-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-2901 JPCERT/CC 2016-07-27 <<< JPCERT/CC WEEKLY REPORT 2016-07-27 >>> ―――――――――――――――――――――――――――――――――――――― ■07/17(日)〜07/23(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】CGI 等を利用する Web サーバに脆弱性 【2】2016年7月 Oracle Critical Patch Update について 【3】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 【4】PHP に複数の脆弱性 【5】複数の Apple 製品に脆弱性 【6】Android OS に複数の脆弱性 【7】Objective Systems ASN1C で生成したソースコードにバッファオーバーフローの脆弱性 【8】Cisco UCS Performance Manager に任意のコマンドを実行可能な脆弱性 【9】WordPress 用プラグイン「Nofollow Links」にクロスサイトスクリプティングの脆弱性 【10】EC-CUBE 用プラグイン「割引クーポンプラグイン」に SQL インジェクションの脆弱性 【11】Vtiger CRM にアクセス制限不備の脆弱性 【今週のひとくちメモ】CGI 等を利用するウェブサーバの脆弱性 (httpoxy) を標的としたアクセス ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr162901.html https://www.jpcert.or.jp/wr/2016/wr162901.xml ============================================================================ 【1】CGI 等を利用する Web サーバに脆弱性 情報源 CERT/CC Vulnerability Note VU#797896 CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables https://www.kb.cert.org/vuls/id/797896 US-CERT Current Activity Drupal Releases Security Advisory https://www.us-cert.gov/ncas/current-activity/2016/07/18/Drupal-Releases-Security-Advisory 概要 CGI 等を利用する Web サーバには、環境変数 HTTP_PROXY の設定に関する脆 弱性があります。結果として、遠隔の第三者が中間者攻撃を実行したり、任意 のホストに接続させたりする可能性があります。 対象となる製品は以下の通りです。 - CGI 等を利用する Web サーバ この問題は、Web サーバや Web アプリケーションなどを開発者や配布元が提 供する修正済みのバージョンに更新することで解決します。また、以下の回避 策を適用することで、本脆弱性の影響を回避することが可能です。 - リクエストに含まれる Proxy ヘッダを無効にする - CGI において、環境変数 HTTP_PROXY を使用しない - ファイアウォールなどを用いて Web サーバからの HTTP アウトバウンド通信を必要最小限に制限する 詳細は、開発者や配布元が提供する情報を参照してください。 関連文書 (日本語) Drupal Japan きわめて危険度の高い脆弱性を修正した Drupal 8.1.7 がリリース http://drupal.jp/node/721 Japan Vulnerability Notes JVNVU#91485132 CGI ウェブサーバがヘッダ Proxy の値を環境変数 HTTP_PROXY に設定する脆弱性 https://jvn.jp/vu/JVNVU91485132/ JPCERT/CC Alert 2016-07-19 CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160031.html 【2】2016年7月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Oracle Releases Security Bulletin https://www.us-cert.gov/ncas/current-activity/2016/07/19/Oracle-Releases-Security-Bulletin 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 対象は、以下の製品を含む広い範囲に存在します。 - Oracle Database Server - Oracle E-Business Suite - Oracle Industry Applications - Oracle Fusion Middleware - Oracle Sun Products - Oracle Java SE - Oracle MySQL 詳細は、 Oracle が提供する情報を参照してください。 関連文書 (日本語) Oracle Oracle Critical Patch Update Advisory - July 2016 http://www.oracle.com/technetwork/jp/topics/ojkbcpujul2016-3100482-ja.html JPCERT/CC Alert 2016-07-20 2016年7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2016/at160032.html 【3】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVNVU#93856717 ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/vu/JVNVU93856717/ 概要 ISC BIND 9 の lightweight resolver プロトコルの実装には、脆弱性があり ます。結果として、遠隔の第三者が細工したリクエストを送信することで、サー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.9.9-P1 およびそれ以前 - BIND 9.10.0 から 9.10.4-P1 まで - BIND 9.11.0a3 から 9.11.0b1 まで この問題は、BIND 9 を、ISC が提供する修正済みのバージョンに更新するこ とで解決します。詳細は、ISC が提供する情報を参照してください。 