-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2015-0801
                                                                   JPCERT/CC
                                                                  2015-02-25

            <<< JPCERT/CC WEEKLY REPORT 2015-02-25 >>>

――――――――――――――――――――――――――――――――――――――
■02/15(日)〜02/21(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
【2】PHP に複数の脆弱性
【3】Komodia Redirector の SSL Digestor モジュールに問題
【今週のひとくちメモ】「地方公共団体における情報セキュリティポリシーに関するガイドライン（案）」コメント募集

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2015/wr150801.html
        https://www.jpcert.or.jp/wr/2015/wr150801.xml
============================================================================


【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

    情報源
      US-CERT Current Activity
      ISC Releases Security Updates for BIND
      https://www.us-cert.gov/ncas/current-activity/2015/02/18/ISC-Releases-Security-Updates-BIND

    概要
      ISC BIND 9 には、脆弱性があります。結果として、遠隔の第三者が、サービ
      ス運用妨害 (DoS) 攻撃を行う可能性があります。

      対象となるバージョンは以下の通りです。

      - BIND 9.7.0 から BIND 9.10.1-P1 まで

      この問題は、ISC が提供する修正済みのバージョンに ISC BIND 9 を更新する
      ことで解決します。詳細については、ISC が提供する情報を参照して下さい。

    関連文書 (日本語)
      株式会社日本レジストリサービス（JPRS）
      BIND 9.xの脆弱性（DNSサービスの停止）について（2015年2月19日公開）
      http://jprs.jp/tech/security/2015-02-19-bind9-vuln-managed-trust-anchors.html

      一般社団法人日本ネットワークインフォメーションセンター(JPNIC)
      BINDにおけるトラストアンカーの取り扱いの不具合による脆弱性について(2015年2月)
      https://www.nic.ad.jp/ja/topics/2015/20150219-01.html

      Japan Vulnerability Notes JVNVU#93982119
      ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/vu/JVNVU93982119/

    関連文書 (英語)
      ISC Knowledge Base
      CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to Crash
      https://kb.isc.org/article/AA-01235

【2】PHP に複数の脆弱性

    情報源
      PHP Group
      PHP 5.6.6 is available
      https://php.net/archive/2015.php#id2015-02-19-2

      PHP Group
      PHP 5.5.22 is available
      https://php.net/archive/2015.php#id2015-02-19-1

      PHP Group
      PHP 5.4.38 Released
      https://php.net/archive/2015.php#id2015-02-18-1

    概要
      PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
      ドを実行するなどの可能性があります。

      対象となるバージョンは以下の通りです。

      - PHP 5.6.6 より前のバージョン
      - PHP 5.5.22 より前のバージョン
      - PHP 5.4.38 より前のバージョン

      この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
      することで解決します。詳細については、開発者や配布元が提供する情報を参
      照して下さい。

    関連文書 (英語)
      PHP Group
      PHP 5 ChangeLog Version 5.6.6
      https://php.net/ChangeLog-5.php#5.6.6

      PHP Group
      PHP 5 ChangeLog Version 5.5.22
      https://php.net/ChangeLog-5.php#5.5.22

      PHP Group
      PHP 5 ChangeLog Version 5.4.38
      https://php.net/ChangeLog-5.php#5.4.38

【3】Komodia Redirector の SSL Digestor モジュールに問題

    情報源
      US-CERT Current Activity
      Lenovo Computers Vulnerable to HTTPS Spoofing
      https://www.us-cert.gov/ncas/current-activity/2015/02/20/Lenovo-Computers-Vulnerable-HTTPS-Spoofing

    概要
      Komodia Redirector の SSL Digestor モジュールには、一意でないルート CA
      証明書と秘密鍵をインストールする問題があります。結果として、遠隔の第三
      者が、中間者攻撃を行なうことによって、暗号通信を盗聴するなどの可能性が
      あります。

      対象となる製品は以下の通りです。

      - Komodia Redirector の SSL Digestor モジュールを使用するソフトウェア

      この問題は、Komodia Redirector の SSL Digestor モジュールを使用するソ
      フトウェアをアンインストールし、該当のルート CA 証明書を削除することで
      解決します。詳細については、使用している製品のベンダや配布元が提供する
      情報を参照して下さい。

    関連文書 (日本語)
      Lenovo
      Superfishのアンインストール方法
      https://support.lenovo.com/jp/ja/product_security/superfish_uninstall

      Japan Vulnerability Notes JVNVU#92865923
      Komodia Redirector がルート CA 証明書と秘密鍵をインストールする問題
      https://jvn.jp/vu/JVNVU92865923/

      Japan Vulnerability Notes JVNTA#91476059
      Superfish がインストールされた Lenovo 製 PC に HTTPS スプーフィングの脆弱性
      https://jvn.jp/ta/JVNTA91476059/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「地方公共団体における情報セキュリティポリシーに関するガイドライン（案）」コメント募集

      2015年2月18日、総務省は「地方公共団体における情報セキュリティポリシー
      に関するガイドライン（案）」および「地方公共団体における情報セキュリティ
      監査に関するガイドライン（案）」を公開し、パブリックコメントの募集を開
      始しました。

      これらのガイドライン案は、政府の情報セキュリティ政策の改定等を踏まえて
      見直しを行ったものです。パブリックコメントは 2015年3月4日まで受け付け
      ています。

    参考文献 (日本語)
      総務省
      「地方公共団体における情報セキュリティポリシーに関するガイドライン（案）」等に対する意見募集
      http://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000024.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2015 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJU7RnWAAoJEDF9l6Rp7OBIRo4H/jSlOruo/cBVtErf4n2AKmv0
jmf4ENndB6RJlaqcyUqFu+ffihsu7yNiXZTgjormPlhQulU9qIACuu85sVKnmqQT
FK7rK26YLwDAjEvj5GEkXKMYiEV6t2tePR4v/J6HJ7nxkazrDB/7OhYQ0tC2kYBd
hnGtB9/0kE2hOuaa9XmNDwCh/gCyyRiJfZQqDcUbo+LKM15/UAYJBbrRf13U8eez
rbqAhGfzWkg61kW7EkgEZogQaqq4D6HJurVUjLAOdE9vMuSHflg1LCYTjNv8o0ax
eoi9fa5UB+SPN2e5DnzvwdQFthYpUHFhOGyWrspzvSf7JG5Le5hDu+fy8H6cwyA=
=CkpK
-----END PGP SIGNATURE-----