-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-2201 JPCERT/CC 2015-06-10 <<< JPCERT/CC WEEKLY REPORT 2015-06-10 >>> ―――――――――――――――――――――――――――――――――――――― ■05/31(日)〜06/06(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】バッファロー製の複数の無線 LAN ルータに OS コマンドインジェクションの脆弱性 【2】McAfee ePolicy Orchestrator に SSL/TLS 証明書を適切に検証しない脆弱性 【3】NetFlow Analyzer に複数の脆弱性 【4】F21 製 JWT にトークンの署名検証回避の脆弱性 【5】RSA Conference Asia Pacific & Japan 2015 開催 【今週のひとくちメモ】産業制御システムで使用される PLC の脆弱性を標的としたアクセスを観測 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr152201.html https://www.jpcert.or.jp/wr/2015/wr152201.xml ============================================================================ 【1】バッファロー製の複数の無線 LAN ルータに OS コマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#50447904 バッファロー製の複数の無線 LAN ルータにおける OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN50447904/ 概要 バッファロー製の複数の無線 LAN ルータには、OS コマンドインジェクション の脆弱性があります。結果として、管理画面にログイン可能なユーザが、任意 のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - WHR-1166DHP ファームウェア Ver.1.60 およびそれ以前 - WSR-600DHP ファームウェア Ver.1.60 およびそれ以前 - WHR-600D ファームウェア Ver.1.60 およびそれ以前 - WHR-300HP2 ファームウェア Ver.1.60 およびそれ以前 - WMR-300 ファームウェア Ver.1.60 およびそれ以前 - WEX-300 ファームウェア Ver.1.60 およびそれ以前 - BHR-4GRV2 ファームウェア Ver.1.04 およびそれ以前 この問題は、株式会社バッファローが提供する修正済みのバージョンに該当す る製品のファームウェアを更新することで解決します。詳細については、株式 会社バッファローが提供する情報を参照してください。 関連文書 (日本語) 株式会社バッファロー 一部のネットワーク製品におけるOSコマンドインジェクションの脆弱性 http://buffalo.jp/support_s/s20150202.html 【2】McAfee ePolicy Orchestrator に SSL/TLS 証明書を適切に検証しない脆弱性 情報源 CERT/CC Vulnerability Note VU#264092 McAfee ePolicy Orchestrator fails to properly validate SSL/TLS certificates http://www.kb.cert.org/vuls/id/264092 概要 McAfee ePolicy Orchestrator には、SSL/TLS 証明書を適切に検証しない脆弱 性があります。結果として、遠隔の第三者が、中間者攻撃を行うことによって、 暗号通信を盗聴するなどの可能性があります。 対象となるバージョンは以下の通りです。 - McAfee ePolicy Orchestrator 4.6.8 およびそれ以前 - McAfee ePolicy Orchestrator 5.1.1 およびそれ以前 この問題は、McAfee が提供する修正済みのバージョンに ePolicy Orchestrator を更新することで解決します。詳細については、McAfee が提供する情報を参照 してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98454141 McAfee ePolicy Orchestrator が SSL/TLS 証明書を適切に検証しない脆弱性 https://jvn.jp/vu/JVNVU98454141/ 【3】NetFlow Analyzer に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#79284156 NetFlow Analyzer におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN79284156/ Japan Vulnerability Notes JVN#25598413 NetFlow Analyzer におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN25598413/ Japan Vulnerability Notes JVN#98447310 NetFlow Analyzer におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN98447310/ 概要 NetFlow Analyzer には、複数の脆弱性があります。