-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-3401 JPCERT/CC 2016-08-31 <<< JPCERT/CC WEEKLY REPORT 2016-08-31 >>> ―――――――――――――――――――――――――――――――――――――― ■08/21(日)〜08/27(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apple iOS に複数の脆弱性 【2】VMware Identity Manager および vRealize Automation に複数の脆弱性 【3】FortiGate および FortiSwitch にバッファオーバーフローの脆弱性 【4】サイボウズ ガルーンに複数の脆弱性 【5】LINE PC版(Windows版)にダウンロードファイル検証不備の脆弱性 【6】Accellion kiteworks に複数の脆弱性 【7】夜フクロウにサービス運用妨害 (DoS) の脆弱性 【8】シンプルチャットにクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】NISC が「安全なIoTシステムのためのセキュリティに関する一般的枠組」公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr163401.html https://www.jpcert.or.jp/wr/2016/wr163401.xml ============================================================================ 【1】Apple iOS に複数の脆弱性 情報源 US-CERT Current Activity Apple Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/08/25/Apple-Releases-Security-Update 概要 Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、情報を取得したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - iOS 9.3.5 より前のバージョン この問題は、iOS を、Apple が提供する修正済みのバージョンに更新すること で解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99497792 Apple iOS に複数の脆弱性 https://jvn.jp/vu/JVNVU99497792/ 関連文書 (英語) Apple About the security content of iOS 9.3.5 https://support.apple.com/en-us/HT207107 【2】VMware Identity Manager および vRealize Automation に複数の脆弱性 情報源 US-CERT Current Activity VMWare Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/08/24/VMWare-Releases-Security-Updates 概要 VMware Identity Manager および vRealize Automation には、複数の脆弱性 があります。結果として、ユーザがより高い権限を取得したり、遠隔の第三者 が任意のコードを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware Identity Manager 2.7 より前のバージョン - vRealize Automation 7.1 より前の 7 系 この問題は、該当する製品を、VMWare が提供する修正済みのバージョンに更 新することで解決します。詳細は、VMWare が提供する情報を参照してくださ い。 関連文書 (英語) VMware Security Advisories VMware Identity Manager and vRealize Automation updates address multiple security issues https://www.vmware.com/security/advisories/VMSA-2016-0013.html 【3】FortiGate および FortiSwitch にバッファオーバーフローの脆弱性 情報源 US-CERT Current Activity Fortinet Releases Security Advisory https://www.us-cert.gov/ncas/current-activity/2016/08/22/Fortinet-Releases-Security-Advisory 概要 FortiGate および FortiSwitch には、バッファオーバーフローの脆弱性があ ります。結果として、遠隔の第三者が当該製品上で任意のコードを実行する可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - FortiGate 4.3.8 およびそれ以前 - FortiGate 4.2.12 およびそれ以前 - FortiGate 4.1.10 およびそれ以前 - FortiSwitch 3.4.2 およびそれ以前 この問題は、該当する製品のファームウェアを、Fortinet が提供する修正済 みのバージョンに更新することで解決します。また、以下の回避策を適用する ことで、本脆弱性の影響を軽減することが可能です。 - HTTP および HTTPS を使用した admin アクセスを制限する - HTTP および HTTPS によるアクセスを許可された接続元のみに制限する 詳細は、Fortinet が提供する情報を参照してください。 関連文書 (英語) Fortinet Cookie Parser Buffer Overflow Vulnerability https://fortiguard.com/advisory/FG-IR-16-023 【4】サイボウズ ガルーンに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#93411577 サイボウズ ガルーンにおけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN93411577/ Japan Vulnerability Notes JVN#89211736 サイボウズ ガルーンにおける認証回避の脆弱性 https://jvn.jp/jp/JVN89211736/ Japan Vulnerability Notes JVN#83568336 サイボウズ ガルーンにおける SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN83568336/ Japan Vulnerability Notes JVN#67595539 サイボウズ ガルーンにおける複数のクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN67595539/ Japan Vulnerability Notes JVN#67266823 サイボウズ ガルーンにおけるオープンリダイレクトの脆弱性 https://jvn.jp/jp/JVN67266823/ 概要 サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第 三者が、認証を回避したり、ユーザの意図しない SQL 文を実行したり、ユー ザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ ガルーン 3.0.0 から 4.2.1 まで この問題は、サイボウズ ガルーンを、サイボウズ株式会社が提供する修正済 みのバージョンに更新することで解決します。