Apache HTTP Web Server の HTTP/2 プロトコルの処理には、脆弱性がありま
す。結果として、遠隔の第三者が、細工した HTTP/2 リクエストを送信するこ
とで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- Apache HTTP web server 2.4.17 から 2.4.23 まで

2016年12月13日現在、対策済みのバージョンは公開されていません。なお、ソー
スコードリポジトリでは、修正が行われています。以下の回避策を適用するこ
とで、本脆弱性の影響を軽減することが可能です。

- 設定ファイル内の 'Protocols' 行から 'h2' および 'h2c' を削除することで HTTP/2 を無効にする

詳細は、Apache Software Foundation が提供する情報を参照してください。

【2】PHP に複数の脆弱性

情報源

PHP Group
PHP 7.0.14 Released
https://secure.php.net/archive/2016.php#id2016-12-08-1

PHP Group
PHP 5.6.29 Released
https://secure.php.net/archive/2016.php#id2016-12-08-2

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。

対象となるバージョンは以下の通りです。

- PHP 7.0.14 より前のバージョン
- PHP 5.6.29 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

【3】BSD libc にバッファオーバーフローの脆弱性

情報源

CERT/CC Vulnerability Note VU#548487
BSD libc contains a buffer overflow vulnerability in link_ntoa()
https://www.kb.cert.org/vuls/id/548487

概要

BSD libc には、バッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- BSD libc

この問題は、BSD libc を、使用している OS のベンダや配布元が提供する修
正済みのバージョンに更新することで解決します。詳細は、開発者が提供する
情報を参照してください。

【4】三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#99901500
三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールに複数の脆弱性
https://jvn.jp/vu/JVNVU99901500/

概要

三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールには、
複数の脆弱性があります。結果として、遠隔の第三者が、パスワードを取得し
たり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- QJ71E71-100 のすべてのバージョン
- QJ71E71-B5 のすべてのバージョン
- QJ71E71-B2 のすべてのバージョン

この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新し、以下の設定を行うことで解決します。

- 適切な送信元からの通信のみを許可するように IP フィルタリング機能を設定する

詳細は、三菱電機株式会社が提供する情報を参照してください。

【5】ForeScout CounterACT SecureConnector エージェントに権限昇格の脆弱性

情報源

CERT/CC Vulnerability Note VU#768331
ForeScout CounterACT SecureConnector agent is vulnerable to privilege escalation
https://www.kb.cert.org/vuls/id/768331

概要

ForeScout CounterACT SecureConnector エージェント には、権限昇格の脆弱
性があります。結果として、一般ユーザが SYSTEM 権限を取得する可能性があ
ります。

対象となる製品は以下の通りです。

- SecureConnector の Windows 向けエージェント

この問題は、SecureConnector に ForeScout Technologies Inc. が提供する
HPS Inspection Engine Plugin, version 10.4.1.1 を適用することで解決し
ます。詳細は、ForeScout Technologies Inc. が提供する情報を参照してくだ
さい。

【6】Sleipnir for Mac にアドレス表示偽装の脆弱性

情報源

Japan Vulnerability Notes JVN#28151745
Sleipnir for Mac におけるアドレス表示偽装の脆弱性
https://jvn.jp/jp/JVN28151745/

概要

Sleipnir for Mac には、アドレス表示偽装の脆弱性があります。結果として、
遠隔の第三者がアドレス表示欄の URL を偽装し、意図しないサイトに誘導す
る可能性があります。

対象となるバージョンは以下の通りです。

- Sleipnir 4 Black Edition for Mac (インストーラ版) 4.5.3 およびそれ以前
- Sleipnir 4 for Mac (Mac App Store 版) 4.5.3 およびそれ以前

この問題は、 Sleipnir for Mac をフェンリル株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、フェンリル株式会社が提供
する情報を参照してください。

【7】Android アプリ「株式会社三菱東京ＵＦＪ銀行」に SSL/TLS ダウングレード攻撃が可能となる脆弱性

情報源

Japan Vulnerability Notes JVNVU#92900492
Android アプリ「株式会社三菱東京ＵＦＪ銀行」に SSL/TLS ダウングレード攻撃が可能となる脆弱性
https://jvn.jp/vu/JVNVU92900492/

概要

Android アプリ「株式会社三菱東京ＵＦＪ銀行」には、SSL/TLS ダウングレー
ド攻撃が可能となる脆弱性があります。結果として、遠隔の第三者が、中間者
攻撃によって暗号通信を盗聴するなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Android アプリ「株式会社三菱東京ＵＦＪ銀行」 ver5.3.1
- Android アプリ「株式会社三菱東京ＵＦＪ銀行」 ver5.2.2 およびそれ以前

この問題は、Android アプリ「株式会社三菱東京ＵＦＪ銀行」を、株式会社三
菱東京ＵＦＪ銀行が提供する修正済みのバージョンに更新することで解決しま
す。詳細は、株式会社三菱東京ＵＦＪ銀行が提供する情報を参照してください。

【8】PHP FormMail Generator で作成した PHP コードに複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#494015
PHP FormMail Generator generates code with multiple vulnerabilities
https://www.kb.cert.org/vuls/id/494015

概要

PHP FormMail Generator で作成した PHP コードには、複数の脆弱性がありま
す。結果として、遠隔の第三者が、ウェブフォームの管理パネルにアクセスし
たり、任意のファイルを取得したりする可能性があります。

対象となるバージョンは以下の通りです。

- 2016年12月6日より前に PHP FormMail Generator で生成した PHP コード

この問題は、PHP コードを PHP FormMail Generator で再生成することで解決
します。詳細は、PHP Form Mail Maker が提供する情報を参照してください。

【9】IPA が「サイバーセキュリティ経営ガイドライン解説書」を公開

情報源

情報処理推進機構 (IPA)
サイバーセキュリティ経営ガイドライン解説書 Ver.1.0
https://www.ipa.go.jp/files/000056148.pdf

概要

2016年12月8日、情報処理推進機構 (IPA) は、「サイバーセキュリティ経営ガ
イドライン解説書」を公開しました。このドキュメントは、2015年12月に策定
された「サイバーセキュリティ経営ガイドライン」の実施方法を解説したもの
です。ガイドラインが示す重要 10項目について、仮想の中小企業および大企
業を例に、それぞれの検討手順や注意すべきポイントをまとめています。

■今週のひとくちメモ

○2017年1月1日に「うるう秒」を挿入

2017年1月1日に「うるう秒」が挿入されます。これは原子時計に基づく時刻と
天文時に基づく時刻とのずれを調整するためのもので、日本では国立研究開発
法人情報通信研究機構 (NICT) が、2017年1月1日午前 8時59分59秒と
9時00分00秒の間に「8時59分60秒」を挿入する予定です。
サーバの管理者は、万が一トラブルが発生した場合に備え、緊急時における連
絡体制や、ソフトウェアのアップデートが適切に実施されているかを確認して
ください。

また、Google、Akamai、Bloomberg などが運用している各 NTP サーバでは、
1秒追加という形ではなく、一定の期間クロックを遅らせるという対応を行う
とアナウンスしています。

参考文献 (日本語)

国立研究開発法人情報通信研究機構(NICT)
「うるう秒」挿入のお知らせ
https://www.nict.go.jp/press/2016/07/08-1.html

参考文献 (英語)

Google Public NTP
Leap Smear
https://developers.google.com/time/smear

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2016-12-14号

<<< JPCERT/CC WEEKLY REPORT 2016-12-14 >>>

■12/04(日)〜12/10(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○2017年1月1日に「うるう秒」を挿入

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

目　次