-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-1101 JPCERT/CC 2016-03-16 <<< JPCERT/CC WEEKLY REPORT 2016-03-16 >>> ―――――――――――――――――――――――――――――――――――――― ■03/06(日)〜03/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】ISC BIND にサービス運用妨害 (DoS) の脆弱性 【4】複数の Cisco 製品に脆弱性 【5】OpenSSH にコマンドインジェクションの脆弱性 【6】Mozilla Firefox に複数の脆弱性 【7】Apple Software Update に脆弱性 【8】Citrix License Server に脆弱性 【9】Quagga にバッファオーバーフローの脆弱性 【今週のひとくちメモ】IPA が「2015年度 中小企業における情報セキュリティ対策に関する実態調査 報告書」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr161101.html https://www.jpcert.or.jp/wr/2016/wr161101.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases March 2016 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2016/03/08/Microsoft-Releases-March-2016-Security-Bulletin 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Edge - Microsoft Office - Microsoft Office Services および Web Apps - Microsoft サーバー ソフトウェア - Microsoft .NET Framework この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2016 年 3 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/library/security/ms16-mar JPCERT/CC Alert 2016-03-09 2016年3月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160011.html 【2】複数の Adobe 製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Acrobat, Reader, and Digital Editions https://www.us-cert.gov/ncas/current-activity/2016/03/08/Adobe-Releases-Security-Updates-Acrobat-Reader-and-Digital-Editions US-CERT Current Activity Adobe Releases Security Updates for Flash Player https://www.us-cert.gov/ncas/current-activity/2016/03/10/Adobe-Releases-Security-Updates-Flash-Player 概要 複数の Adobe 製品には、脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 20.0.0.306 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 継続サポートリリース 18.0.0.329 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.569 およびそれ以前 (Linux 版) - Adobe AIR デスクトップランタイム 20.0.0.260 およびそれ以前 (Windows 版、Macintosh 版) - Adobe AIR SDK 20.0.0.260 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版) - Adobe AIR SDK & Compiler 20.0.0.260 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版) - Adobe AIR 20.0.0.233 およびそれ以前 (Android 版) - Adobe Digital Editions 4.5.0 およびそれ以前 (Windows 版、Macintosh 版、Android 版、iOS版) - Adobe Acrobat DC 連続トラック 15.010.20059 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat Reader DC 連続トラック 15.010.20059 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat DC クラシック 15.006.30119 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat Reader DC クラシック 15.006.30119 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Acrobat XI 11.0.14 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Reader XI 11.0.14 およびそれ以前 (Windows 版、Macintosh 版) この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe セキュリティ情報 Adobe Digital Editionsに関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb16-06.html Adobe セキュリティ情報 Adobe Acrobat および Reader に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/acrobat/apsb16-09.html Adobe セキュリティ情報 Adobe Flash Player に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb16-08.html JPCERT/CC Alert 2016-03-09 Adobe Reader および Acrobat の脆弱性 (APSB16-09) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160012.html JPCERT/CC Alert 2016-03-11 Adobe Flash Player の脆弱性 (APSB16-08) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160014.html 【3】ISC BIND にサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Current Activity ISC Releases Security Updates for BIND https://www.us-cert.gov/ncas/current-activity/2016/03/09/ISC-Releases-Security-Updates-BIND 概要 ISC BIND には、複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.0.0 から 9.8.8 まで - BIND 9.9.0 から 9.9.8-P3 まで - BIND 9.9.3-S1 から 9.9.8-S5 まで - BIND 9.10.0 から 9.10.3-P3 まで この問題は、ISC が提供する修正済みのバージョンに ISC BIND を更新するこ とで解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-1285) https://jprs.jp/tech/security/2016-03-10-bind9-vuln-controlchannel.html 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-1286) https://jprs.jp/tech/security/2016-03-10-bind9-vuln-rrsig.html 株式会社日本レジストリサービス (JPRS) BIND 9.10.xの脆弱性(DNSサービスの停止)について(CVE-2016-2088) https://jprs.jp/tech/security/2016-03-10-bind9-vuln-dnscookie.html JPNIC BIND 9における複数の脆弱性について(2016年3月) - JPNIC https://www.nic.ad.jp/ja/topics/2016/20160310-01.html JPCERT/CC Alert 2016-03-10 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-1286) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160013.html 関連文書 (英語) ISC Knowledge Base CVE-2016-2088: A response containing multiple DNS cookies causes servers with cookie support enabled to exit with an assertion failure. https://kb.isc.org/article/AA-01351 ISC Knowledge Base CVE-2016-1285: An error parsing input received by the rndc control channel can cause an assertion failure in sexpr.c or alist.c https://kb.isc.org/article/AA-01352 ISC Knowledge Base CVE-2016-1286: A problem parsing resource record signatures for DNAME resource records can lead