-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-3001 JPCERT/CC 2015-08-05 <<< JPCERT/CC WEEKLY REPORT 2015-08-05 >>> ―――――――――――――――――――――――――――――――――――――― ■07/26(日)〜08/01(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 【2】Android Stagefright に複数の脆弱性 【3】Cisco ASR 1000 シリーズ ルータにサービス運用妨害 (DoS) の脆弱性 【4】複数の BIOS の実装に脆弱性 【今週のひとくちメモ】総務省が「ウェブサービスに関するID・パスワードの管理・運用実態調査結果」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr153001.html https://www.jpcert.or.jp/wr/2015/wr153001.xml ============================================================================ 【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Current Activity Internet Systems Consortium (ISC) Releases Security Updates for BIND https://www.us-cert.gov/ncas/current-activity/2015/07/28/Internet-Systems-Consortium-ISC-Releases-Security-Updates-BIND 概要 ISC BIND 9 には、脆弱性があります。結果として、遠隔の第三者が、サービ ス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.1.0 から 9.8.x まで - BIND 9.9.0 から 9.9.7-P1 まで - BIND 9.10.0 から 9.10.2-P2 まで この問題は、ISC が提供する修正済みのバージョンに BIND 9 を更新すること で解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) 株式会社日本レジストリサービス(JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月29日公開) http://jprs.jp/tech/security/2015-07-29-bind9-vuln-tkey.html 一般社団法人日本ネットワークインフォメーションセンター(JPNIC) BIND9における不正なクエリによるサーバ停止の脆弱性について(2015年7月29日) https://www.nic.ad.jp/ja/topics/2015/20150729-01.html Japan Vulnerability Notes JVNVU#91955066 ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU91955066/ JPCERT/CC Alert 2015-07-29 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-5477) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150027.html 関連文書 (英語) ISC Knowledge Base CVE-2015-5477: An error in handling TKEY queries can cause named to exit with a REQUIRE assertion failure https://kb.isc.org/article/AA-01272 【2】Android Stagefright に複数の脆弱性 情報源 US-CERT Current Activity ‘Stagefright’ Android Vulnerability https://www.us-cert.gov/ncas/current-activity/2015/07/28/%E2%80%9CStagefright%E2%80%9D-Android-Vulnerability 概要 Android Stagefright には、複数の脆弱性があります。結果として、遠隔の第 三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Android 2.2 (Froyo) から Android 5.1.1_r4 (Lollipop) まで この問題は、Google が提供する修正済みのバージョンに Android を更新する ことで解決します。また、次の回避策を適用することで、本脆弱性の影響を軽 減することが可能です。 - 見知らぬ送信者からのすべてのテキストメッセージをブロックする - マルチメディアメッセージの自動取込みを無効にする 詳細は、Google が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92141772 Android Stagefright に複数の脆弱性 https://jvn.jp/vu/JVNVU92141772/ 【3】Cisco ASR 1000 シリーズ ルータにサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2015/07/30/Cisco-Releases-Security-Updates 概要 Cisco ASR 1000 シリーズには、脆弱性があります。結果として、遠隔の第三 者が、細工したパケットを送信することで、サービス運用妨害 (DoS) 攻撃を 行う可能性があります。 対象となる製品は以下の通りです。 - Cisco ASR 1000 シリーズ この問題は、Cisco が提供する修正済みのバージョンに Cisco ASR 1000 シリー ズを更新することで解決します。詳細は、Cisco が提供する情報を参照してく ださい。 関連文書 (英語) Cisco Security Advisory Cisco ASR 1000 Series Aggregation Services Routers Fragmented Packet Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150730-asr1k 【4】複数の BIOS の実装に脆弱性 情報源 CERT/CC Vulnerability Note BIOS implementations fail to properly set UEFI write protections after waking from sleep mode https://www.kb.cert.org/vuls/id/577140 概要 複数の BIOS の実装には、脆弱性があります。結果として、システムに物理的 にアクセス可能な root 権限を持つユーザが、ファームウェアを改ざんするな どの可能性があります。 2015年8月3日現在、影響を受けることが確認されている製品の開発者は、以下 の通りです。 - Apple - Dell Computer Corporation, Inc. この問題は、開発者が提供する修正済みのバージョンにファームウェアを更新 することで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99464019 複数の BIOS 実装において、スリープモードからの復帰後に UEFI の書き込み保護が適切に設定されない問題 https://jvn.jp/vu/JVNVU99464019/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○総務省が「ウェブサービスに関するID・パスワードの管理・運用実態調査結果」を公開 2015年7月30日、総務省は「ウェブサービスに関するID・パスワードの管理・ 運用実態調査結果」を公開しました。 この調査は、金融や通販、オンラインゲームなどの業種の企業に調査の協力を 依頼し、最終的に協力を得られた28社からの回答を集計したものであり、以下 のような結果概要が述べられています。 - 約9割のサービスで3種類以上の文字種をパスワードとして利用できる - パスワードの最大桁数が12桁未満のサービスが約4分の1存在する - パスワードのハッシュ化の実施率が低い - 同一IPアドレスからのログイン試行回数制限の実施率が低い 参考文献 (日本語) 総務省 ウェブサービスに関するID・パスワードの管理・運用実態調査結果 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000099.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJVwVzoAAoJEDF9l6Rp7OBIj+IH/jKF4ErFerUO+9/VIlM+25Op EfZ9y0oYf5XiRQu4kCsDW0+zqgrUFyUZzB8OgnrdVU5bPQs5hki6PxkWeDlpKzTB UVaAvcwyUZaY8HwtS/BMD/43RhaVNIOxaOzqg3wWvAQO8+mffvLZptLN7VP/ShU8 to6nKuXEy0YFc2A7MRoxS0ADSBVSGupoBkFpzJk7vR6xlqQANjtkbycAqhADaeNm y7saKGbdA7N5kIuqnNbytbfpBm1/bPR/YQlLPLvjf3LeY2q1/JfKSGMXKV2xfs1S wTZ8hRDG1tliOg1Gd+mQ7ywBcEyUBblqQZIJBEuGKXIsB5feJUO3/FL8nOUDhLI= =uScQ -----END PGP SIGNATURE-----