<<< JPCERT/CC WEEKLY REPORT 2013-01-30 >>>

■01/20(日)〜01/26(土) のセキュリティ関連情報

目　次

【1】コンテンツ管理システム (CMS) の運用について

【2】Cisco Wireless LAN Controller に複数の脆弱性

【3】Barracuda SSL VPN に権限昇格の脆弱性

【4】SUSE WebYaST にホスト一覧を改ざんされる脆弱性

【5】制御システムインシデント報告の Web フォーム

【今週のひとくちメモ】CVE ID Syntax Change - Call for Public Feedback

【1】コンテンツ管理システム (CMS) の運用について

情報源

US-CERT Alert (TA13-024A)
Content Management Systems Security and Associated Risks
http://www.us-cert.gov/cas/techalerts/TA13-024A.html

概要

US-CERT は、Joomla! などコンテンツ管理システム (CMS) に関する問題につい
て注意喚起を公開しました。

CMS を使った Web サイトで、CMS 本体やプラグインのパッチ適用やアップデー
トを行わないまま運用しているサイトが、サイバー攻撃に使われる事案が多発
しています。

JPCERT/CC にも、サイバー攻撃に使用されている CMS サイトの事例が多数報告
されています。CMS を使ったサイトを運用している管理者は、CMS 本体やプラ
グインなどを最新の状態にしておくよう心がけましょう。

関連文書 (英語)

Public Safety Canada
Content Management Systems Security and Associated Risks
http://www.publicsafety.gc.ca/prg/em/ccirc/2013/in13-001-eng.aspx

【2】Cisco Wireless LAN Controller に複数の脆弱性

情報源

JC3 Bulletin
V-076: Cisco Wireless LAN Controller Bugs Let Remote Users Deny Service and Remote Authenticated Users Modify the Configuration and Execute Arbitrary Code
http://energy.gov/cio/articles/v-076-cisco-wireless-lan-controller-bugs-let-remote-users-deny-service-and-remote

概要

Cisco Wireless LAN Controller には、複数の脆弱性があります。結果として、
遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を
行ったりする可能性があります。

対象となるシステムは以下の通りです。

- Cisco 2000 Series WLC
- Cisco 2100 Series WLC
- Cisco 2500 Series WLC
- Cisco 4100 Series WLC
- Cisco 4400 Series WLC
- Cisco 5500 Series WLC
- Cisco 7500 Series WLC
- Cisco 8500 Series WLC
- Cisco 500 Series Wireless Express Mobility Controllers
- Cisco Wireless Services Module (Cisco WiSM)
- Cisco Wireless Services Module version 2 (Cisco WiSM version 2)
- Cisco NME-AIR-WLC Module for Integrated Services Routers (ISRs)
- Cisco NM-AIR-WLC Module for Integrated Services Routers (ISRs)
- Cisco Catalyst 3750G Integrated WLCs
- Cisco Flex 7500 Series Cloud Controller
- Cisco Virtual Wireless Controller
- Cisco Wireless Controller Software for Integrated Services Module 300
  および Cisco Services-Ready Engine 700、710、900 および 910

この問題は、Cisco が提供する修正済みのバージョンに Cisco Wireless LAN
Controller を更新することで解決します。詳細については、Cisco が提供する
情報を参照して下さい。

関連文書 (日本語)

Cisco Security Advisory cisco-sa-20130123-wlc
Multiple Vulnerabilities in Cisco Wireless LAN Controllers
http://www.cisco.com/cisco/web/support/JP/111/1117/1117081_cisco-sa-20130123-wlc-j.html

関連文書 (英語)

Cisco Security Advisory
Multiple Vulnerabilities in Cisco Wireless LAN Controllers
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130123-wlc

【3】Barracuda SSL VPN に権限昇格の脆弱性

情報源

JC3 Bulletin
V-077: Barracuda SSL VPN Bug Lets Remote Users Bypass Authentication
http://energy.gov/cio/articles/v-077-barracuda-ssl-vpn-bug-lets-remote-users-bypass-authentication

概要

Barracuda SSL VPN には、権限昇格の脆弱性があります。結果として、遠隔の
第三者が、管理者権限でアクセスする可能性があります。

対象となるバージョンは以下の通りです。

- Barracuda SSL VPN バージョン 2.2.2.203 およびそれ以前

この問題は、Barracuda Networks が提供する情報にしたがって Barracuda
SSL VPN を更新することで解決します。詳細については、Barracuda Networks
が提供する情報を参照して下さい。

関連文書 (英語)

Barracuda Networks Support Tech Alerts
Resolved issue with access to potentially insecure files on Barracuda SSL VPN
https://www.barracudanetworks.com/support/techalerts#41

【4】SUSE WebYaST にホスト一覧を改ざんされる脆弱性

情報源

US-CERT Vulnerability Note VU#806908
SUSE WebYaST remotely accessible hosts list vulnerability
http://www.kb.cert.org/vuls/id/806908

概要

SUSE WebYaST には、遠隔の第三者がホスト一覧にアクセス可能な脆弱性が存在
します。結果として、遠隔の第三者が、ホスト一覧を改ざんして中間者攻撃を
行う可能性があります。

対象となるシステムは以下の通りです。

- WebYaST 1.2
- SUSE Studio Standard Edition 1.2

この問題は、使用している OS のベンダや配布元が提供する更新プログラムを
該当の製品に適用することで解決します。詳細については、Novell が提供する
情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92496224
WebYaST にホスト一覧を改ざんされる脆弱性
https://jvn.jp/cert/JVNVU92496224/index.html

関連文書 (英語)

Novell
Novell Security Updates for CVE numbers - CVE-2012-0435
http://support.novell.com/security/cve/CVE-2012-0435.html

OpenSUSE
[security-announce] SUSE-SU-2013:0053-1: important: Security update for WebYaST
http://lists.opensuse.org/opensuse-security-announce/2013-01/msg00008.html

【5】制御システムインシデント報告の Web フォーム

情報源

JPCERT/CC
制御システムインシデントの報告
https://www.jpcert.or.jp/ics/ics-form.html

概要

JPCERT/CC では 2013年1月から、Web フォームによる制御システムインシデン
トの報告受け付けも開始しました。

今後とも、広くインシデント対応に関するサービスの強化をはかっていく予定
ですので、ご活用下さい。

関連文書 (日本語)

JPCERT/CC
制御システムインシデントの報告(Webフォーム)
https://form.jpcert.or.jp/ics.html

■今週のひとくちメモ

○CVE ID Syntax Change - Call for Public Feedback

MITRE は、共通脆弱性識別子 CVE (Common Vulnerabilities and Exposures)
について、フォーマットの変更を発表しました。近年、CVE 番号を付与する脆
弱性情報が増加しており、現状の 4桁では不足することが懸念されています。
この問題に対応するため、今回の発表では 3種類の案を提示しており、これら
に対する意見を求めています。

今後の予定としては、2013年2月末に開催される RSA Conference USA 2013 を
目処に意見募集期間を終了し、その後、3月には新フォーマットを確定、2014年
1月からの導入を想定しています。

参考文献 (日本語)

IPA
共通脆弱性識別子CVE概説
http://www.ipa.go.jp/security/vuln/CVE.html

参考文献 (英語)

CVE - News & Events
Call for Public Feedback on Upcoming CVE ID Syntax Change
http://cve.mitre.org/news/index.html#jan242013a

■JPCERT/CC からのお願い