JPCERT-WR-2016-1401
2016-04-06
2016-03-27
2016-04-02
PHP に複数の脆弱性
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。
対象となるバージョンは以下の通りです。
- PHP 7.0.5 より前のバージョン
- PHP 5.6.20 より前のバージョン
- PHP 5.5.34 より前のバージョン
この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。
PHP Group
PHP 7 ChangeLog Version 7.0.5
https://secure.php.net/ChangeLog-7.php#7.0.5
PHP Group
PHP 5 ChangeLog Version 5.6.20
https://secure.php.net/ChangeLog-5.php#5.6.20
PHP Group
PHP 5 ChangeLog Version 5.5.34
https://secure.php.net/ChangeLog-5.php#5.5.34
Node.js のパッケージマネージャ npm に問題
Node.js のパッケージマネージャ npm には、不正なパッケージの動作を制限
しない問題があります。結果として、パッケージ作者が、不正なパッケージを
アップロードすることで、自己複製型のワームプログラムの感染を拡大させる
可能性があります。
対象となる製品は以下の通りです。
- Node.js のパッケージマネージャ npm
2016年4月5日現在、対策済みのバージョンは公開されていません。npm の見解
については、ブログを参照してください。以下の回避策を適用することで、本
脆弱性の影響を軽減することが可能です。
- npm サーバにログインしたままにしない
- npm shrinkwrap コマンドで依存パッケージのバージョンを固定する
- インストール時に ignore-scripts オプションをつける
詳細は、npm が提供する情報を参照してください。
The npm Blog
Package install scripts vulnerability
http://blog.npmjs.org/post/141702881055/package-install-scripts-vulnerability
Open vSwitch にバッファオーバーフローの脆弱性
Open vSwitch には、バッファオーバーフローの脆弱性があります。結果とし
て、遠隔の第三者が、細工した MPLS パケットを送信することで、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。
対象となるバージョンは以下の通りです。
- Open vSwitch 2.4.1 より前のバージョン
- Open vSwitch 2.3.3 より前のバージョン
- Open vSwitch 2.2.x
Open vSwitch 2.5.x および 2.1.x は本脆弱性の影響を受けないとのことです。
この問題は、開発者が提供する修正済みのバージョンに Open vSwitch を更新
することで解決します。詳細は、開発者が提供する情報を参照してください。
ovs-announce
CVE-2016-2074: MPLS buffer overflow vulnerabilities in Open vSwitch
http://openvswitch.org/pipermail/announce/2016-March/000082.html
Cisco FirePOWER に脆弱性
Cisco FirePOWER には、脆弱性があります。結果として、遠隔の第三者が、不
正な HTTP リクエストを送信することで、マルウェアの検知を回避する可能性
があります。
対象となる製品およびバージョンは以下の通りです。
- Cisco ASA with FirePOWER Services (ASA 5500-X シリーズ)
- ネットワーク向け Cisco AMP (高度なマルウェア防御) 7000 シリーズ
- ネットワーク向け Cisco AMP (高度なマルウェア防御) 8000 シリーズ
- FirePOWER 7000 シリーズアプライアンス
- FirePOWER 8000 シリーズアプライアンス
- FirePOWER Threat Defense for Integrated Services Routers (ISRs)
- Blue Coat X-Series 向け次世代侵入防御システム (NGIPS)
- Sourcefire 3D システムアプライアンス
- VMware 向け仮想次世代 IPS (NGIPSv)
この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco Firepower Malware Block Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160330-fp
Aterm WF800HP および Aterm WG300HP にクロスサイトリクエストフォージェリの脆弱性
Aterm WF800HP および Aterm WG300HP には、クロスサイトリクエストフォー
ジェリの脆弱性があります。結果として、遠隔の第三者が、細工したページに
ユーザを誘導することで、ユーザの意図しない操作を行う可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Aterm WF800HP ファームウェア Ver1.0.17 およびそれ以前
- Aterm WG300HP
Aterm WF800HP については、日本電気株式会社が提供する修正済みのバージョ
ンにファームウェアを更新することで解決します。Aterm WG300HP については、
2016年4月5日現在、対策済みのバージョンは公開されていません。以下の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。
- 管理画面にログインした状態で他のウェブサイトにアクセスしない
詳細は、日本電気株式会社が提供する情報を参照してください。
NEC製品セキュリティ情報
NV16-004: Aterm 製品にクロスサイトリクエストフォージェリの脆弱性
http://jpn.nec.com/security-info/secinfo/nv16-004.html
NEC製品セキュリティ情報
NV16-005: Aterm 製品にクロスサイトリクエストフォージェリの脆弱性
http://jpn.nec.com/security-info/secinfo/nv16-005.html
Apache OpenMeetings に複数の脆弱性
Apache OpenMeetings には、複数の脆弱性があります。結果として、SOAP API
を通じて任意のファイルを読み取られたり、ユーザのブラウザ上で任意のスク
リプトを実行されたりするなどの可能性があります。
対象となるバージョンは以下の通りです。
- OpenMeetings 3.1.1 より前のバージョン
なお、Apache によると、OpenMeetings 3.0.x およびそれ以前にはセキュリティ
アップデートが提供されないとのことです。
この問題は、Apache が提供する修正済みのバージョンに OpenMeetings を更
新することで解決します。詳細は、Apache が提供する情報を参照してくださ
い。
Apache OpenMeetings Change Log
Release Notes - Openmeetings - Version 3.1.1
https://www.apache.org/dist/openmeetings/3.1.1/CHANGELOG
iBooks Author に脆弱性
iBooks Author には、脆弱性があります。結果として、遠隔の第三者が、細工
した iBooks Author ファイルをユーザに開かせることで、情報を取得する可
能性があります。
対象となるバージョンは以下の通りです。
- iBooks Author 2.4.1 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに iBooks Author を更
新することで解決します。詳細は、Apple が提供する情報を参照してください。
Apple
About the security content of iBooks Author 2.4.1
https://support.apple.com/en-us/HT206224
Autodesk Backburner にスタックバッファオーバーフローの脆弱性
Backburner には、スタックベースのバッファオーバーフローの脆弱性が存在
します。結果として、遠隔の第三者が、当該製品上で任意のコードを実行した
り、当該製品をサービス運用妨害 (DoS) 状態にしたりする可能性があります。
対象となるバージョンは以下の通りです。
- Backburner 2016 version 2016.0.0.2150 およびそれ以前
2016年4月5日現在、対策済みのバージョンは公開されていません。以下の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。
- Backburner 2016 の manager.exe サービスへのアクセスを制限する
Symantec Consulting Services
SYMSA-2007-008 - Autodesk Backburner 3.0.2 : System Backdoor
https://www.symantec.com/content/en/us/enterprise/research/SYMSA-2007-008.txt
「高度サイバー攻撃(APT)への備えと対応ガイド〜企業や組織に薦める一連のプロセスについて」公開
2016年3月31日、JPCERT/CC は、「高度サイバー攻撃(APT)への備えと対応ガイ
ド〜企業や組織に薦める一連のプロセスについて」を公開しました。本ガイド
は、企業や組織が高度サイバー攻撃 (APT) に備え対応するためのガイドとし
て利用することを想定して作成されています。
JPCERT/CC
高度サイバー攻撃(APT)への備えと対応ガイド〜企業や組織に薦める一連のプロセスについて
https://www.jpcert.or.jp/research/apt-guide.html