-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-1001 JPCERT/CC 2016-03-09 <<< JPCERT/CC WEEKLY REPORT 2016-03-09 >>> ―――――――――――――――――――――――――――――――――――――― ■02/28(日)〜03/05(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】OpenSSL に複数の脆弱性 【2】PHP に複数の脆弱性 【3】複数の Cisco 製品に脆弱性 【4】コレガ製の複数の無線 LAN ルータにクロスサイトリクエストフォージェリの脆弱性 【5】コンテンツデリバリネットワーク (CDN) に対するサービス運用妨害 (DoS) の問題 (Forwarding Loop 攻撃) 【今週のひとくちメモ】経済産業省が「情報セキュリティ管理基準(平成28年改正版)」公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr161001.html https://www.jpcert.or.jp/wr/2016/wr161001.xml ============================================================================ 【1】OpenSSL に複数の脆弱性 情報源 US-CERT Current Activity OpenSSL Releases Security Advisory https://www.us-cert.gov/ncas/current-activity/2016/03/01/OpenSSL-Releases-Security-Advisory 概要 OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、暗号 通信を解読したり、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があり ます。 対象となるバージョンは以下の通りです。 - OpenSSL 1.0.2g より前の 1.0.2 系 - OpenSSL 1.0.1s より前の 1.0.1 系 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン に OpenSSL を更新することで解決します。詳細は、開発者が提供する情報を 参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90617353 SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃) https://jvn.jp/vu/JVNVU90617353/ JPCERT/CC Alert 2016-03-02 OpenSSL の複数の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160010.html 関連文書 (英語) OpenSSL OpenSSL Security Advisory [1st March 2016] https://www.openssl.org/news/secadv/20160301.txt US-CERT Current Activity SSLv2 DROWN Attack https://www.us-cert.gov/ncas/current-activity/2016/03/01/SSLv2-DROWN-Attack 【2】PHP に複数の脆弱性 情報源 PHP Group PHP 7.0.4 Released https://secure.php.net/archive/2016.php#id2016-03-03-1 PHP Group PHP 5.6.19 is available https://secure.php.net/archive/2016.php#id2016-03-03-3 PHP Group PHP 5.5.33 is available https://secure.php.net/archive/2016.php#id2016-03-03-2 概要 PHP には、複数の脆弱性があります。結果として、第三者が、任意のコードを 実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ ります。 対象となるバージョンは以下の通りです。 - PHP 7.0.4 より前のバージョン - PHP 5.6.19 より前のバージョン - PHP 5.5.33 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細は、開発者や配布元が提供する情報を参照してく ださい。 関連文書 (英語) PHP Group PHP 7 ChangeLog Version 7.0.4 https://secure.php.net/ChangeLog-7.php#7.0.4 PHP Group PHP 5 ChangeLog Version 5.6.19 https://secure.php.net/ChangeLog-5.php#5.6.19 PHP Group PHP 5 ChangeLog Version 5.5.33 https://secure.php.net/ChangeLog-5.php#5.5.33 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/03/02/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco NX-OS 6.0(2)U6(1) から 6.0(2)U6(5) が稼働している Cisco Nexus 3000 シリーズスイッチ - Cisco NX-OS 6.0(2)A6(1) から 6.0(2)A7(1) が稼働している Cisco Nexus 3500 プラットフォームスイッチ - Cisco NX-OS 7.1(1)N1(1) が稼働している Cisco Nexus 5500 プラットフォームスイッチ - Cisco NX-OS 7.1(1)N1(1) が稼働している Cisco Nexus 5600 プラットフォームスイッチ - Cisco NX-OS 7.1(1)N1(1) が稼働している Cisco Nexus 6000 シリーズスイッチ - Cisco Nexus 1000V シリーズスイッチ - Cisco Nexus 3000 シリーズスイッチ - Cisco Nexus 4000 シリーズスイッチ - Cisco Nexus 5000 シリーズスイッチ - Cisco Nexus 6000 シリーズスイッチ - Cisco Nexus 7000 シリーズスイッチ - Cisco NX-OS