-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-2301 JPCERT/CC 2016-06-15 <<< JPCERT/CC WEEKLY REPORT 2016-06-15 >>> ―――――――――――――――――――――――――――――――――――――― ■06/05(日)〜06/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apache Struts 1 に複数の脆弱性 【2】Mozilla 製品群に複数の脆弱性 【3】複数の VMware 製品に脆弱性 【4】複数の Symantec 製品に脆弱性 【5】TERASOLUNA Server Framework for Java(WEB) に制限回避の脆弱性 【6】NETGEAR D6000 および D3600 に複数の脆弱性 【7】DXライブラリに任意のコードを実行可能な脆弱性 【今週のひとくちメモ】CCDS が「製品分野別セキュリティガイドライン第1版」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr162301.html https://www.jpcert.or.jp/wr/2016/wr162301.xml ============================================================================ 【1】Apache Struts 1 に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#03188560 Apache Struts 1 におけるメモリ上にあるコンポーネントを操作可能な脆弱性 https://jvn.jp/jp/JVN03188560/ Japan Vulnerability Notes JVN#65044642 Apache Struts 1 における入力値検証機能に関する脆弱性 https://jvn.jp/jp/JVN65044642/ 概要 Apache Struts 1 には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす るなどの可能性があります。 対象となるバージョンは以下の通りです。 - Apache Struts バージョン 1.0 から 1.3.10 まで 2016年6月15日現在、Apache Struts 1 の開発は終了しています。Apache Struts 1 の使用を停止してください。また、配布元が修正パッチを公開している場合 があります。詳細は、開発者や配布元が提供する情報を参照してください。 関連文書 (日本語) TERASOLUNA Framework Apache Struts 1.2.9 with SP3 by TERASOLUNA https://osdn.jp/projects/terasoluna/wiki/StrutsPatch3-JP 【2】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/06/07/Mozilla-Releases-Security-Updates 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 47 より前のバージョン - Firefox ESR 45.2 より前のバージョン - NSS 3.23 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細は、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2016 年 6 月 7 日) http://www.mozilla-japan.org/security/announce/ 【3】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/06/10/VMware-Releases-Security-Updates 概要 複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、 情報を取得したり、ユーザのブラウザ上で任意のスクリプトを実行したりする などの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware NSX 6.2.3 より前の 6.2 系のバージョン - VMware NSX 6.1.7 より前の 6.1 系のバージョン - VMware vCNS 5.5.4.3 より前の 5.5.4 系のバージョン - VMware vRealize Log Insight 3.3.2 より前のバージョン この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細は、VMware が提供する情報を参照してください。 関連文書 (英語) VMware Security Advisories VMware NSX and vCNS product updates address a critical information disclosure vulnerability https://www.vmware.com/security/advisories/VMSA-2016-0007.html VMware Security Advisories VMware vRealize Log Insight addresses important and moderate security issues. https://www.vmware.com/security/advisories/VMSA-2016-0008.html 【4】複数の Symantec 製品に脆弱性 情報源 US-CERT Current Activity Symantec Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/06/07/Symantec-Releases-Security-Updates 概要 複数の Symantec 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、データベースに対して任意の SQL コマンドを実 行したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Symantec Embedded Security: Critical System Protection (SES:CSP) 1.0.x - Symantec Embedded Security: Critical System Protection for Controllers and Devices (SES:CSP) 6.5.0 - Symantec Critical System Protection (SCSP) 5.2.9 およびそれ以前 - Symantec Data Center Security: Server Advanced Server (DCS:SA) 6.0.x - Symantec Data Center Security: Server Advanced Server (DCS:SA) 6.5.x - Symantec Data Center Security: Server Advanced Server (DCS:SA) 6.6 - Symantec Data Center Security: Server Advanced Server and Agents (DCS:SA) 6.6 MP1 この問題は、Symantec が提供する修正済みのバージョンに該当する製品を更 新することで解決します。