-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-2701 JPCERT/CC 2016-07-13 <<< JPCERT/CC WEEKLY REPORT 2016-07-13 >>> ―――――――――――――――――――――――――――――――――――――― ■07/03(日)〜07/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apache HTTPD の HTTP/2 通信に X.509 クライアント証明書の認証処理の問題 【2】Samba に SMB 署名がダウングレード可能な脆弱性 【3】Acer Portal app for Android に SSL サーバ証明書の検証不備の脆弱性 【4】LINE PC版(Windows版)に任意のコードが実行可能な脆弱性 【5】APCERT Annual General Meeting & Conference 2016 講演者の募集開始 【今週のひとくちメモ】総務省と経済産業省が「IoTセキュリティガイドライン」公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr162701.html https://www.jpcert.or.jp/wr/2016/wr162701.xml ============================================================================ 【1】Apache HTTPD の HTTP/2 通信に X.509 クライアント証明書の認証処理の問題 情報源 Japan Vulnerability Notes JVNVU#97485903 Apache HTTPD の HTTP/2 通信における X.509 クライアント証明書の認証処理の問題 https://jvn.jp/vu/JVNVU97485903/ 概要 Apache HTTPD の HTTP/2 通信には、X.509 クライアント証明書の認証処理の問 題があります。結果として、遠隔の第三者が、認証を必要とするコンテンツに 認証無しでアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - Apache HTTPD バージョン 2.4.18 から 2.4.20 まで この問題は、Apache HTTPD を Apache Software Foundation が提供する修正 済みのバージョンに更新することで解決します。詳細は、Apache Software Foundation が提供する情報を参照してください。 関連文書 (英語) Apache httpd 2.4 vulnerabilities Fixed in Apache httpd 2.4.23 https://httpd.apache.org/security/vulnerabilities_24.html httpd-announce mailing list archives CVE-2016-4979: HTTPD webserver - X509 Client certificate based authentication can be bypassed when HTTP/2 is used https://mail-archives.apache.org/mod_mbox/httpd-announce/201607.mbox/CVE-2016-4979-68283 【2】Samba に SMB 署名がダウングレード可能な脆弱性 情報源 Samba Security Releases Client side SMB2/3 required signing can be downgraded. https://www.samba.org/samba/security/CVE-2016-2119.html 概要 Samba のクライアント機能には、SMB2/3 の署名をダウングレードすることが 可能な脆弱性があります。結果として、遠隔の第三者が、中間者攻撃によって Samba サーバになりすます可能性があります。Samba Team によると、以下の 条件を満たす場合に本脆弱性の影響を受けるとのことです。 - SMB 署名を有効にしている - "client ipc max protocol" パラメータが "NT1" 以外 対象となるバージョンは以下の通りです。 - Samba 4.0.0 から 4.4.4 まで この問題は、Samba を Samba Team が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Samba Team が提供する情報を参照してくださ い。 関連文書 (英語) Samba 4.4.5 Available for Download Release Notes for Samba 4.4.5 https://www.samba.org/samba/history/samba-4.4.5.html 【3】Acer Portal app for Android に SSL サーバ証明書の検証不備の脆弱性 情報源 CERT/CC Vulnerability Note VU#690343 Acer Portal app for Android does not properly validate SSL certificates https://www.kb.cert.org/vuls/id/690343 概要 Acer Portal app for Android には、SSL サーバ証明書の検証不備の脆弱性が あります。