-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-1301 JPCERT/CC 2015-04-01 <<< JPCERT/CC WEEKLY REPORT 2015-04-01 >>> ―――――――――――――――――――――――――――――――――――――― ■03/22(日)〜03/28(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Cisco IOS および IOS XE ソフトウェアに複数の脆弱性 【2】Android OS に複数の脆弱性 【3】複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題 【4】ANTlabs 製 InnGate の複数のモデルに任意のファイルを読み書き可能な脆弱性 【5】TERASOLUNA Server Framework for Java(WEB) に脆弱性 【今週のひとくちメモ】IPA「制御システム利用者のための脆弱性対応ガイド」公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr151301.html https://www.jpcert.or.jp/wr/2015/wr151301.xml ============================================================================ 【1】Cisco IOS および IOS XE ソフトウェアに複数の脆弱性 情報源 US-CERT Current Activity Cisco Releases Semiannual IOS Software Security Advisory Bundled Publication https://www.us-cert.gov/ncas/current-activity/2015/03/26/Cisco-Releases-Semiannual-IOS-Software-Security-Advisory-Bundled 概要 Cisco IOS および IOS XE ソフトウェアには、複数の脆弱性があります。結果 として、遠隔の第三者が、任意のコードを実行するなどの可能性があります。 この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS および IOS XE ソフトウェアを更新することで解決します。詳細については、Cisco が提供する情報を参照して下さい。 関連文書 (英語) Cisco Cisco Event Response: March 2015 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_mar15.html 【2】Android OS に複数の脆弱性 情報源 US-CERT Current Activity Installer Hijacking Vulnerability in Android Devices https://www.us-cert.gov/ncas/current-activity/2015/03/24/Installer-Hijacking-Vulnerability-Android-Devices Japan Vulnerability Notes JVN#81094176 Android OS がオープンリゾルバとして機能してしまう問題 https://jvn.jp/jp/JVN81094176/ 概要 Android OS には、複数の脆弱性があります。結果として、遠隔の第三者が、 ユーザの意図しないアプリをインストールさせたり、端末を DDoS 攻撃の踏み 台に使用したりする可能性があります。 対象となるバージョンは以下の通りです。 - Android OS 4.4 より前のバージョン この問題は、Google や製品ベンダが提供する修正済みのバージョンに、 Android OS を更新することで解決します。詳細については、Google や製品ベ ンダ、携帯電話事業者が提供する情報を参照して下さい。 関連文書 (英語) paloalto networks Android Installer Hijacking Vulnerability Could Expose Android Users to Malware http://researchcenter.paloaltonetworks.com/2015/03/android-installer-hijacking-vulnerability-could-expose-android-users-to-malware/ 【3】複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題 情報源 CERT/CC Vulnerability Note VU#591120 Multiple SSL certificate authorities use email addresses as proof of domain ownership https://www.kb.cert.org/vuls/id/591120 概要 複数の認証局では、「特定のメールアドレスでのやりとりが可能であること」 のみを確認し、証明書が発行されています。これにより、ユーザにメールサー ビスを提供している場合、結果として、関連するドメインの管理とは無関係な 第三者によって SSL 証明書が取得され、HTTPS スプーフィングが行われる可 能性があります。 ユーザにメールサービスを提供している場合、以下の回避策を適用することで、 本問題の影響を軽減することが可能です。 - 認証局が証明書発行時の確認に使用されるメールアドレスを、ユーザに取得 させない - 認証局が証明書発行時の確認に使用されるメールアドレスを、すでにユーザ が取得している場合、無効にする 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92002857 複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題 https://jvn.jp/vu/JVNVU92002857/ 【4】ANTlabs 製 InnGate の複数のモデルに任意のファイルを読み書き可能な脆弱性 情報源 CERT/CC Vulnerability Note VU#930956 Multiple ANTlabs InnGate models allow unauthenticated read/write to filesystem https://www.kb.cert.org/vuls/id/930956 概要 ANTlabs 製 InnGate の複数のモデルには、脆弱性があります。結果として、 遠隔の第三者が、任意のファイルを読み取ったり、改ざんしたりする可能性が あります。 対象となる製品は以下の通りです。 - IG 3100 model 3100, model 3101 - InnGate 3.00 E-Series, 3.01 E-Series, 3.02 E-Series, 3.10 E-Series - InnGate 3.01 G-Series, 3.10 G-Series この問題は、ANTlabs が提供する修正済みのバージョンに該当する製品のファー ムウェアを更新することで解決します。また、以下の回避策を適用することで、 本脆弱性の影響を軽減することが可能です。 - 873/tcp へのアクセスを制限する 詳細については、ANTlabs が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91373232 ANTlabs 製 InnGate の複数のモデルにおいて認証なしでファイルシステムへの読書きが可能な脆弱性 https://jvn.jp/vu/JVNVU91373232/ 関連文書 (英語) ANTlabs Rsync remote file system access vulnerability CVE-2015-0932 https://www.antlabs.com/index.php?option=com_content&view=article&id=195:rsync-remote-file-system-access-vulnerability-cve-2015-0932 【5】TERASOLUNA Server Framework for Java(WEB) に脆弱性 情報源 Japan Vulnerability Notes JVN#86448949 TERASOLUNA Server Framework for Java(WEB) の Validator に入力値検査回避の脆弱性 https://jvn.jp/jp/JVN86448949/ 概要 TERASOLUNA Server Framework for Java(WEB) には、脆弱性があります。結果 として、遠隔の第三者が、入力値検査を回避する可能性があります。 対象となるバージョンは以下の通りです。 - TERASOLUNA Server Framework for Java(WEB) 2.0.0.1 から 2.0.5.2 まで この問題は、株式会社エヌ・ティ・ティ・データが提供する修正済みのバー ジョンに TERASOLUNA Server Framework for Java(WEB) を更新することで解 決します。詳細については、株式会社エヌ・ティ・ティ・データが提供する情 報を参照して下さい。 関連文書 (日本語) Sourceforge.jp TERASOLUNA Framework http://sourceforge.jp/projects/terasoluna/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA「制御システム利用者のための脆弱性対応ガイド」公開 2015年3月26日、情報処理推進機構 (IPA) は、制御システムの利用者に対して、 脆弱性対策を含むセキュリティについてどのように対応すべきかを解説した 「制御システム利用者のための脆弱性対応ガイド」を公開しました。このガイ ドでは、企業の経営層が制御システムについて考慮すべき点や、制御システム の管理者がすべき具体的な対策・運用時に注意すべき点などがまとめられてい ます。 参考文献 (日本語) 独立行政法人情報処理推進機構 (IPA) 「制御システム利用者のための脆弱性対応ガイド」や研究会報告書などを公開 https://www.ipa.go.jp/security/fy26/reports/vuln_handling/index.html 独立行政法人情報処理推進機構 (IPA) 制御システム利用者のための脆弱性対応ガイド https://www.ipa.go.jp/files/000044733.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVG0aEAAoJEDF9l6Rp7OBIl+oH/R+itJb6F4eFFg1mHjvE4zOi 3BuG8eXoHmyK+xARyuaX4mJjPh1lLLUN6GETfT9YGAJ0RAbqMdx2KWkwNTxBap64 r5BS9R1YuKGECRptN9hpB1vIs1pKt7LWMTilXIzcvC4uqRHmnoZeMZrUfZKxIwQE 00rpnKVfai1h/BjmbNeam/Hgr+m1Q70NrWdwUfRFs+mwwmQahQO6ddWBv+MP6Z49 9p3K3oMS/2Bd+H9qsO3HbdqizwOM6x4Ch1Nxlp5HkRC38Zf8JiNdqiorjzTpNfRm 4D+s3lt9db2/cSfo5lyZl3zcyjhXfu2FL/oqUVWY3oMVMzBKZZAzuRj51gFPjS0= =+38G -----END PGP SIGNATURE-----