<<< JPCERT/CC WEEKLY REPORT 2012-01-12 >>>
■12/25(日)〜01/07(土) のセキュリティ関連情報
目 次
【1】多くの Web アプリケーションで使用されるプログラミング言語に脆弱性
【2】Wi-Fi Protected Setup (WPS) に脆弱性
【3】OpenSSL に複数の脆弱性
【4】MIT Kerberos 5 Telnet にバッファオーバーフローの脆弱性
【5】Apache Struts に複数の脆弱性
【6】Google Chrome に脆弱性
【今週のひとくちメモ】各国 CSIRT の定期レポート
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr120101.txt
https://www.jpcert.or.jp/wr/2012/wr120101.xml
【1】多くの Web アプリケーションで使用されるプログラミング言語に脆弱性
情報源
US-CERT Vulnerability Note VU#903934
Hash table implementations vulnerable to algorithmic complexity attacks
http://www.kb.cert.org/vuls/id/903934US-CERT Current Activity Archive
Multiple Programming Language Implementations Vulnerable to Hash Table Collision Attacks
http://www.us-cert.gov/current/archive/2012/01/06/archive.html#multiple_vendors_vulnerable_to_hash
概要
多くの Web アプリケーションで使用されるプログラミング言語のハッシュ テーブル処理に関する攻撃手法が公開されました。この手法を用いて、 遠隔の第三者が同一のハッシュ値となる入力を大量に処理させることで、 サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - Apache Tomcat - Ruby - Microsoft .NET Framework - PHP 他の製品も影響を受ける可能性があります。 この問題は、各ベンダや配布元が提供する修正済みのバージョンに、該 当する製品を更新することで解決します。詳細については、各ベンダや 配布元が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト セキュリティ情報 MS11-100 - 緊急
.NET Framework の脆弱性により、特権が昇格される (2638420)
https://technet.microsoft.com/ja-jp/security/bulletin/MS11-100マイクロソフト セキュリティ アドバイザリ (2659883)
ASP.NET の脆弱性により、サービス拒否が起こる
http://technet.microsoft.com/ja-jp/security/advisory/2659883TechNet Blogs > 日本のセキュリティチーム
Web アプリケーションがサービス拒否となる脆弱性に関するアドバイザリ 2659883 を公開
http://blogs.technet.com/b/jpsecurity/archive/2011/12/29/3473179.aspx独立行政法人 情報処理推進機構 セキュリティセンター
PHP, Tomcat などを利用して開発されたウェブアプリケーションにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2011-4885等)
http://www.ipa.go.jp/security/ciadr/vul/20120106-web.html@police
マイクロソフト社のセキュリティ修正プログラムについて(MS11-100)
https://www.npa.go.jp/cyberpolice/topics/?seq=8302Japan Vulnerability Notes JVNVU#903934
ハッシュ関数を使用しているウェブアプリケーションにサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU903934/index.htmlJPCERT/CC Alert 2012-01-04 JPCERT-AT-2012-0001
Microsoft .NET Framework の複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120001.html
関連文書 (英語)
Microsoft Security Research & Defense
More information about the December 2011 ASP.Net vulnerability
http://blogs.technet.com/b/srd/archive/2011/12/27/more-information-about-the-december-2011-asp-net-vulnerability.aspxMicrosoft Security Research & Defense
ASP.NET security update is live!
http://blogs.technet.com/b/srd/archive/2011/12/29/asp-net-security-update-is-live.aspxApache Tomcat 7 Changelog
Tomcat 7.0.23 (markt)
http://tomcat.apache.org/tomcat-7.0-doc/changelog.htmlRuby
Denial of service attack was found for Ruby's Hash algorithm (CVE-2011-4815)
http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm-cve-2011-4815/The PHP Group
PHP 5.4.0 RC4 released
http://www.php.net/archive/2011.php#id2011-12-25-1
【2】Wi-Fi Protected Setup (WPS) に脆弱性
情報源
US-CERT Technical Cyber Security Alert TA12-006A
Wi-Fi Protected Setup (WPS) Vulnerable to Brute-Force Attack
http://www.us-cert.gov/cas/techalerts/TA12-006A.htmlUS-CERT Cyber Security Alert SA12-006A
Wi-Fi Protected Setup (WPS) Vulnerable to Brute-Force Attack
http://www.us-cert.gov/cas/alerts/SA12-006A.html
概要
Wi-Fi Protected Setup (WPS) の PIN 認証の仕様には、ブルートフォー ス攻撃が容易になる脆弱性があります。結果として、該当機器の無線 LAN 到達範囲にいる第三者が、無線 LAN の設定情報を取得し、通信内容 を傍受したり、さらなる攻撃の足がかりにしたりする可能性があります。 対象となる製品は多岐にわたります。 2012年1月11日現在、この問題に対する解決策は提供されていません。回 避策としては、対象製品にて、WPS を無効にするなどの方法があります。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#723755
Wi-Fi Protected Setup に脆弱性
https://jvn.jp/cert/JVNVU723755/index.html
関連文書 (英語)
US-CERT Vulnerability Note VU#723755
WiFi Protected Setup (WPS) PIN brute force vulnerability
http://www.kb.cert.org/vuls/id/723755
【3】OpenSSL に複数の脆弱性
情報源
JC3-CIRC Technical Bulletin U-076
OpenSSL Bugs Let Remote Users Deny Service, Obtain Information, and Potentially Execute Arbitrary Code