結果として、遠隔の第三者が、中間者攻撃によって暗号通信を盗聴 するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Acer Portal app for Android バージョン 3.9.3.2003 から 3.9.3.2006 まで この問題は、Acer Portal app for Android を Acer が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Acer が提供する情報を参照し てください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95848898 Acer Portal app for Android における SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/vu/JVNVU95848898/ 【4】LINE PC版(Windows版)に任意のコードが実行可能な脆弱性 情報源 Japan Vulnerability Notes JVN#51565015 LINE PC版(Windows版)における DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN51565015/ 概要 LINE PC版(Windows版)には、特定の DLL ファイルを読み込む脆弱性があり ます。結果として、遠隔の第三者が、任意のコードを実行する可能性がありま す。 対象となるバージョンは以下の通りです。 - LINE PC版(Windows版) ver 4.7.0 およびそれ以前 - LINE PC版(Windows版) インストーラ ver 4.7.0 およびそれ以前 この問題は、LINE PC版(Windows版)の起動時に、自動的にアップデートが適 用されます。LINE PC版(Windows版)をインストールする場合は、最新版のイン ストーラを使用してください。詳細は、LINE株式会社が提供する情報を参照し てください。 関連文書 (日本語) LINE株式会社 【脆弱性情報】LINE PC版(Windows)の脆弱性と修正完了に関するお知らせ https://linecorp.com/ja/security/article/61 【5】APCERT Annual General Meeting & Conference 2016 講演者の募集開始 情報源 APCERT Annual General Meeting & Conference 2016 Call For Papers https://www.apcert.org/apcert2016/cfp.html 概要 JPCERT/CC が主催し、2016年10月に開催されるアジア太平洋コンピュータ緊急 対応チーム (APCERT) のカンファレンス「APCERT Annual General Meeting & Conference 2016」において、10月27日に行われる一般公開講演セッションの 講演者を募集しています (Call For Papers)。国際会議のため、同時通訳なし で全編英語で講演いただく必要がありますが、国内外で活動されているインター ネットおよびサイバーセキュリティ関連企業・研究組織等に在籍されている方 で興味がある方は、ウェブサイトを参照の上、是非ご応募ください。応募いた だいた内容をもって、APCERT プログラム委員会で審議の上、講演者を選定い たします。 講演日時: 2016年10月27日 (木) 9時〜17時の間で 20分から 30分 (一部パネルセッションあり) 会場: ロイヤルパークホテル (日本橋) 応募期限: 2016年7月31日 (日) また、当日の聴講の事前申し込みは 9月上旬を目途に開始予定です。申し込み 開始は、別途ウェブサイトでご案内いたします。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○総務省と経済産業省が「IoTセキュリティガイドライン」公開 2016年7月5日、総務省と経済産業省は、「IoTセキュリティガイドライン」を 公開しました。このガイドラインは、IoT 機器やシステム、サービスにおいて 求められるセキュリティ確保のための基本的な取り組みを明確化したもので、 IoT のライフサイクルに沿った「方針」「分析」「設計」「構築・接続」「運 用・保守」という 5つの指針を挙げ、それぞれの要点と対策例をまとめていま す。 参考文献 (日本語) 総務省 「IoTセキュリティガイドラインver1.0」及び意見募集の結果の公表 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000108.html 経済産業省 IoTセキュリティガイドラインを策定しました http://www.meti.go.jp/press/2016/07/20160705002/20160705002.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJXhYiXAAoJEDF9l6Rp7OBIxH4H/jEOpKsFFw0m2+dzVU932NBe 7d34p4YseNkInfDIk7iNUSpMguIHZWN3W4GsIhYFr/dkPRoZKGpqWUJjUEPcr0ur ciq92SOVmMHtgyrfoT2eP6vlzSamYVsbMhlVe3CKSXHhdsLrQ+VhtMXeStxxrnKX vWHdfxUle4CU0dt1yTJHlP2Io+wl6GS97anFuwRa/R3fvfoWrqxLAdO3ULOGuspO Cl3wbljVbw5wD4CPV4PAV5uONdFPIMKF/3TonIHAbzRSNRh45S21dpjqD4NMHh8d +W57vTrQsteWYwPp2fp/f3xXIFegTMUQ0wTSo7Rh3G32PT19RATw1g5d87orGsg= =l0TL -----END PGP SIGNATURE-----