-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-0101 JPCERT/CC 2017-01-12 <<< JPCERT/CC WEEKLY REPORT 2017-01-12 >>> ―――――――――――――――――――――――――――――――――――――― ■12/25(日)〜01/07(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】PHPMailer に OS コマンドインジェクションの脆弱性 【2】Swift Mailer に OS コマンドインジェクションの脆弱性 【3】zend-mail および Zend Framework の zend-mail コンポーネントに OS コマンドインジェクションの脆弱性 【4】Mozilla Thunderbird に複数の脆弱性 【5】WinSparkle にレジストリ値を検証しない問題 【6】Windows 版 Wireshark に任意ファイルが削除される問題 【7】複数のオリーブデザイン製品にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】担当者が選ぶ 2016年重大ニュース ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr170101.html https://www.jpcert.or.jp/wr/2017/wr170101.xml ============================================================================ 【1】PHPMailer に OS コマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVNVU#99931177 PHPMailer に OS コマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU99931177/ 概要 PHPMailer には、OS コマンドインジェクションの脆弱性があります。結果と して、遠隔の第三者が PHPMailer を使用する Web アプリケーションの実行権 限で任意の OS コマンドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - PHPMailer 5.2.20 より前のバージョン また、PHPMailer を使用するソフトウェアも本脆弱性の影響を受ける可能性が あります。PHPMailer を使用する各 Web アプリケーションの対応状況につい ては、各ベンダが提供する情報を参照してください。 この問題は、PHPMailer を、PHPMailer が提供する修正済みのバージョンに更 新することで解決します。詳細は、PHPMailer が提供する情報を参照してくだ さい。 関連文書 (英語) PHPMailer About the CVE 2016 10033 and CVE 2016 10045 vulnerabilities https://github.com/PHPMailer/PHPMailer/wiki/About-the-CVE-2016-10033-and-CVE-2016-10045-vulnerabilities 【2】Swift Mailer に OS コマンドインジェクションの脆弱性 情報源 JVN iPedia JVNDB-2016-006449 Swift Mailer の mail transport における mail コマンドに余分なパラメータを渡される脆弱性 http://jvndb.jvn.jp/jvndb/JVNDB-2016-006449 概要 Swift Mailer には、OS コマンドインジェクションの脆弱性があります。結果 として、遠隔の第三者が Swift Mailer を使用する Web アプリケーションの 実行権限で任意の OS コマンドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Swift Mailer 5.4.5 より前のバージョン また、Swift Mailer を使用するソフトウェアも本脆弱性の影響を受ける可能 性があります。Swift Mailer を使用する各 Web アプリケーションの対応状況 については、各ベンダが提供する情報を参照してください。 この問題は、Swift Mailer を、SensioLabs が提供する修正済みのバージョン に更新することで解決します。詳細は、SensioLabs が提供する情報を参照し てください。 関連文書 (英語) Swift Mailer swiftmailer/CHANGES at 5.x swiftmailer/swiftmailer https://github.com/swiftmailer/swiftmailer/blob/5.x/CHANGES 【3】zend-mail および Zend Framework の zend-mail コンポーネントに OS コマンドインジェクションの脆弱性 情報源 JVN iPedia JVNDB-2016-006448 zend-mail コンポーネントおよび Zend Framework の Sendmail アダプタの setFrom 関数における mail コマンドに余分なパラメータを渡される脆弱性 http://jvndb.jvn.jp/jvndb/JVNDB-2016-006448 概要 zend-mail および Zend Framework の zend-mail コンポーネントには、OS コ マンドインジェクションの脆弱性があります。結果として、遠隔の第三者がこ れらのコンポーネントを使用する Web アプリケーションの実行権限で任意の OS コマンドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - zend-mail 2.4.11 より前のバージョン - zend-mail 2.5.x - zend-mail 2.6.x - zend-mail 2.7.2 より前のバージョンの 2.7.x - Zend Framework 2.4.11 より前のバージョン また、zend-mail および Zend Framework の zend-mail コンポーネントを使 用するソフトウェアも本脆弱性の影響を受ける可能性があります。