結果として、遠隔の第三者 が、本来、管理者権限でしか閲覧できない情報を閲覧したり、ユーザのブラウ ザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - NetFlow Analyzer build 10250 およびそれ以前 この問題は、開発者が提供するパッチを NetFlow Analyzer に適用することで 解決します。なお、このパッチを適用するには NetFlow Analyzer build 10250 である必要があります。詳細については、開発者が提供する情報を参照してく ださい。 関連文書 (英語) Zoho Corporation Vulnerability fix for (fails to restrict access permissions, cross-site scripting, cross-site request forgery) over build 10250 https://support.zoho.com/portal/manageengine/helpcenter/articles/vulnerability-fix-for-fails-to-restrict-access-permissions-cross-site-scripting-cross-site-request-forgery-over-build-10250 【4】F21 製 JWT にトークンの署名検証回避の脆弱性 情報源 Japan Vulnerability Notes JVN#06120222 F21 製 JWT におけるトークンの署名検証回避の脆弱性 https://jvn.jp/jp/JVN06120222/ 概要 F21 製 JWT には、トークンの署名検証回避の脆弱性があります。結果として、 遠隔の第三者が、細工したトークンデータにより、署名検証を回避する可能性 があります。 対象となる製品およびバージョンは以下の通りです。 - JWT 2.0 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに JWT を更新することで 解決します。詳細については、開発者が提供する情報を参照してください。 関連文書 (英語) GitHub F21/jwt https://github.com/F21/jwt 【5】RSA Conference Asia Pacific & Japan 2015 開催 情報源 RSA Conference RSA Conference Asia Pacific & Japan 2015 http://www.rsaconference.com/events/ap15 概要 2015年7月22日(水) から 24日(金) にかけて、シンガポールの Marina Bay Sands において RSA Conference Asia Pacific & Japan 2015 が開催され ます。JPCERT/CC は、本カンファレンスを後援しています。 関連文書 (英語) RSA Conference Blogs Regionally Focused Security Lessons on Tap at RSA Conference APJ http://www.rsaconference.com/blogs/regionally-focused-security-lessons-on-tap-at-rsa-conference-apj ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○産業制御システムで使用される PLC の脆弱性を標的としたアクセスを観測 警察庁 @police は、2015年5月26日に「産業制御システムで使用される PLC の脆弱性を標的としたアクセスの観測について」、2015年6月5日に「産業制御 システムで使用される PLC の脆弱性を標的としたアクセスの観測について (第2報)」を公開しました。 これらのレポートでは、2014年12月に発見された、産業制御システムで使用さ れる特定の PLC (Programmable Logic Controller の略) のソフトウェアの脆 弱性を標的としたアクセスが、5月以降増加していることが紹介されており、 警察庁が注意を呼びかけています。 なお、JPCERT/CC では、制御システムセキュリティに関する資料を公開してい ます。こちらもあわせて参考にしてください。 参考文献 (日本語) 警察庁 @police 産業制御システムで使用される PLC の脆弱性を標的としたアクセスの観測について https://www.npa.go.jp/cyberpolice/detect/pdf/20150526.pdf 警察庁 @police 産業制御システムで使用される PLC の脆弱性を標的としたアクセスの観測について(第2報) https://www.npa.go.jp/cyberpolice/detect/pdf/20150605.pdf JPCERT/CC 制御システムセキュリティとは https://www.jpcert.or.jp/ics/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVd3reAAoJEDF9l6Rp7OBIYdwIAKI5dHj8hJ5Ai7OnagsJDFNd cV9dvb3QTKJM25Asvu53uOoTiGsSLNsOMtOiBuGzQE6i8m4yPuMfl8XKjlbOlZ6U NjNXxHVTUpFGDLJ0Nx9qGyxz4nX7OWitmXzIjrb0JAD3QuRIhCp0d573wS66KRLB Erqt6ITjOF/5tiv0wPltvLqKuAPNYJx5iGWHuw3NW16VzQZaGfyfLc+EAZ4vOwkQ xE61zisOuvggMb3kBA6+e5CG6yhcJDhwsiQvZNOHkwTfV82Qlh5v3TyTzU2+8Qlb LhactQToBuEtEKd96zpWvH2j0ngUf/5t5RJzgrJ30vRAOmas6lb+bJRwWyN/R40= =Rx+M -----END PGP SIGNATURE-----