http://circ.jc3.doe.gov/bulletins/u-076.shtml
概要
OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.0.0f より前のバージョン - OpenSSL 0.9.8s より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに OpenSSL を更新することで解決します。
関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [04 Jan 2012]
http://www.openssl.org/news/secadv_20120104.txt
【4】MIT Kerberos 5 Telnet にバッファオーバーフローの脆弱性
情報源
JC3-CIRC Technical Bulletin U-069
Telnet code execution vulnerability: FreeBSD and Kerberos
http://circ.jc3.doe.gov/bulletins/u-069.shtmlJC3-CIRC Technical Bulletin U-070
Redhat krb5 Critical Security Update
http://circ.jc3.doe.gov/bulletins/u-070.shtml
概要
MIT Kerberos 5 Telnet には、バッファオーバーフローの脆弱性があり ます。結果として、遠隔の第三者が細工したデータを処理させることで 任意のコードを実行する可能性があります。なお、本脆弱性を使用した 攻撃コードが公開されています。 対象となる製品およびバージョンは以下の通りです。 - krb5-1.8 およびそれ以前の krb5 telnet デーモンおよびクライアント - krb5-1.0.3 およびそれ以前の krb5-appl telnet デーモンおよびク ライアント この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに MIT Kerberos 5 Telnet を更新することで解決します。 詳細については、各ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Debian セキュリティ勧告
DSA-2372-1 heimdal -- バッファオーバフロー
http://www.debian.org/security/2011/dsa-2372.ja.htmlDebian セキュリティ勧告
DSA-2373-1 inetutils -- バッファオーバフロー
http://www.debian.org/security/2011/dsa-2373.ja.htmlDebian セキュリティ勧告
DSA-2375-1 krb5, krb5-appl -- バッファオーバフロー
http://www.debian.org/security/2011/dsa-2375.ja.html
関連文書 (英語)
MIT krb5 Security Advisory 2011-006 MITKRB5-SA-2011-008
buffer overflow in telnet daemon and client
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2011-008.txtRed Hat Security Advisory RHSA-2011:1851-2
Critical: krb5 security update
https://rhn.redhat.com/errata/RHSA-2011-1851.htmlRed Hat Security Advisory RHSA-2011:1852-2
Critical: krb5-appl security update
https://rhn.redhat.com/errata/RHSA-2011-1852.htmlRed Hat Security Advisory RHSA-2011:1854-1
Critical: krb5-appl security update
https://rhn.redhat.com/errata/RHSA-2011-1854.htmlThe FreeBSD Project Security Advisory FreeBSD-SA-11:08.telnetd
telnetd code execution vulnerability
http://security.freebsd.org/advisories/FreeBSD-SA-11:08.telnetd.asc
【5】Apache Struts に複数の脆弱性
情報源
JC3-CIRC Technical Bulletin U-075
Apache Struts Bug Lets Remote Users Overwrite Files and Execute Arbitrary Code
http://circ.jc3.doe.gov/bulletins/u-075.shtml
概要
Apache Struts には、複数の脆弱性があります。結果として、遠隔の第 三者が Apache Struts を実行しているサーバ上で任意の Java コードを 実行する可能性があります。 対象となるバージョンは以下の通りです。 - Apache Struts 2.1.0 から 2.3.1 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Apache Struts を更新することで解決します。詳細につ いては、各ベンダや配布元が提供する情報を参照してください。
関連文書 (英語)
Apache Struts 2 Documentation
Security Bulletins S2-008
https://cwiki.apache.org/confluence/display/WW/S2-008Apache Software Foundation
Download a Release Struts 2.3.1.1
http://struts.apache.org/download.cgi#struts2311
【6】Google Chrome に脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 16.0.912.75
http://www.us-cert.gov/current/archive/2012/01/06/archive.html#google_releases_chrome_16_01
概要
Google Chrome には脆弱性があります。対象となるバージョンは以下の 通りです。 - Google Chrome 16.0.912.75 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Channel Update
http://www.googlechromereleases.blogspot.com/2012/01/stable-channel-update.html
■今週のひとくちメモ
○各国 CSIRT の定期レポート
National CSIRT のいくつかは JPCERT/CC Weekly Report と同様、定期 的にレポートを一般公開しています。 これらの情報は、マルウエアの流行やポートスキャンの動向、どのよう なトピックが重要視されているのかなど、国・地域ごとの特性や違いを 確認する一助となります。 情報収集の参考にしてください。
参考文献 (英語)
CNCERT/CC: Weekly Report of CNCERT
http://www.cert.org.cn/english_web/documents.htmUS-CERT: Cyber Security Bulletins
http://www.us-cert.gov/cas/bulletins/Q-CERT
http://www.qcert.org/Q-CERT Twitter
http://twitter.com/QatarCERTMonthly reports on JANET CSIRT activity
http://www.webarchive.ja.net/csirt/stats/Industrial Control Systems Cyber Emergency Response Team
http://www.us-cert.gov/control_systems/ics-cert/archive.html#monthlymonitor
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/