to an assertion failure in resolver.c or db.c https://kb.isc.org/article/AA-01353 【4】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/03/09/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする などの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco DPC3941 Wireless Residential Gateway with Digital Voice - Cisco DPC3939B Wireless Residential Voice Gateway - Cisco Model DPQ3925 8x4 DOCSIS 3.0 Wireless Residential Gateway with EDVA - Cisco ASA 5500 シリーズ CSC-SSM 6.6.1164.0 より前の 6.6 系列のバージョン - Cisco Cable Modem with Digital Voice Model DPC2203 - Cisco Cable Modem with Digital Voice Model EPC2203 この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Wireless Residential Gateway Information Disclosure Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160309-rgid Cisco Security Advisory Cisco Wireless Residential Gateway with EDVA Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160309-cmdos Cisco Security Advisory Cisco ASA Content Security and Control Security Services Module Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160309-csc Cisco Security Advisory Cisco Cable Modem with Digital Voice Remote Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160309-cmre 【5】OpenSSH にコマンドインジェクションの脆弱性 情報源 US-CERT Current Activity OpenSSH Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/03/11/OpenSSH-Releases-Security-Update 概要 OpenSSH の X11 フォワーディング機能には、コマンドインジェクションの脆弱 性があります。結果として、遠隔の第三者が、任意のファイルを読み取るなど の可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSH 7.2p2 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに OpenSSH を更新するこ とで解決します。また、以下の回避策を適用することで、本脆弱性の影響を軽 減することが可能です。 - X11Forwarding オプションを無効にする 詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) OpenSSH OpenSSH Security Advisory: x11fwd.adv http://www.openssh.com/txt/x11fwd.adv 【6】Mozilla Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/03/08/Mozilla-Releases-Security-Updates 概要 Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 45 より前のバージョン - Firefox ESR 38.7 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2016 年 3 月 8 日) http://www.mozilla-japan.org/security/announce/ 【7】Apple Software Update に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/03/09/Apple-Releases-Security-Update 概要 Apple Software Update には、脆弱性があります。結果として、同じネットワー クに接続している第三者が、アップデートウィンドウの内容を書き換える可能 性があります。 対象となるバージョンは以下の通りです。 - Windows 向け Apple Software Update 2.2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Apple Software Update を更新することで解決します。詳細は、Apple が提供する情報を参照してくださ い。 関連文書 (英語) Apple About the security content of Apple Software Update 2.2 https://support.apple.com/en-us/HT206091 【8】Citrix License Server に脆弱性 情報源 US-CERT Current Activity Citrix Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/03/10/Citrix-Releases-Security-Update 概要 Citrix License Server には、脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Citrix License Server for Windows 11.13.1.2 より前のバージョン - Citrix License Server VPX 11.13.1.2 より前のバージョン この問題は、Citrix が提供する修正済みのバージョンに Citrix License Server を更新することで解決します。詳細は、Citrix が提供する情報を参照してく ださい。 関連文書 (英語) Citrix Support Knowledge Center Citrix Licensing Security Updates to Address CVE-2015-8277 http://support.citrix.com/article/CTX207824 【9】Quagga にバッファオーバーフローの脆弱性 情報源 CERT/CC Vulnerability Note VU#270232 Quagga bgpd with BGP peers enabled for VPNv4 contains a buffer overflow vulnerability https://www.kb.cert.org/vuls/id/270232 概要 Quagga には、バッファオーバーフローの脆弱性があります。結果として、遠隔 の第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Quagga 0.99.24.1 およびそれ以前 この問題は、開発者が提供する修正済みのバージョンに Quagga を更新するこ とで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94745180 Quagga にバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU94745180/ 関連文書 (英語) Quagga bgpd: Fix VU#270232, VPNv4 NLRI parser memcpys to stack on unchecked length http://git.savannah.gnu.org/cgit/quagga.git/commit/?id=a3bc7e9400b214a0f078fdb19596ba54214a1442 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA が「2015年度 中小企業における情報セキュリティ対策に関する実態調査 報告書」を公開 2016年3月8日、情報処理推進機構 (IPA) は、「2015年度 中小企業における情 報セキュリティ対策に関する実態調査 報告書」を公開しました。この報告書 は、中小企業の 20歳以上の経営者・IT 担当者・従業員を対象に、情報セキュ リティ対策への取り組み状況や、情報セキュリティに関する被害の状況などに ついて、ウェブアンケートを実施した結果をまとめたものです。 参考文献 (日本語) 独立行政法人情報処理推進機構 (IPA) 2015年度 中小企業における情報セキュリティ対策に関する実態調査 報告書 https://www.ipa.go.jp/files/000051252.pdf 独立行政法人情報処理推進機構 (IPA) 「2015年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について https://www.ipa.go.jp/security/fy27/reports/sme/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJW6KduAAoJEDF9l6Rp7OBId2UH/3D8ITuuirfiAlT+ayecInrU ecZ0PcuQKH5780CBtp1fDtdvGKvpZXL+TvADGf3ops7S02yHk+hAubyJkq6gMOGG 0DzUBiYBbiebIAMimZcIFJo+40F5+sVdthGvEjj1RZzZ1F8dJ6XGG2lUDvecmBM5 XOTP7kLjUpkm7WvJpG/pT4v8NGtt1aJRu48yfnihzGpR074By58wywbOR66RdPAd PTXaZ2T4ZBOsX26YHDN+sqImpzitNYh+APKMr2cr7+ePviQTz3dnpRu97s2GZUZY 1u2kjyLzu71tQH1Z2lVPFqDYuv66EiAWiIPTMKEIpKLEwqvbLg4NqmqaIo1SnZ8= =Qk3/ -----END PGP SIGNATURE-----