関連文書 (日本語) 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2775) https://jprs.jp/tech/security/2016-07-19-bind9-vuln-lwres.html 関連文書 (英語) ISC Knowledge Base CVE-2016-2775: A query name which is too long can cause a segmentation fault in lwresd https://kb.isc.org/article/AA-01393/74/CVE-2016-2775 【4】PHP に複数の脆弱性 情報源 PHP Group PHP 7.0.9 Released https://secure.php.net/archive/2016.php#id2016-07-21-3 PHP Group PHP 5.6.24 is released https://secure.php.net/archive/2016.php#id2016-07-21-4 PHP Group PHP 5.5.38 is released https://secure.php.net/archive/2016.php#id2016-07-21-2 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 対象となるバージョンは以下の通りです。 - PHP 7.0.9 より前のバージョン - PHP 5.6.24 より前のバージョン - PHP 5.5.38 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。なお、PHP 5.5 のセキュリティサポートは、2016年7月 21日で終了しています。利用している方は、サポート対象のバージョンへの移 行を検討してください。詳細は、開発者や配布元が提供する情報を参照してく ださい。 関連文書 (英語) PHP Group PHP 7 ChangeLog Version 7.0.9 https://secure.php.net/ChangeLog-7.php#7.0.9 PHP Group PHP 5 ChangeLog Version 5.6.24 https://secure.php.net/ChangeLog-5.php#5.6.24 PHP Group PHP 5 ChangeLog Version 5.5.38 https://secure.php.net/ChangeLog-5.php#5.5.38 PHP Group Unsupported Branches https://secure.php.net/eol.php 【5】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Multiple Security Updates https://www.us-cert.gov/ncas/current-activity/2016/07/18/Apple-Releases-Multiple-Security-Updates 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユー ザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - OS X El Capitan v10.11.6 より前のバージョン - iOS 9.3.3 より前のバージョン - watchOS 2.2.2 より前のバージョン - tvOS 9.2.2 より前のバージョン - Safari 9.1.2 より前のバージョン - Windows 版 iTunes 12.4.2 より前のバージョン - Windows 版 iCloud 5.2.1 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94844193 複数の Apple 製品の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU94844193/ 関連文書 (英語) Apple About the security content of OS X El Capitan v10.11.6 and Security Update 2016-004 https://support.apple.com/en-us/HT206903 Apple About the security content of iOS 9.3.3 https://support.apple.com/en-us/HT206902 Apple About the security content of watchOS 2.2.2 https://support.apple.com/en-us/HT206904 Apple About the security content of tvOS 9.2.2 https://support.apple.com/en-us/HT206905 Apple About the security content of Safari 9.1.2 https://support.apple.com/en-us/HT206900 Apple About the security content of iTunes 12.4.2 for Windows https://support.apple.com/en-us/HT206901 Apple About the security content of iCloud for Windows 5.2.1 https://support.apple.com/en-us/HT206899 【6】Android OS に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#06212291 Android OS の電話帳アプリにおけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN06212291/ Japan Vulnerability Notes JVN#65273415 Android OS が CRIME 攻撃による影響を受けてしまう問題 https://jvn.jp/jp/JVN65273415/ 概要 Android OS には、複数の脆弱性があります。結果として、遠隔の第三者が、 細工したアプリケーションを使用させることでユーザの意図しない電話をかけ たり、中間者攻撃によって暗号通信を盗聴したりする可能性があります。 対象となるバージョンは以下の通りです。 - Android OS 4.1.2_r1 より前のバージョン この問題は、Android OS を、Google や配布元が提供する修正済みのバージョン に更新することで解決します。詳細は、Google や配布元が提供する情報を参 照してください。 【7】Objective Systems ASN1C で生成したソースコードにバッファオーバーフローの脆弱性 情報源 CERT/CC Vulnerability Note VU#790839 Objective Systems ASN1C generates code that contains a heap overlow vulnerability https://www.kb.cert.org/vuls/id/790839 概要 Objective Systems が提供する ASN1C で生成したソースコードには、バッファ オーバーフローの脆弱性があります。結果として、遠隔の第三者が任意のコー ドを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - ASN1C 7.0.1.x およびそれ以前で作成された C または C++ のソースコード この問題は、ASN1C 7.0.1.x に Objective Systems が提供する hotfix を適 用してから生成したソースコードを使うことで解決します。