詳細は、Symantec が提供する情報を参照してくだ さい。 関連文書 (英語) Symantec Security Advisories Relating to Symantec Products - Symantec Embedded Security: Critical System Protection and Symantec Data Center Security: Server Advanced, Multiple Security Issues https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160607_00 【5】TERASOLUNA Server Framework for Java(WEB) に制限回避の脆弱性 情報源 Japan Vulnerability Notes JVN#74659077 TERASOLUNA Server Framework for Java(WEB) の拡張子直接アクセス禁止機能における制限回避の脆弱性 https://jvn.jp/jp/JVN74659077/ 概要 TERASOLUNA Server Framework for Java(WEB) には、拡張子直接アクセス禁止 機能の制限を回避可能な脆弱性があります。結果として、遠隔の第三者が、情 報を取得するなどの可能性があります。 対象となるバージョンは以下の通りです。 - TERASOLUNA Server Framework for Java(WEB) 2.0.0.1 から 2.0.6.1 まで この問題は、株式会社エヌ・ティ・ティ・データが提供する修正モジュールを TERASOLUNA Server Framework for Java(WEB) に適用することで解決します。 詳細は、株式会社エヌ・ティ・ティ・データが提供する情報を参照してくださ い。 関連文書 (日本語) TERASOLUNA Framework 個別修正モジュール(PI-SJW-261-1) https://osdn.jp/projects/terasoluna/wiki/PI-SJW-261-1-JP 【6】NETGEAR D6000 および D3600 に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#778696 Netgear D6000 and D3600 contain hard-coded cryptographic keys and are vulnerable to authentication bypass https://www.kb.cert.org/vuls/id/778696 概要 NETGEAR D6000 および D3600 には、複数の脆弱性があります。結果として、 遠隔の第三者が、認証を回避したり、中間者攻撃を行ったりするなどの可能性 があります。 対象となる製品およびバージョンは以下の通りです。 - D6000 v1.0.0.49 およびそれ以前 - D3600 v1.0.0.49 この問題は、NETGEAR, Inc. が提供する修正済みのバージョンに該当する製品 のファームウェアを更新することで解決します。詳細は、NETGEAR, Inc. が提 供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94303845 NETGEAR D6000 および D3600 に複数の脆弱性 https://jvn.jp/vu/JVNVU94303845/ 関連文書 (英語) NETGEAR SUPPORT CVE-2015-8289 - Authentication Bypass Using an Alternate Path or Channel http://kb.netgear.com/app/answers/detail/a_id/30490 NETGEAR SUPPORT CVE-2015-8288 - Use of Hard-coded Cryptographic Key http://kb.netgear.com/app/answers/detail/a_id/30560 【7】DXライブラリに任意のコードを実行可能な脆弱性 情報源 Japan Vulnerability Notes JVN#15205734 DXライブラリにおいて任意のコードが実行可能な脆弱性 https://jvn.jp/jp/JVN15205734/ 概要 DXライブラリには、書式指定文字列の処理に関する脆弱性があります。結果 として、遠隔の第三者が、細工した文字列を処理させることで、任意のコード を実行する可能性があります。 対象となるバージョンは以下の通りです。 - DXライブラリ VisualC++用 Ver3.13f から Ver3.16b まで - DXライブラリ BorlandC++用 Ver3.13f から Ver3.16b まで - DXライブラリ Gnu C++用 Ver3.13f から Ver3.16b まで この問題は、開発者が提供する修正済みのバージョンにDXライブラリを更新 し、アプリケーションをリビルドすることで解決します。詳細は、開発者が提 供する情報を参照してください。 関連文書 (日本語) DXライブラリの脆弱性情報 printfDx の2重に行われる書式指定処理の脆弱性 http://dxlib.o.oo7.jp/dxvulnerability.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○CCDS が「製品分野別セキュリティガイドライン第1版」を公開 2016年6月8日、重要生活機器連携セキュリティ協議会 (CCDS) は、「製品分野 別セキュリティガイドライン第1版」を公開しました。このガイドラインは、 2016年3月に情報処理推進機構 (IPA) が公開した「つながる世界の開発指針」 を基本的な考え方として、車載・IoT ゲートウェイ・金融端末 (ATM)・決裁端 末 (POS) それぞれの製品分野ごとに脅威やリスク、取り組むべきセキュリティ 対策をまとめたものです。 参考文献 (日本語) 重要生活機器連携セキュリティ協議会 (CCDS) CCDS、製品分野別セキュリティガイドライン第1版を策定 https://www.ccds.or.jp/public_document/index.html#guidelines1.0 情報処理推進機構 (IPA) 「つながる世界の開発指針」を公開 https://www.ipa.go.jp/sec/reports/20160324.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJXYJxfAAoJEDF9l6Rp7OBI6OUH/RwJNdWMFzJhwAzaKPP3u4v8 XnrIlOGE/PX1HJfP4+sX3Y7VoHWX1rex31SlBzAgKNauRjsGsnDWHPYwMEd6lghA 9LXHNaTVdVxgA/rgvD83UkRmmHm3W1jUivDYgSJXGIR8IvXzMkfRUfwtaGTUd170 XPzr/udxfPgxFPrYl2l2Jq4mbQLFk48dUkhZJ1v5gU02WfrYqYnsnSljHntg3LtQ mZclKFBF/hzrqF5JVyCQE7A7cb1LgjLQvRtMIJWSBxrYd1dur6TV3aQx38K3Oc0r 147tRrHvizZvsrcklgCg3ncttUbWbCtVW/BCzX9147pPgOMMwWS/FrRfgIjIx7k= =XGLY -----END PGP SIGNATURE-----