書 (英語)

Wireshark
Wireshark 2.2.3 and 2.0.9 Released
https://www.wireshark.org/news/20161214.html

【7】複数のオリーブデザイン製品にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#60879379
Olive Blog におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN60879379/

Japan Vulnerability Notes JVN#12124922
WEB SCHEDULE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN12124922/

Japan Vulnerability Notes JVN#71538099
Olive Diary DX におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN71538099/

概要

オリーブデザイン製の複数の製品には、クロスサイトスクリプティングの脆弱
性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のス
クリプトを実行する可能性があります。

対象となる製品は以下の通りです。

- Olive Blog
- WEB SCHEDULE
- Olive Diary DX

2017年1月12日現在、これらの製品の開発およびサポートは終了しています。
これらの製品の使用を停止してください。

■今週のひとくちメモ

○担当者が選ぶ 2016年重大ニュース

- 「Mirai」などのマルウェアで構築されたボットネットによる DDoS 攻撃の脅威の増加

  IoT 機器を使用した大規模なボットネットが構築され、分散型サービス運用
  妨害 (DDoS) 攻撃に使用される事案が話題になりました。代表的な事例とし
  ては「Mirai」と呼ばれるマルウェアを使用した攻撃が挙げられます。
  2016年9月に「Mirai」のソースコードが公開されたことを受け、世界的に
  DDoS 攻撃がさらに増加する可能性があると US-CERT が警告しています。

  JPCERT/CC
  US-CERT が「Heightened DDoS Threat Posed by Mirai and Other Botnets」公開
  https://www.jpcert.or.jp/tips/2016/wr164101.html

  Japan Vulnerability Notes JVNTA#95530271
  Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威
  https://jvn.jp/ta/JVNTA95530271/


- 昨年に引き続き高度サイバー攻撃 (APT) が相次ぐ

  昨年の Emdivi マルウェアを用いた攻撃の多発に続き、今年も JTB への高
  度サイバー攻撃事案をはじめ、複数の攻撃事案がありました。このような状
  況への対応を促すため、JPCERT/CC は具体的な対策に資する各種資料を公開
  しています。

  JPCERT/CC
  高度サイバー攻撃(APT)への備えと対応ガイド - 企業や組織に薦める一連のプロセスについて
  https://www.jpcert.or.jp/research/apt-guide.html

  JPCERT/CC
  インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書
  https://www.jpcert.or.jp/research/ir_research.html

  JPCERT/CC
  2015年度 CSIRT構築および運用における実態調査
  https://www.jpcert.or.jp/research/2015_CSIRT-survey.html


- クレジット取り引きのセキュリティ対策推進に向けた動き

  Web サイトの脆弱性に起因したクレジットカード情報などの流出事案が継続
  して報告されています。こうした中で、2016年4月1日、クレジット取引セキュ
  リティ対策協議会は「セキュリティ対策推進センター」を設置しました。
  セキュリティ対策推進センターは、2016年2月23日にクレジット取引セキュ
  リティ対策協議会が策定した実行計画に基づき、以下の対策を推進していま
  す。
  1. カード情報の保護対策
  2. カードの偽造防止対策 (IC カード化)
  3. EC における不正使用対策

  一般社団法人日本クレジット協会
  クレジット取引のセキュリティ対策推進に向け組織を強化
  https://www.j-credit.or.jp/download/news20160401c1.pdf


- Joomla! や Magento など PHP を使用したソフトウェアに関する脆弱性

  PHP で実装されている EC サイトや CMS などにアンシリアライズの処理に
  起因する脆弱性が複数発見されました。
  これらの脆弱性を悪用することによりオブジェクトインジェクションが可能
  となり、遠隔から任意のコード実行される可能性があります。

  JPCERT/CC
  Web サイトで使用されるソフトウェアの脆弱性を悪用した攻撃に関する注意喚起
  https://www.jpcert.or.jp/at/2016/at160036.html

  Sucuri Security
  Joomla Exploits in the Wild Against CVE-2016-8870 and CVE-2016-8869
  https://blog.sucuri.net/2016/10/joomla-mass-exploits-privilege-vulnerability.html

  Magento
  Magento 2.0.6 SECURITY UPDATE
  https://magento.com/security/patches/magento-206-security-update


- 「情報処理安全確保支援士」制度の創設

  サイバー攻撃の急激な増加を背景として、サイバーセキュリティに関する実
  践的な知識・技能を有する専門人材の育成と確保のため、国家資格「情報処
  理安全確保支援士」制度が創設されました。
  情報処理安全確保支援士は、サイバーセキュリティ対策の調査・分析・評価
  やその結果に基づく指導・助言を行うことで、企業や組織における安全な情
  報システムの企画・設計・開発・運用を支援します。

  情報処理推進機構 (IPA) 
  国家資格「情報処理安全確保支援士」
  https://www.ipa.go.jp/siensi/

  経済産業省
  サイバーセキュリティ分野において初の国家資格となる「情報処理安全確保支援士」制度を開始しました
  http://www.meti.go.jp/press/2016/10/20161021002/20161021002.html


- JPCERT/CC 創立 20周年 - 「技術」と「人」が大きな環として連携する次の 10年へ -

  JPCERT コーディネーションセンターは 2016年10月に創立 20周年を迎えま
  した。
  皆様のご支援、ご協力にあらためて感謝いたします。これからも安全・安心
  な IT 社会を実現するため、努力を続けてまいりますので、引き続き、ご支
  援、ご協力をいただきますようお願いいたします。 

  JPCERT/CC
  創立20周年を越えて
  https://www.jpcert.or.jp/20th-anniversary.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english