JPCERT-WR-2016-1001
2016-03-09
2016-02-28
2016-03-05
OpenSSL に複数の脆弱性
OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、暗号
通信を解読したり、サービス運用妨害 (DoS) 攻撃を行うなどの可能性があり
ます。
対象となるバージョンは以下の通りです。
- OpenSSL 1.0.2g より前の 1.0.2 系
- OpenSSL 1.0.1s より前の 1.0.1 系
この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン
に OpenSSL を更新することで解決します。詳細は、開発者が提供する情報を
参照してください。
Japan Vulnerability Notes JVNVU#90617353
SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃)
https://jvn.jp/vu/JVNVU90617353/
JPCERT/CC Alert 2016-03-02
OpenSSL の複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160010.html
OpenSSL
OpenSSL Security Advisory [1st March 2016]
https://www.openssl.org/news/secadv/20160301.txt
US-CERT Current Activity
SSLv2 DROWN Attack
https://www.us-cert.gov/ncas/current-activity/2016/03/01/SSLv2-DROWN-Attack
PHP に複数の脆弱性
PHP には、複数の脆弱性があります。結果として、第三者が、任意のコードを
実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ
ります。
対象となるバージョンは以下の通りです。
- PHP 7.0.4 より前のバージョン
- PHP 5.6.19 より前のバージョン
- PHP 5.5.33 より前のバージョン
この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。
PHP Group
PHP 7 ChangeLog Version 7.0.4
https://secure.php.net/ChangeLog-7.php#7.0.4
PHP Group
PHP 5 ChangeLog Version 5.6.19
https://secure.php.net/ChangeLog-5.php#5.6.19
PHP Group
PHP 5 ChangeLog Version 5.5.33
https://secure.php.net/ChangeLog-5.php#5.5.33
複数の Cisco 製品に脆弱性
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。
対象となる製品およびバージョンは以下の通りです。
- Cisco NX-OS 6.0(2)U6(1) から 6.0(2)U6(5) が稼働している Cisco Nexus 3000 シリーズスイッチ
- Cisco NX-OS 6.0(2)A6(1) から 6.0(2)A7(1) が稼働している Cisco Nexus 3500 プラットフォームスイッチ
- Cisco NX-OS 7.1(1)N1(1) が稼働している Cisco Nexus 5500 プラットフォームスイッチ
- Cisco NX-OS 7.1(1)N1(1) が稼働している Cisco Nexus 5600 プラットフォームスイッチ
- Cisco NX-OS 7.1(1)N1(1) が稼働している Cisco Nexus 6000 シリーズスイッチ
- Cisco Nexus 1000V シリーズスイッチ
- Cisco Nexus 3000 シリーズスイッチ
- Cisco Nexus 4000 シリーズスイッチ
- Cisco Nexus 5000 シリーズスイッチ
- Cisco Nexus 6000 シリーズスイッチ
- Cisco Nexus 7000 シリーズスイッチ
- Cisco NX-OS Software が稼働している Cisco Unified Computing System (UCS)
- AsyncOS 8.5.3-051 より前のバージョンが稼働している Cisco Web Security Appliance (WSA)
- AsyncOS 9.0.0-485 より前のバージョンが稼働している Cisco Web Security Appliance (WSA)
この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco Nexus 3000 Series and 3500 Platform Switches Insecure Default Credentials Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160302-n3k
Cisco Security Advisory
Cisco NX-OS Software TCP Netstack Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160302-netstack
Cisco Security Advisory
Cisco Web Security Appliance HTTPS Packet Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160302-wsa
Cisco Security Advisory
Cisco NX-OS Software SNMP Packet Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160302-n5ksnmp
コレガ製の複数の無線 LAN ルータにクロスサイトリクエストフォージェリの脆弱性
コレガ製の複数の無線 LAN ルータには、クロスサイトリクエストフォージェリ
の脆弱性があります。結果として、遠隔の第三者が、ウェブ管理画面にログイン
した状態のユーザに細工したページを開かせることで、ユーザの意図しない操
作をする可能性があります。
対象となる製品は以下の通りです。
- CG-WLBARGMH
- CG-WLBARGNL
2016年3月8日現在、対策済みのバージョンは公開されていません。以下の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。
- ウェブ管理画面にログインしている間、他のウェブサイトにアクセスしない
詳細は、株式会社コレガが提供する情報を参照してください。
株式会社コレガ
クロスサイトリクエストフォージェリの脆弱性について
http://corega.jp/support/security/20160229_wlbargmh_wlbargnl.htm
コンテンツデリバリネットワーク (CDN) に対するサービス運用妨害 (DoS) の問題 (Forwarding Loop 攻撃)
コンテンツデリバリネットワーク (CDN) のサービスには、サービス運用妨害
(DoS) の脆弱性があります。pull モード動作の設定によっては、遠隔の第三
者がリクエストの転送を内部的にループさせることで、サービス運用妨害 (DoS)
攻撃を行う可能性があります。
詳細は、研究者の発表資料を確認してください。
対象となるサービスは以下の通りです。
- コンテンツデリバリネットワーク (CDN) サービス
CDN サービスを提供している事業者は、自身の提供する CDN が本脆弱性の影
響を受けるか、研究者の発表資料を確認してください。
Internet Society
Forwarding-Loop Attacks in Content Delivery Networks (PDF)
https://www.internetsociety.org/sites/default/files/blogs-media/forwarding-loop-attacks-content-delivery-networks.pdf
経済産業省が「情報セキュリティ管理基準(平成28年改正版)」公開
2016年3月1日、経済産業省は「情報セキュリティ管理基準(平成28年改正版)」
を公開しました。この管理基準は、情報セキュリティマネジメントに関わる国
際規格に準拠したもので、2003年に初版が、2008年に平成20年改正版が公開さ
れています。今回、国際規格の改正にあわせ、有識者やパブリックコメントに
よる意見も加味し、平成28年改正版が策定されました。この策定に伴い、平成
20年改正版は廃止となります。
経済産業省
情報セキュリティ管理基準(平成28年改正版)
http://www.meti.go.jp/press/2015/03/20160301001/20160301001-1.pdf
経済産業省
情報セキュリティ管理基準(平成28年改正版)を策定しました
http://www.meti.go.jp/press/2015/03/20160301001/20160301001.pdf