JPCERT-WR-2015-2201
2015-06-10
2015-05-31
2015-06-06
バッファロー製の複数の無線 LAN ルータに OS コマンドインジェクションの脆弱性
Japan Vulnerability Notes JVN#50447904
バッファロー製の複数の無線 LAN ルータにおける OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN50447904/
バッファロー製の複数の無線 LAN ルータには、OS コマンドインジェクション
の脆弱性があります。結果として、管理画面にログイン可能なユーザが、任意
のコードを実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- WHR-1166DHP ファームウェア Ver.1.60 およびそれ以前
- WSR-600DHP ファームウェア Ver.1.60 およびそれ以前
- WHR-600D ファームウェア Ver.1.60 およびそれ以前
- WHR-300HP2 ファームウェア Ver.1.60 およびそれ以前
- WMR-300 ファームウェア Ver.1.60 およびそれ以前
- WEX-300 ファームウェア Ver.1.60 およびそれ以前
- BHR-4GRV2 ファームウェア Ver.1.04 およびそれ以前
この問題は、株式会社バッファローが提供する修正済みのバージョンに該当す
る製品のファームウェアを更新することで解決します。詳細については、株式
会社バッファローが提供する情報を参照してください。
株式会社バッファロー
一部のネットワーク製品におけるOSコマンドインジェクションの脆弱性
http://buffalo.jp/support_s/s20150202.html
McAfee ePolicy Orchestrator に SSL/TLS 証明書を適切に検証しない脆弱性
CERT/CC Vulnerability Note VU#264092
McAfee ePolicy Orchestrator fails to properly validate SSL/TLS certificates
http://www.kb.cert.org/vuls/id/264092
McAfee ePolicy Orchestrator には、SSL/TLS 証明書を適切に検証しない脆弱
性があります。結果として、遠隔の第三者が、中間者攻撃を行うことによって、
暗号通信を盗聴するなどの可能性があります。
対象となるバージョンは以下の通りです。
- McAfee ePolicy Orchestrator 4.6.8 およびそれ以前
- McAfee ePolicy Orchestrator 5.1.1 およびそれ以前
この問題は、McAfee が提供する修正済みのバージョンに ePolicy Orchestrator
を更新することで解決します。詳細については、McAfee が提供する情報を参照
してください。
Japan Vulnerability Notes JVNVU#98454141
McAfee ePolicy Orchestrator が SSL/TLS 証明書を適切に検証しない脆弱性
https://jvn.jp/vu/JVNVU98454141/
NetFlow Analyzer に複数の脆弱性
Japan Vulnerability Notes JVN#79284156
NetFlow Analyzer におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN79284156/
Japan Vulnerability Notes JVN#25598413
NetFlow Analyzer におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN25598413/
Japan Vulnerability Notes JVN#98447310
NetFlow Analyzer におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN98447310/
NetFlow Analyzer には、複数の脆弱性があります。結果として、遠隔の第三者
が、本来、管理者権限でしか閲覧できない情報を閲覧したり、ユーザのブラウ
ザ上で任意のスクリプトを実行したりするなどの可能性があります。
対象となるバージョンは以下の通りです。
- NetFlow Analyzer build 10250 およびそれ以前
この問題は、開発者が提供するパッチを NetFlow Analyzer に適用することで
解決します。なお、このパッチを適用するには NetFlow Analyzer build 10250
である必要があります。詳細については、開発者が提供する情報を参照してく
ださい。
Zoho Corporation
Vulnerability fix for (fails to restrict access permissions, cross-site scripting, cross-site request forgery) over build 10250
https://support.zoho.com/portal/manageengine/helpcenter/articles/vulnerability-fix-for-fails-to-restrict-access-permissions-cross-site-scripting-cross-site-request-forgery-over-build-10250
F21 製 JWT にトークンの署名検証回避の脆弱性
Japan Vulnerability Notes JVN#06120222
F21 製 JWT におけるトークンの署名検証回避の脆弱性
https://jvn.jp/jp/JVN06120222/
F21 製 JWT には、トークンの署名検証回避の脆弱性があります。結果として、
遠隔の第三者が、細工したトークンデータにより、署名検証を回避する可能性
があります。
対象となる製品およびバージョンは以下の通りです。
- JWT 2.0 より前のバージョン
この問題は、開発者が提供する修正済みのバージョンに JWT を更新することで
解決します。詳細については、開発者が提供する情報を参照してください。
GitHub
F21/jwt
https://github.com/F21/jwt
RSA Conference Asia Pacific & Japan 2015 開催
RSA Conference
RSA Conference Asia Pacific & Japan 2015
http://www.rsaconference.com/events/ap15
2015年7月22日(水) から 24日(金) にかけて、シンガポールの Marina Bay
Sands において RSA Conference Asia Pacific & Japan 2015 が開催され
ます。JPCERT/CC は、本カンファレンスを後援しています。
RSA Conference Blogs
Regionally Focused Security Lessons on Tap at RSA Conference APJ
http://www.rsaconference.com/blogs/regionally-focused-security-lessons-on-tap-at-rsa-conference-apj
産業制御システムで使用される PLC の脆弱性を標的としたアクセスを観測
警察庁 @police は、2015年5月26日に「産業制御システムで使用される PLC
の脆弱性を標的としたアクセスの観測について」、2015年6月5日に「産業制御
システムで使用される PLC の脆弱性を標的としたアクセスの観測について
(第2報)」を公開しました。
これらのレポートでは、2014年12月に発見された、産業制御システムで使用さ
れる特定の PLC (Programmable Logic Controller の略) のソフトウェアの脆
弱性を標的としたアクセスが、5月以降増加していることが紹介されており、
警察庁が注意を呼びかけています。
なお、JPCERT/CC では、制御システムセキュリティに関する資料を公開してい
ます。こちらもあわせて参考にしてください。
警察庁 @police
産業制御システムで使用される PLC の脆弱性を標的としたアクセスの観測について
https://www.npa.go.jp/cyberpolice/detect/pdf/20150526.pdf
警察庁 @police
産業制御システムで使用される PLC の脆弱性を標的としたアクセスの観測について(第2報)
https://www.npa.go.jp/cyberpolice/detect/pdf/20150605.pdf
JPCERT/CC
制御システムセキュリティとは
https://www.jpcert.or.jp/ics/