-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2017-0601
                                                                   JPCERT/CC
                                                                  2017-02-15

            <<< JPCERT/CC WEEKLY REPORT 2017-02-15 >>>

――――――――――――――――――――――――――――――――――――――
■02/05(日)〜02/11(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
【2】Cisco の複数の製品のクロック信号部品に問題
【3】脆弱性体験学習ツール AppGoat に複数の脆弱性
【4】Norton Download Manager に任意の DLL 読み込みに関する脆弱性
【5】Webmin にクロスサイトスクリプティングの脆弱性
【6】Accellion FTP server に複数の脆弱性
【今週のひとくちメモ】JNSA が「中小企業の情報セキュリティ対策ガイドライン」に対応する製品・サービス検索ページを公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2017/wr170601.html
        https://www.jpcert.or.jp/wr/2017/wr170601.xml
============================================================================


【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

    情報源
      US-CERT Current Activity
      ISC Releases Security Updates for BIND
      https://www.us-cert.gov/ncas/current-activity/2017/02/08/ISC-Releases-Security-Updates-BIND

    概要
      ISC BIND 9 には、クエリ応答の書き換え処理に脆弱性があります。結果とし
      て、DNS64 と RPZ の両方の設定を有効にしている場合、遠隔の第三者がサー
      ビス運用妨害 (DoS) 攻撃を行う可能性があります。

      対象となるバージョンは以下の通りです。

      - BIND 9.8.8
      - BIND 9.9.3 から 9.9.9-P5 まで
      - BIND 9.9.10b1
      - BIND 9.9.3-S1 から 9.9.9-S7 まで
      - BIND 9.10.0 から 9.10.4-P5 まで
      - BIND 9.10.5b1
      - BIND 9.11.0 から 9.11.0-P2 まで
      - BIND 9.11.1b1

      この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ
      とで解決します。また、以下の回避策を適用することで、本脆弱性の影響を軽
      減することが可能です。

      - 設定から DNS64 もしくは RPZ を削除する
      - ポリシーゾーンのコンテンツを適切に制限する

      詳細は、ISC が提供する情報を参照してください。

    関連文書 (日本語)
      株式会社日本レジストリサービス (JPRS)
      BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2017-3135）
      https://jprs.jp/tech/security/2017-02-09-bind9-vuln-dns64-rpz.html

      一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
      BIND 9における脆弱性について(2017年2月)
      https://www.nic.ad.jp/ja/topics/2017/20170209-01.html

      Japan Vulnerability Notes JVNVU#93384765
      ISC BIND にサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/vu/JVNVU93384765/

      JPCERT/CC Alert 2017-02-09
      ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2017-3135) に関する注意喚起
      https://www.jpcert.or.jp/at/2017/at170007.html

    関連文書 (英語)
      ISC Knowledge Base
      CVE-2017-3135: Combination of DNS64 and RPZ Can Lead to Crash
      https://kb.isc.org/article/AA-01453

【2】Cisco の複数の製品のクロック信号部品に問題

    情報源
      US-CERT Current Activity
      Cisco Clock Signal Component Failure Advisory
      https://www.us-cert.gov/ncas/current-activity/2017/02/06/Cisco-Clock-Signal-Component-Failure-Advisory

    概要
      Cisco の複数の製品のクロック信号部品には、問題があります。結果として、
      当該製品を約 18ヶ月間以上稼動させると障害が発生する可能性があります。

      対象となる製品は複数あります。詳細は、Cisco が提供する情報を参照してく
      ださい。

    関連文書 (日本語)
      Cisco Meraki
      クロック信号部品に関するお知らせ
      https://meraki.cisco.com/blog/%E3%82%AF%E3%83%AD%E3%83%83%E3%82%AF%E4%BF%A1%E5%8F%B7%E9%83%A8%E5%93%81%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%81%8A%E7%9F%A5%E3%82%89%E3%81%9B/

    関連文書 (英語)
      Cisco
      Clock Signal Component Issue
      https://www.cisco.com/c/en/us/support/web/clock-signal.html

【3】脆弱性体験学習ツール AppGoat に複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#39008927
      脆弱性体験学習ツール AppGoat におけるクロスサイトリクエストフォージェリの脆弱性
      https://jvn.jp/jp/JVN39008927/

      Japan Vulnerability Notes JVN#88176589
      脆弱性体験学習ツール AppGoat における認証不備の脆弱性
      https://jvn.jp/jp/JVN88176589/

      Japan Vulnerability Notes JVN#87662835
      脆弱性体験学習ツール AppGoat における DNS リバインディングの脆弱性
      https://jvn.jp/jp/JVN87662835/

      Japan Vulnerability Notes JVN#71666779
      脆弱性体験学習ツール AppGoat において任意のコードが実行可能な脆弱性
      https://jvn.jp/jp/JVN71666779/

    概要
      脆弱性体験学習ツール AppGoat には、複数の脆弱性があります。結果として、
      遠隔の第三者が、AppGoat のユーザに悪意のある Web サーバへのアクセスを
      行わせることで、任意のコードを実行するなどの可能性があります。

