-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-0201 JPCERT/CC 2014-01-16 <<< JPCERT/CC WEEKLY REPORT 2014-01-16 >>> ―――――――――――――――――――――――――――――――――――――― ■01/05(日)〜01/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】NTP サーバ実装の管理機能に DDoS 攻撃の踏み台として使用される問題 【2】libpng に脆弱性 【3】Synology DiskStation Manager にアクセス制御不備の脆弱性 【4】QNAP QTS にディレクトリトラバーサルの脆弱性 【5】Atmail Webmail Server に複数の脆弱性 【今週のひとくちメモ】NTP サーバのアクセス制限機能を活用しましょう ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr140201.html https://www.jpcert.or.jp/wr/2014/wr140201.xml ============================================================================ 【1】NTP サーバ実装の管理機能に DDoS 攻撃の踏み台として使用される問題 情報源 CERT/CC Vulnerability Note VU#348126 NTP can be abused to amplify denial-of-service attack traffic http://www.kb.cert.org/vuls/id/348126 概要 NTP サーバを実装するソフトウエアの一部には、リクエストに対して非常に大 きなレスポンスを返す可能性のある管理機能が存在します。結果として、遠隔 の第三者が、他のサイトに対するサービス運用妨害 (DoS) 攻撃の踏み台として 使用する可能性があります。 問題が確認されている製品およびバージョンは以下の通りです。 - NTP プロジェクトの ntpd 4.2.7p26 より前のバージョン - NTP プロジェクトの ntpd 4.2.6p5 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、開発者が提供する情報を参照して下さ い。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96176042 NTP が DDoS 攻撃の踏み台として使用される問題 https://jvn.jp/cert/JVNVU96176042/index.html 関連文書 (英語) NTP project Security Notice DRDoS / Amplification Attack using ntpdc monlist command http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using 【2】libpng に脆弱性 情報源 CERT/CC Vulnerability Note VU#650142 libpng 1.6.1 through 1.6.7 contain a null-pointer dereference vulnerability http://www.kb.cert.org/vuls/id/650142 概要 libpng には、脆弱性があります。結果として、遠隔の第三者が、任意のコード を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - libpng バージョン 1.6.1 から 1.6.7 まで この問題は、PNG Development Group が提供する修正済みのバージョンに libpng を更新することで解決します。詳細については、PNG Development Group が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98780668 libpng に NULL ポインタ参照の脆弱性 https://jvn.jp/cert/JVNVU98780668/index.html 【3】Synology DiskStation Manager にアクセス制御不備の脆弱性 情報源 CERT/CC Vulnerability Note VU#615910 Synology DiskStation Manager arbitrary file modification http://www.kb.cert.org/vuls/id/615910 概要 Synology DiskStation Manager には、アクセス制御不備の脆弱性があります。 結果として、遠隔の第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Synology DiskStation Manager 4.3-3776-3 およびそれ以前 この問題は、Synology が提供する修正済みのバージョンに DiskStation Manager を更新することで解決します。詳細については、Synology が提供す る情報を参照して下さい。 関連文書 (日本語) Synology ダウンロードセンター http://www.synology.com/ja-jp/support/download Japan Vulnerability Notes JVNVU#95919136 Synology DiskStation Manager にアクセス制御不備の脆弱性 https://jvn.jp/cert/JVNVU95919136/index.html 【4】QNAP QTS にディレクトリトラバーサルの脆弱性 情報源 CERT/CC Vulnerability Note VU#487078 QNAP QTS path traversal vulnerability http://www.kb.cert.org/vuls/id/487078 概要 QNAP QTS には、ディレクトリトラバーサルの脆弱性があります。結果として、 遠隔の第三者が、サーバ上の任意のファイルにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - QNAP QTS 4.0.3 およびそれ以前 この問題は、QNAP Systems が提供する修正済みのバージョンに QNAP QTS を 更新することで解決します。詳細については、QNAP Systems が提供する情報 を参照して下さい。 関連文書 (日本語) QNAP Systems, Inc. ダウンロードセンター http://www.qnap.com/v3/jp/product_x_down/ Japan Vulnerability Notes JVNVU#95681821 QNAP QTS にディレクトリトラバーサルの脆弱性 https://jvn.jp/cert/JVNVU95681821/index.html 【5】Atmail Webmail Server に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#204950 Atmail Webmail Server version 7.1.3 contains cross-site scripting (XSS) and cross-site request forgery (CSRF) vulnerabilities http://www.kb.cert.org/vuls/id/204950 概要 Atmail Webmail Server には、複数の脆弱性があります。結果として、遠隔の 第三者が、ユーザの権限で操作を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Atmail Webmail Server 7.2 より前のバージョン この問題は、Atmail が提供する修正済みのバージョンに Atmail Webmail Server を更新することで解決します。詳細については、Atmail が提供する情 報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90707877 Atmail Webmail Server に複数の脆弱性 https://jvn.jp/cert/JVNVU90707877/index.html 関連文書 (英語) Atmail ChangeLog http://atmail.com/changelog/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NTP サーバのアクセス制限機能を活用しましょう 今週のセキュリティ関連情報としてとりあげていますが、NTP サーバの管理機 能がサービス運用妨害 (DoS) 攻撃に使われる可能性のあることが指摘されてい ます。また、実際に NTP サーバを使った DDoS 攻撃が行われていることが報告 されています。自社のネットワーク環境で NTP サーバを立ち上げている場合、 外部の第三者による DDoS 攻撃に使われることのないよう、NTP サーバへのア クセスを必要最小限の範囲に設定することをおすすめします。 NTP プロジェクトが提供する ntpd には、アクセスを制限する機能が実装され ています。ネットワーク経由で ntpd の管理機能を使用する必要がある場合、 ネットワーク機器によるアクセス制限とあわせて、ntpd のアクセス制限機能も 活用することをおすすめします。 参考文献 (英語) NTP project Access Control Commands and Options http://www.eecis.udel.edu/~mills/ntp/html/accopt.html Team Cymru Secure NTP Template http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJS1y5sAAoJEDF9l6Rp7OBImRAIAJ2F0MN9Toxx2R02LKx6HtBv 5pEuZxB4AVdZLqtl0kkFOKiaJnhFauJhoXZB7vqmc+kBKwN45EGECYpfX4R7B9ZD paESHf1MvqR/gkyjosUCCMoXLf0qxf2/vJS85Ta39OwU10GhRsYnopXl1GWt+DTz M6qljET0Z/n75KdEvkLvi+JybvFUwvMcLYFWmFFicC3WCM2SrcbKxLiKkb4SnPfP MMbgVu9F6EbcoBmguqNOzfVWHLC+rcgH6hxm+JkHgCZkd4PWIaZPu4A48u0bHIcH mwTWPaQgaJsxPgVTxEJkiKtmXKCufYScjqKZlTVM3SsP8bI9AzlnEV8AiCQ2/Eg= =Lh4w -----END PGP SIGNATURE-----