<<< JPCERT/CC WEEKLY REPORT 2016-01-27 >>>

■01/17(日)〜01/23(土) のセキュリティ関連情報

目　次

【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

【2】2016年1月 Oracle Critical Patch Update について

【3】複数の Cisco 製品に脆弱性

【4】FFmpeg および Libav に情報漏えいの脆弱性

【5】複数の Apple 製品に脆弱性

【6】バッファロー製の複数のネットワーク機器に脆弱性

【今週のひとくちメモ】サイバーセキュリティ月間

【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

情報源

US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2016/01/19/Internet-Systems-Consortium-ISC-Releases-Security-Updates-BIND

概要

ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者が、
サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは以下の通りです。

- BIND 9.3.0 から 9.8.8 まで
- BIND 9.9.0 から 9.9.8-P2 まで
- BIND 9.9.3-S1 から 9.9.8-S3 まで
- BIND 9.10.0 から 9.10.3-P2 まで

この問題は、ISC が提供する修正済みのバージョンに BIND 9 を更新すること
で解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

JPNIC
BIND 9における複数の脆弱性について(2016年1月)
https://www.nic.ad.jp/ja/topics/2016/20160120-01.html

Japan Vulnerability Notes JVNVU#96264182
ISC BIND 9 に複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU96264182/

JPCERT/CC Alert 2016-01-20
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8704) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160006.html

関連文書 (英語)

ISC Knowledge Base
CVE-2015-8704: Specific APL data could trigger an INSIST in apl_42.c
https://kb.isc.org/article/AA-01335

ISC Knowledge Base
CVE-2015-8705: Problems converting OPT resource records and ECS options to text format can cause BIND to terminate.
https://kb.isc.org/article/AA-01336

【2】2016年1月 Oracle Critical Patch Update について

情報源

US-CERT Current Activity
Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2016/01/19/Oracle-Releases-Security-Bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

関連文書 (日本語)

Oracle
Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/jp/topics/ojkbcpujan2016-2868497-ja.html

Japan Vulnerability Notes JVNVU#95592853
Oracle Outside In 8.5.2 にスタックバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU95592853/

JPCERT/CC Alert 2016-01-20
2016年1月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2016/at160005.html

【3】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/01/20/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Cisco Modular Encoding Platform D9036 02.04.70 より前のバージョン
- Cisco UCS Manager
- Firepower 9000 シリーズ 1.1.2 より前のバージョン

この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory
Cisco Modular Encoding Platform D9036 Software Default Credentials Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-d9036

Cisco Security Advisory
Cisco Unified Computing System Manager and Cisco Firepower 9000 Remote Command Execution Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-ucsm

【4】FFmpeg および Libav に情報漏えいの脆弱性

情報源

CERT/CC Vulnerability Note VU#772447
ffmpeg and Libav cross-domain information disclosure vulnerability
https://www.kb.cert.org/vuls/id/772447

概要

FFmpeg および Libav には、情報漏えいの脆弱性があります。結果として、遠
隔の第三者が、ユーザのローカルシステムに存在する任意のファイルを取得す
る可能性があります。

対象となる製品およびバージョンは以下の通りです。

- FFmpeg 2.8.5 より前のバージョン
- Libav

この問題は、開発者が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92302510
FFmpeg および Libav に情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU92302510/

【5】複数の Apple 製品に脆弱性

情報源

US-CERT Current Activity
Apple Releases Security Updates for iOS, OS X El Capitan, and Safari
https://www.us-cert.gov/ncas/current-activity/2016/01/19/Apple-Releases-Security-Updates-iOS-OS-X-El-Capitan-and-Safari

概要

複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- iOS 9.2.1 より前のバージョン
- OS X El Capitan 10.11.3 より前のバージョン
- Safari 9.0.3 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90405245
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90405245/

関連文書 (英語)

Apple
About the security content of iOS 9.2.1
https://support.apple.com/ja-jp/HT205732

Apple
About the security content of OS X El Capitan 10.11.3 and Security Update 2016-001
https://support.apple.com/ja-jp/HT205731

Apple
About the security content of Safari 9.0.3
https://support.apple.com/ja-jp/HT205730

【6】バッファロー製の複数のネットワーク機器に脆弱性

情報源

Japan Vulnerability Notes JVN#49225722
バッファロー製の複数のネットワーク機器におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN49225722/

Japan Vulnerability Notes JVN#09268287
バッファロー製の複数のネットワーク機器におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN09268287/

概要

バッファロー製の複数のネットワーク機器には、クロスサイトスクリプティン
グとクロスサイトリクエストフォージェリの脆弱性が存在します。結果として、
遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、細工
したページにアクセスさせることでユーザの意図しない操作を行ったりする可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- WSR-1166DHP ファームウェア Ver.1.01
- WHR-1166DHP ファームウェア Ver.1.90 およびそれ以前
- WHR-600D ファームウェア Ver.1.90 およびそれ以前
- WHR-300HP2 ファームウェア Ver.1.90 およびそれ以前
- WMR-433 ファームウェア Ver.1.01 およびそれ以前
- WMR-300 ファームウェア Ver.1.90 およびそれ以前
- WEX-300 ファームウェア Ver.1.90 およびそれ以前
- BHR-4GRV2 ファームウェア Ver.1.04 およびそれ以前

この問題は、株式会社バッファローが提供する修正済みのバージョンに該当す
る製品を更新することで解決します。詳細は、株式会社バッファローが提供す
る情報を参照してください。

関連文書 (日本語)

株式会社バッファロー
クロスサイトスクリプティング(XSS)の脆弱性
http://buffalo.jp/support_s/s20141030_2.html

株式会社バッファロー
クロスサイトリクエストフォージェリ(CSRF)の脆弱性
http://buffalo.jp/support_s/s20141030_1.html

■今週のひとくちメモ

○サイバーセキュリティ月間

2月1日から 3月18日は、「サイバーセキュリティ月間」です。
この期間には、府省庁対抗の事案対処訓練やサイバーセキュリティ実演イベン
トのほか、情報セキュリティハンドブックの公開、サイバーセキュリティに関
する国民の意識調査など、サイバーセキュリティの普及啓発のための様々な活
動が企画されています。
サイバーセキュリティに関する理解を深めるため、是非参加をご検討ください。

参考文献 (日本語)

内閣サイバーセキュリティセンター
2016年「サイバーセキュリティ月間」（２月１日～３月18日）について
http://www.nisc.go.jp/conference/cs/dai06/pdf/06shiryou06.pdf

内閣サイバーセキュリティセンター
2016 年 「サイバーセキュリティ月間」 の実施について
http://www.nisc.go.jp/press/pdf/csm2016_press1.pdf

■JPCERT/CC からのお願い