      対象となるバージョンは以下の通りです。

      - 脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール V3.0.0 およびそれ以前

      2017年2月13日、この問題を修正した AppGoat V3.0.1 に不具合があることが
      判明したため、情報処理推進構 (IPA) は当該製品の提供を一時的に停止し、
      使用停止を促しています。詳細は、情報処理推進構 (IPA) が提供する情報を
      参照してください。

    関連文書 (日本語)
      情報処理推進構 (IPA)
      脆弱性体験学習ツール AppGoat
      https://www.ipa.go.jp/security/vuln/appgoat/

【4】Norton Download Manager に任意の DLL 読み込みに関する脆弱性

    情報源
      Japan Vulnerability Notes JVN#40667528
      Norton Download Manager における任意の DLL 読み込みに関する脆弱性
      https://jvn.jp/jp/JVN40667528/

    概要
      Norton Download Manager には、任意の DLL 読み込みに関する脆弱性があり
      ます。結果として、第三者が任意のコードを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Norton Download Manager 5.6 およびそれ以前

      この問題は、Norton Download Manager を株式会社シマンテックが提供する修
      正済みのバージョンに更新することで解決します。詳細は、株式会社シマンテッ
      クが提供する情報を参照してください。

    関連文書 (英語)
      Symantec
      Security Advisories Relating to Symantec Products - Norton Download Manager DLL Loading
      https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20170117_00

【5】Webmin にクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#34207650
      Webmin における複数のクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN34207650/

    概要
      Webmin には、クロスサイトスクリプティングの脆弱性があります。結果とし
      て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能
      性があります。

      対象となるバージョンは以下の通りです。

      - Webmin 1.830 より前のバージョン

      この問題は、Webmin を Webmin が提供する修正済みのバージョンに更新する
      ことで解決します。詳細は、Webmin が提供する情報を参照してください。

    関連文書 (英語)
      Webmin
      Webmin downloads page
      http://www.webmin.com/download.html

【6】Accellion FTP server に複数の脆弱性

    情報源
      CERT/CC Vulnerability Note VU#745607
      Accellion FTP server contains information exposure and cross-site scripting vulnerabilities
      https://www.kb.cert.org/vuls/id/745607

    概要
      Accellion FTP server には、複数の脆弱性があります。結果として、遠隔の
      第三者が、当該製品のユーザ名を収集したりユーザのブラウザ上で任意のスク
      リプトを実行したりする可能性があります。

      対象となるバージョンは以下の通りです。

      - Accellion FTP server version FTA_9_12_220 より前のバージョン

      この問題は、Accellion FTP server を Accellion が提供する修正済みのバー
      ジョンに更新することで解決します。詳細は、Accellion が提供する情報を参
      照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#98953608
      Accellion FTP server に複数の脆弱性
      https://jvn.jp/vu/JVNVU98953608/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JNSA が「中小企業の情報セキュリティ対策ガイドライン」に対応する製品・サービス検索ページを公開

      2017年2月8日、日本ネットワークセキュリティ協会 (JNSA) は「中小企業の情
      報セキュリティ対策ガイドライン」に対応する製品およびサービスの検索ペー
      ジを公開しました。この「中小企業の情報セキュリティ対策ガイドライン」は、
      情報処理推進機構 (IPA) が 2017年1月25日に公開したものです。この検索ペー
      ジでは、「中小企業の情報セキュリティ対策ガイドライン」の付録3「<ツール
      B>情報セキュリティポリシーサンプル」に含まれる項目について、対応する製
      品およびサービスを検索することが可能です。

    参考文献 (日本語)
      日本ネットワークセキュリティ協会 (JNSA)
      IPA「中小企業の情報セキュリティ対策ガイドライン」対応 製品・サービス検索
      http://www.jnsa.org/JNSASolutionGuide/IpaSearchConditionAction.do

      情報処理推進機構 (IPA)
      中小企業の情報セキュリティ対策ガイドライン
      https://www.ipa.go.jp/security/keihatsu/sme/guideline/


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2017 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJYripaAAoJEDF9l6Rp7OBI9OsH/iLKbdNZR7wzr8faD5Huic9d
GkaAr6hRWAaa+OysxKcOIfMWhz4ZJireNfQ59Bk40srdZ7yYvkE69buIq7tl3pii
hTcHp2bU+/nfXytusUBBOVU1XUUBmjdCt+z1dJjLFy1kfX5IlhwNVpm8WHZrDVrd
5M49ll5F4xFLwsLi8gtywiFh2icynDO2jpxXhoy4anB6pMBo/CJiyb6q4IA8mMpW
TVjrzQifICuDye0b3FfnfpT9KUCqRX9RrJx7GT7uijOHgFrVcc4AULuRYwDggGgg
qg+eDcu8Qi1ngYedQVPU/i6yFPh7vD4c6ewfbM6igr+qczjqWZY0c+grXWdft8U=
=pzdb
-----END PGP SIGNATURE-----