詳細は、Objective Systems が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99625371 Objective Systems ASN1C で生成したソースコードにバッファオーバーフローの脆弱性 https://jvn.jp/vu/JVNVU99625371/ 関連文書 (英語) Programa STIC Heap memory corruption in ASN.1 parsing code generated by Objective Systems Inc. ASN1C compiler for C/C++ https://github.com/programa-stic/security-advisories/tree/master/ObjSys/CVE-2016-5080 【8】Cisco UCS Performance Manager に任意のコマンドを実行可能な脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/07/20/Cisco-Releases-Security-Update 概要 Cisco UCS Performance Manager には、脆弱性があります。結果として、遠隔 の第三者が細工した HTTP GET リクエストを送信することで、任意のコマンド を実行する可能性があります。 対象となるバージョンは以下の通りです。 - Cisco UCS Performance Manager 2.0.0 およびそれ以前 この問題は、Cisco UCS Performance Manager を、Cisco が提供する修正済み のバージョンに更新することで解決します。詳細は、Cisco が提供する情報を 参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Unified Computing System Performance Manager Input Validation Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160720-ucsperf 【9】WordPress 用プラグイン「Nofollow Links」にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#13582657 WordPressプラグイン「Nofollow Links」におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN13582657/ 概要 WordPress 用プラグイン「Nofollow Links」には、クロスサイトスクリプティン グの脆弱性があります。結果として、遠隔の第三者が管理者としてログインし ているユーザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Nofollow Links バージョン 1.0.10 およびそれ以前 この問題は、Nofollow Links を、開発者が提供する修正済みのバージョンに 更新することで解決します。詳細は、開発者が提供する情報を参照してくださ い。 関連文書 (英語) Nofollow Links Changelog https://wordpress.org/plugins/nofollow-links/changelog/ 【10】EC-CUBE 用プラグイン「割引クーポンプラグイン」に SQL インジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#40696431 EC-CUBE 用プラグイン「割引クーポンプラグイン」における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN40696431/ 概要 EC-CUBE 用プラグイン「割引クーポンプラグイン」には、SQL インジェクション の脆弱性があります。結果として、遠隔の第三者がデータベース内の情報を取 得したり、改ざんしたりする可能性があります。 対象となるバージョンは以下の通りです。 - EC-CUBE 用プラグイン「割引クーポンプラグイン」 Ver1.5 およびそれ以前 この問題は、EC-CUBE 用プラグイン「割引クーポンプラグイン」を、株式会社 シードが提供する修正済みのバージョンに更新することで解決します。詳細は、 株式会社シードが提供する情報を参照してください。 関連文書 (日本語) EC-CUBE 割引クーポンプラグイン リリースノート https://www.ec-cube.net/release/detail.php?release_id=2154 【11】Vtiger CRM にアクセス制限不備の脆弱性 情報源 Japan Vulnerability Notes JVN#01956993 Vtiger CRM におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN01956993/ 概要 Vtiger CRM には、アクセス制限不備の脆弱性があります。結果として、一般 ユーザが、アカウントを作成したり、他のユーザの登録情報を改ざんしたりす る可能性があります。 対象となるバージョンは以下の通りです。 - Vtiger CRM 6.4.0 およびそれ以前 この問題は、Vtiger CRM を、Vtiger が提供する修正済みのバージョンに更新 することで解決します。詳細は、Vtiger が提供する情報を参照してください。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○CGI 等を利用するウェブサーバの脆弱性 (httpoxy) を標的としたアクセス 2016年7月20日、警察庁 @police は、「CGI等を利用するウェブサーバの脆弱 性(httpoxy)を標的としたアクセスの観測について」を公開しました。7月 19日に、本号【1】で紹介した「CGI 等を利用する Web サーバに脆弱性」を標 的としたアクセスを観測したということです。該当する製品をお使いの管理者 は、早急に対策することをお勧めします。 参考文献 (日本語) 警察庁 CGI 等を利用するウェブサーバの脆弱性(httpoxy)を標的としたアクセスの観測について https://www.npa.go.jp/cyberpolice/detect/pdf/20160720.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJXmA95AAoJEDF9l6Rp7OBIcacH/AjLJvlH5tf/50r6Jyr1lfzt 09EyhqjLjJ21fd8+ZvyoE3vd0rU+a9pKEZ2w8UZjKn2NwrHX6C8MXX73U78jXuv3 1xBJvZ/Zmsmn/CzGVKntFbDqnNVyxrPcNXziX2cJWgCJA44U6H03BO1Q6vKt4v2X 72XOZKjdYrWkiqN636jbqLvsvCRA3r9L+WMMncWzkcIrsLgyLeNv7PWzZkVQfN0h Zp+vfSRhlGeFqE5Bw5ZLdqhXI4X7Odh0JHDqBgfuJhSxz1U1pHHEFYW7k2fzlpyz 0BhszWUPLLysgkf6S46Jkm6vnAaksr1VPl+FVHBBO+RY1JJFtneZk4hRRBtmc+U= =4pFc -----END PGP SIGNATURE-----