zend-mail および Zend Framework の zend-mail コンポーネントを使用する各 Web アプ リケーションの対応状況については、各ベンダが提供する情報を参照してくだ さい。 この問題は、zend-mail および Zend Framework を、Zend Technologies が提 供する修正済みのバージョンに更新することで解決します。詳細は、Zend Technologies が提供する情報を参照してください。 関連文書 (英語) Zend Technologies ZF2016-04: Potential remote code execution in zend-mail via Sendmail adapter https://framework.zend.com/security/advisory/ZF2016-04 【4】Mozilla Thunderbird に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/12/28/Mozilla-Releases-Security-Update 概要 Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第 三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った りする可能性があります。 対象となるバージョンは以下の通りです。 - Mozilla Thunderbird 45.6 より前のバージョン この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2016 年 12 月 28 日) http://www.mozilla-japan.org/security/announce/ 【5】WinSparkle にレジストリ値を検証しない問題 情報源 Japan Vulnerability Notes JVN#96681653 WinSparkle におけるレジストリ値を検証しない問題 https://jvn.jp/jp/JVN96681653/ 概要 WinSparkle には、レジストリ値を検証しない問題があります。結果として、 第三者が任意のディレクトリやファイルを削除する可能性があります。 対象となる製品は以下の通りです。 - WinSparkle 0.5.3 より前のバージョンを使用しているアプリケーション この問題は、WinSparkle を、WinSparkle が提供する修正済みのバージョンに 更新することで解決します。詳細は、WinSparkle が提供する情報を参照して ください。 関連文書 (英語) WinSparkle Whitespace appended to value from appcast #123 https://github.com/vslavik/winsparkle/issues/123 【6】Windows 版 Wireshark に任意ファイルが削除される問題 情報源 Japan Vulnerability Notes JVN#90813656 Windows 版 Wireshark における任意ファイルが削除される問題 https://jvn.jp/jp/JVN90813656/ 概要 Windows 版 Wireshark には問題があります。結果として、第三者が任意のディ レクトリやファイルを削除する可能性があります。 対象となるバージョンは以下の通りです。 - Wireshark 2.2.3 より前のバージョン - Wireshark 2.0.9 より前のバージョン この問題は、Wireshark を、Wireshark Foundation が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Wireshark Foundation が提供す る情報を参照してください。 関連文書 (英語) Wireshark Wireshark 2.2.3 and 2.0.9 Released https://www.wireshark.org/news/20161214.html 【7】複数のオリーブデザイン製品にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#60879379 Olive Blog におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN60879379/ Japan Vulnerability Notes JVN#12124922 WEB SCHEDULE におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN12124922/ Japan Vulnerability Notes JVN#71538099 Olive Diary DX におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN71538099/ 概要 オリーブデザイン製の複数の製品には、クロスサイトスクリプティングの脆弱 性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のス クリプトを実行する可能性があります。 対象となる製品は以下の通りです。 - Olive Blog - WEB SCHEDULE - Olive Diary DX 2017年1月12日現在、これらの製品の開発およびサポートは終了しています。 これらの製品の使用を停止してください。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○担当者が選ぶ 2016年重大ニュース - 「Mirai」などのマルウェアで構築されたボットネットによる DDoS 攻撃の脅威の増加 IoT 機器を使用した大規模なボットネットが構築され、分散型サービス運用 妨害 (DDoS) 攻撃に使用される事案が話題になりました。代表的な事例とし ては「Mirai」と呼ばれるマルウェアを使用した攻撃が挙げられます。 