-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-2001 JPCERT/CC 2015-05-27 <<< JPCERT/CC WEEKLY REPORT 2015-05-27 >>> ―――――――――――――――――――――――――――――――――――――― ■05/17(日)〜05/23(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】TLS プロトコルに弱い鍵を受け入れる問題 【2】Apple Watch OS に複数の脆弱性 【3】SXF 共通ライブラリにバッファオーバーフローの脆弱性 【4】mt-phpincgi に任意の PHP コードが実行可能な脆弱性 【5】KCodes NetUSB カーネルドライバにバッファオーバーフローの脆弱性 【6】BGA32.DLL および QBga32.DLL に複数の脆弱性 【今週のひとくちメモ】金融機関のフィッシングサイトが増加 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr152001.html https://www.jpcert.or.jp/wr/2015/wr152001.xml ============================================================================ 【1】TLS プロトコルに弱い鍵を受け入れる問題 情報源 Logjam: How Diffie-Hellman Fails in Practice The Logjam Attack https://weakdh.org/ 概要 TLS プロトコルには、弱い (512 ビット以下の) 鍵がセッション鍵として使わ れる問題があります。結果として、中間者攻撃を行う第三者が、暗号化された 情報を復号する可能性があります。 影響を受ける製品は複数あります。詳細については、各ベンダや配布元が提供 する情報を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ情報 Schannel の脆弱性により、情報漏えいが起こる (3061518) https://technet.microsoft.com/library/security/MS15-055 関連文書 (英語) OpenSSL Blog Logjam, FREAK and Upcoming Changes in OpenSSL https://www.openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/ 【2】Apple Watch OS に複数の脆弱性 情報源 Apple About the security content of Watch OS 1.0.1 https://support.apple.com/ja-jp/HT204870 概要 Apple Watch OS には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなど の可能性があります。 対象となるバージョンは以下の通りです。 - Watch OS 1.0.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Apple Watch OS を更 新することで解決します。詳細については、Apple が提供する情報を参照して ください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#93832567 Apple Watch OS に複数の脆弱性 https://jvn.jp/vu/JVNVU93832567/ 【3】SXF 共通ライブラリにバッファオーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVN#93976566 SXF 共通ライブラリにおけるバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN93976566/ 概要 SXF 共通ライブラリには、バッファオーバーフローの脆弱性があります。結果 として、遠隔の第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - SXF 共通ライブラリ Ver.3.21 およびそれ以前 この問題は、オープンCADフォーマット評議会が提供する修正済みのバージョン に SXF 共通ライブラリを更新することで解決します。詳細については、オープ ンCADフォーマット評議会が提供する情報を参照してください。 関連文書 (日本語) オープンCADフォーマット評議会 SXF共通ライブラリの脆弱性対応 http://www.ocf.or.jp/top/topix/027.shtml 【4】mt-phpincgi に任意の PHP コードが実行可能な脆弱性 情報源 Japan Vulnerability Notes JVN#64459670 mt-phpincgi において任意の PHP コードが実行可能な脆弱性 https://jvn.jp/jp/JVN64459670/ 概要 mt-phpincgi には、脆弱性があります。結果として、遠隔の第三者が、任意の PHP コードを実行する可能性があります。 対象となる製品は以下の通りです。 - mt-phpincgi この問題は、開発者が提供する修正済みのバージョンに mt-phpincgi を更新 することで解決します。詳細については、開発者が提供する情報を参照してく ださい。 関連文書 (日本語) The blog of H.Fujimoto mt-phpincgi.phpセキュリティアップデート http://www.h-fj.com/blog/archives/2015/05/15-112843.php 【5】KCodes NetUSB カーネルドライバにバッファオーバーフローの脆弱性 情報源 CERT/CC Vulnerability Note VU#177092 KCodes NetUSB kernel driver is vulnerable to buffer overflow http://www.kb.cert.org/vuls/id/177092 概要 KCodes NetUSB カーネルドライバには、バッファオーバーフローの脆弱性があ ります。結果として、第三者が、任意のコードを実行したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - KCodes が提供する NetUSB カーネルドライバを使用する製品 この問題は、使用している製品のベンダが提供する修正済みのバージョンに ファームウェアを更新することで解決します。また、以下の回避策を適用する ことで、本脆弱性の影響を軽減することが可能です。 - USB デバイスのネットワーク共有を無効にする - 20005/tcp の通信をブロックする 詳細については、使用している製品のベンダが提供する情報を参照してくださ い。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90185396 KCodes NetUSB カーネルドライバにバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU90185396/ 【6】BGA32.DLL および QBga32.DLL に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#78689801 BGA32.DLL および QBga32.DLL における複数の脆弱性 https://jvn.jp/jp/JVN78689801/ 概要 BGA32.DLL および QBga32.DLL には、複数の脆弱性があります。結果として、 遠隔の第三者が、細工したファイルをユーザに開かせることで、任意のコード を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ ります。 対象となる製品およびバージョンは以下の通りです。 - BGA32.DLL - QBga32.DLL version 0.04 およびそれ以前 BGA32.DLL は開発を終了していますので、使用を停止してください。 QBga32.DLL については、開発者が提供する修正済みのバージョンに更新するこ とで解決します。詳細については、開発者が提供する情報を参照してください。 関連文書 (日本語) kmonos.net QBga32.DLL http://www.kmonos.net/lib/qbga32.ja.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○金融機関のフィッシングサイトが増加 2015年4月21日、警察庁 @police は、「金融機関のフィッシングサイトの増加 について」を公開しました。このレポートでは、4月中旬以降、日本国内の金 融機関を騙るフィッシングサイトが増加していること、これらのフィッシング サイトでは SSL/TLS で暗号化されていないことなどが紹介されています。 また、フィッシング対策協議会からも、フィッシングに関する情報が公開され ています。あわせて参考にしてください。 参考文献 (日本語) 警察庁 @police 金融機関のフィッシングサイトの増加について https://www.npa.go.jp/cyberpolice/detect/pdf/20150421.pdf フィッシング対策協議会 フィッシングに関するニュース https://www.antiphishing.jp/news/alert/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVZQbtAAoJEDF9l6Rp7OBINSEH/jXoMfvc1VTTV7NJ9gbyIspx KKMQtBkpov5l/XBsv7iYwqYYtTpITokKEzQuhkPkmOfg41tHJcs8h/xZ7+fM3nT8 Nb48p3AUWrr+iAWuk224CoHtDpzK8+yTA8ulojIv9bsUbQFI7zQ8t5J0079StdAe u3Y8Mlm1gbD65XVdkVcqxAw/q4mtAo8a+lEWsubJW2gKoXBtuotFsM2aPiX/PjNw ZuuxjHsoF4a7DbZQNqUuIzywr7wBSFg7XpEkE22uzwWoqYVF+bTqXfHjumw1ORmy mxNPEB2N7G9VMzI9YoLShkm7jX/eLa0dHCsT3/LxElcAC7yZHj/2BediouI7FjI= =a6UX -----END PGP SIGNATURE-----