詳細は、サイボウズ株式会社が 提供する情報を参照してください。 関連文書 (日本語) サイボウズ株式会社 [CyVDB-1076]エラー画面に関する閲覧制限回避の脆弱性 https://support.cybozu.com/ja-jp/article/9407 サイボウズ株式会社 [CyVDB-1071]APIに関する不適切な認証の脆弱性 https://support.cybozu.com/ja-jp/article/9408 サイボウズ株式会社 [CyVDB-1052]メッセージに関するSQLインジェクションの脆弱性 https://support.cybozu.com/ja-jp/article/9414 サイボウズ株式会社 サイボウズ ガルーン 4 脆弱性に関するお知らせ https://cs.cybozu.co.jp/2016/006226.html サイボウズ株式会社 [CyVDB-1023]スケジュールに関するOpen Redirectの脆弱性 https://support.cybozu.com/ja-jp/article/9221 【5】LINE PC版(Windows版)にダウンロードファイル検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#05924524 LINE PC版(Windows版)におけるダウンロードファイル検証不備の脆弱性 https://jvn.jp/jp/JVN05924524/ 概要 LINE PC版(Windows版)には、ダウンロードファイル検証不備の脆弱性があり ます。結果として、遠隔の第三者が、中間者攻撃によって、不正なファイルを ダウンロードさせたり、不正なプログラムを実行させたりする可能性がありま す。 対象となるバージョンは以下の通りです。 - LINE PC版(Windows版) ver 4.8.2.1125 およびそれ以前 この問題は、LINE PC版(Windows版)を、LINE株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、LINE株式会社が提供する情 報を参照してください。 関連文書 (日本語) LINE株式会社 【脆弱性情報】LINE PC版(Windows) における安全にアップデートを行えない問題に関するお知らせ https://linecorp.com/ja/security/article/65 【6】Accellion kiteworks に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#305607 Accellion Kiteworks contains multiple vulnerabilities https://www.kb.cert.org/vuls/id/305607 概要 kiteworks には、複数の脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行したり、当該製品のユーザが root 権限で任意のコマンドを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - kiteworks version kw2016.03.00 より前のバージョン この問題は、kiteworks を、Accellion が提供する修正済みのバージョンに更 新することで解決します。詳細は、Accellion が提供する情報を参照してくだ さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97606905 Accellion kiteworks に複数の脆弱性 https://jvn.jp/vu/JVNVU97606905/ 【7】夜フクロウにサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVN#94816361 夜フクロウにおけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN94816361/ 概要 夜フクロウには、脆弱性があります。結果として、遠隔の第三者がサービス運 用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - 夜フクロウ バージョン 2.84 およびそれ以前 この問題は、夜フクロウを、aki_null が提供する修正済みのバージョンに更 新することで解決します。詳細は、aki_null が提供する情報を参照してくだ さい。 関連文書 (日本語) 夜フクロウ チェンジログ https://aki-null.net/yf/distribution/changelog_sl_ja.html 【8】シンプルチャットにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#42262137 シンプルチャットにおけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN42262137/ 概要 シンプルチャットには、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - シンプルチャット 2016年8月15日公開版より前のバージョン この問題は、シンプルチャットを、レッツPHP! が提供する修正済みのバージョン に更新することで解決します。詳細は、レッツPHP! が提供する情報を参照し てください。 関連文書 (日本語) レッツPHP! シンプルチャット http://php.s3.to/chat/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○NISC が「安全なIoTシステムのためのセキュリティに関する一般的枠組」公開 2016年8月26日、内閣官房内閣サイバーセキュリティセンター (NISC) は、「安 全なIoTシステムのためのセキュリティに関する一般的枠組」を公開しました。 この枠組は、セキュリティ・バイ・デザインが不可欠な IoT システムの設計、 構築、運用に求められる事項をまとめたものです。「基本原則」として要件定 義の際に明確化すべき 6つの項目、「取組方針」として要求事項の明確化やリ スクに応じた対応などの 7つの方針が提示されています。 参考文献 (日本語) 内閣官房内閣サイバーセキュリティセンター (NISC) 安全なIoTシステムのためのセキュリティに関する一般的枠組 http://www.nisc.go.jp/active/kihon/pdf/iot_framework2016.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJXxiwgAAoJEDF9l6Rp7OBI23wIAICMyjEqHbceJ7CcCuqZWfI7 l79F3chc/5k1D0WXdVCQQiXcMB3cTT3/NKeJAdzQhpJ4/g5utpvpu83D0wqSofRT Sasrw6JNR6FnYBQ7WVN+ryNNc8isr6/pwhQkzJ2rKounFSk562ghHMfAsc70zDDh WKPkVeZZvMLOiX4e2xY3LHcQfcQAjOftHxs+3xCcYGporTFND37BfgYIEpe3fHFA QTx4CStduqBCd2DU7PqlMss+5Z7/OvTS/OxoJp4dizyUT0Ep/ZDCM6QzVlOa1ahc C2o3YHuoaIOUczpQfyw2cRy6D5XQiL1fghuh69PZc3GM9epjSprqxPuvHE7T5uE= =Dnex -----END PGP SIGNATURE-----