Software が稼働している Cisco Unified Computing System (UCS) - AsyncOS 8.5.3-051 より前のバージョンが稼働している Cisco Web Security Appliance (WSA) - AsyncOS 9.0.0-485 より前のバージョンが稼働している Cisco Web Security Appliance (WSA) この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Nexus 3000 Series and 3500 Platform Switches Insecure Default Credentials Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160302-n3k Cisco Security Advisory Cisco NX-OS Software TCP Netstack Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160302-netstack Cisco Security Advisory Cisco Web Security Appliance HTTPS Packet Processing Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160302-wsa Cisco Security Advisory Cisco NX-OS Software SNMP Packet Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160302-n5ksnmp 【4】コレガ製の複数の無線 LAN ルータにクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#59349382 コレガ製の複数の無線 LAN ルータにおけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN59349382/ 概要 コレガ製の複数の無線 LAN ルータには、クロスサイトリクエストフォージェリ の脆弱性があります。結果として、遠隔の第三者が、ウェブ管理画面にログイン した状態のユーザに細工したページを開かせることで、ユーザの意図しない操 作をする可能性があります。 対象となる製品は以下の通りです。 - CG-WLBARGMH - CG-WLBARGNL 2016年3月8日現在、対策済みのバージョンは公開されていません。以下の回避 策を適用することで、本脆弱性の影響を軽減することが可能です。 - ウェブ管理画面にログインしている間、他のウェブサイトにアクセスしない 詳細は、株式会社コレガが提供する情報を参照してください。 関連文書 (日本語) 株式会社コレガ クロスサイトリクエストフォージェリの脆弱性について http://corega.jp/support/security/20160229_wlbargmh_wlbargnl.htm 【5】コンテンツデリバリネットワーク (CDN) に対するサービス運用妨害 (DoS) の問題 (Forwarding Loop 攻撃) 情報源 Japan Vulnerability Notes JVNVU#94080110 コンテンツデリバリネットワーク (CDN) に対するサービス運用妨害 (DoS) の問題 (Forwarding Loop 攻撃) https://jvn.jp/vu/JVNVU94080110/ 概要 コンテンツデリバリネットワーク (CDN) のサービスには、サービス運用妨害 (DoS) の脆弱性があります。pull モード動作の設定によっては、遠隔の第三 者がリクエストの転送を内部的にループさせることで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 詳細は、研究者の発表資料を確認してください。 対象となるサービスは以下の通りです。 - コンテンツデリバリネットワーク (CDN) サービス CDN サービスを提供している事業者は、自身の提供する CDN が本脆弱性の影 響を受けるか、研究者の発表資料を確認してください。 関連文書 (英語) Internet Society Forwarding-Loop Attacks in Content Delivery Networks (PDF) https://www.internetsociety.org/sites/default/files/blogs-media/forwarding-loop-attacks-content-delivery-networks.pdf ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○経済産業省が「情報セキュリティ管理基準(平成28年改正版)」公開 2016年3月1日、経済産業省は「情報セキュリティ管理基準(平成28年改正版)」 を公開しました。この管理基準は、情報セキュリティマネジメントに関わる国 際規格に準拠したもので、2003年に初版が、2008年に平成20年改正版が公開さ れています。今回、国際規格の改正にあわせ、有識者やパブリックコメントに よる意見も加味し、平成28年改正版が策定されました。この策定に伴い、平成 20年改正版は廃止となります。 参考文献 (日本語) 経済産業省 情報セキュリティ管理基準(平成28年改正版) http://www.meti.go.jp/press/2015/03/20160301001/20160301001-1.pdf 経済産業省 情報セキュリティ管理基準(平成28年改正版)を策定しました http://www.meti.go.jp/press/2015/03/20160301001/20160301001.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJW328/AAoJEDF9l6Rp7OBIztMIAKR84eieWf6Lo4Eopk5vgTXJ dbKQwVu0M5Aaoguq6Gx9Z7PzBdLT3KTKJogkT1YE0Kw6pKM3epXr1FE4eQoMe5rR 1G6MZ9vC2CuDWL+K/lOmdsLhxqtQVpouY4LsHPdFDLvdfyXAfGXSV/gbZfHqNf+X SwwyUOI/nJ5opJvWp+U5paLeL/AS2xSU4C0NjpVg2kT0BYWR1i02fncGfgTnL6Ct xa3bH5xJ4fPp0Wx+NPBvFEe4D/sofTSqg0SdOGoRePxQPaZwHTPTbBHWKiqGwo9D z+P0uzYNqghvGBdt8Uz+8QheZeuBciOkJ36YsyDVmdIUfCT7JB2ltQ5veI22bLE= =ZwFy -----END PGP SIGNATURE-----