2016年9月に「Mirai」のソースコードが公開されたことを受け、世界的に DDoS 攻撃がさらに増加する可能性があると US-CERT が警告しています。 JPCERT/CC US-CERT が「Heightened DDoS Threat Posed by Mirai and Other Botnets」公開 https://www.jpcert.or.jp/tips/2016/wr164101.html Japan Vulnerability Notes JVNTA#95530271 Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威 https://jvn.jp/ta/JVNTA95530271/ - 昨年に引き続き高度サイバー攻撃 (APT) が相次ぐ 昨年の Emdivi マルウェアを用いた攻撃の多発に続き、今年も JTB への高 度サイバー攻撃事案をはじめ、複数の攻撃事案がありました。このような状 況への対応を促すため、JPCERT/CC は具体的な対策に資する各種資料を公開 しています。 JPCERT/CC 高度サイバー攻撃(APT)への備えと対応ガイド - 企業や組織に薦める一連のプロセスについて https://www.jpcert.or.jp/research/apt-guide.html JPCERT/CC インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 https://www.jpcert.or.jp/research/ir_research.html JPCERT/CC 2015年度 CSIRT構築および運用における実態調査 https://www.jpcert.or.jp/research/2015_CSIRT-survey.html - クレジット取り引きのセキュリティ対策推進に向けた動き Web サイトの脆弱性に起因したクレジットカード情報などの流出事案が継続 して報告されています。こうした中で、2016年4月1日、クレジット取引セキュ リティ対策協議会は「セキュリティ対策推進センター」を設置しました。 セキュリティ対策推進センターは、2016年2月23日にクレジット取引セキュ リティ対策協議会が策定した実行計画に基づき、以下の対策を推進していま す。 1. カード情報の保護対策 2. カードの偽造防止対策 (IC カード化) 3. EC における不正使用対策 一般社団法人日本クレジット協会 クレジット取引のセキュリティ対策推進に向け組織を強化 https://www.j-credit.or.jp/download/news20160401c1.pdf - Joomla! や Magento など PHP を使用したソフトウェアに関する脆弱性 PHP で実装されている EC サイトや CMS などにアンシリアライズの処理に 起因する脆弱性が複数発見されました。 これらの脆弱性を悪用することによりオブジェクトインジェクションが可能 となり、遠隔から任意のコード実行される可能性があります。 JPCERT/CC Web サイトで使用されるソフトウェアの脆弱性を悪用した攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160036.html Sucuri Security Joomla Exploits in the Wild Against CVE-2016-8870 and CVE-2016-8869 https://blog.sucuri.net/2016/10/joomla-mass-exploits-privilege-vulnerability.html Magento Magento 2.0.6 SECURITY UPDATE https://magento.com/security/patches/magento-206-security-update - 「情報処理安全確保支援士」制度の創設 サイバー攻撃の急激な増加を背景として、サイバーセキュリティに関する実 践的な知識・技能を有する専門人材の育成と確保のため、国家資格「情報処 理安全確保支援士」制度が創設されました。 情報処理安全確保支援士は、サイバーセキュリティ対策の調査・分析・評価 やその結果に基づく指導・助言を行うことで、企業や組織における安全な情 報システムの企画・設計・開発・運用を支援します。 情報処理推進機構 (IPA) 国家資格「情報処理安全確保支援士」 https://www.ipa.go.jp/siensi/ 経済産業省 サイバーセキュリティ分野において初の国家資格となる「情報処理安全確保支援士」制度を開始しました http://www.meti.go.jp/press/2016/10/20161021002/20161021002.html - JPCERT/CC 創立 20周年 - 「技術」と「人」が大きな環として連携する次の 10年へ - JPCERT コーディネーションセンターは 2016年10月に創立 20周年を迎えま した。 皆様のご支援、ご協力にあらためて感謝いたします。これからも安全・安心 な IT 社会を実現するため、努力を続けてまいりますので、引き続き、ご支 援、ご協力をいただきますようお願いいたします。 JPCERT/CC 創立20周年を越えて https://www.jpcert.or.jp/20th-anniversary.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYdsh+AAoJEDF9l6Rp7OBIIVkH/1PeayfmjWcv3fCfMt2iWnM5 eL2gQfyeyBeIOH7b4wqBr5jGhg27L+EZS1Ejs/ufxMYDC+g/aKmPESJrjq8Lviot XP1y6MjF3TG+OqduPHbZKaVB9x1p3efETyzKOVNBvsHq1EU4LLa2Wd4MtXcJeExi PqQzUM9BVT3k5A/bvBs/q3uuzcRdM7PsJv8H2EXMIHyx6qS3tQqURaEv63JIWkAS 6jytEUPKwkl/8GKGtLW8IRcISeRbGJcu8pGkgk+USl9z35nEauIo8SgaY1ZNqq5/ En2fnNFz5MJF+uAZzVGG0S9I8rw5Yoq8wLEvXicATKfGjF7mFSEBdaQNeIUjlpI= =Rh9e -----END PGP SIGNATURE-----