-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-3601 JPCERT/CC 2016-09-14 <<< JPCERT/CC WEEKLY REPORT 2016-09-14 >>> ―――――――――――――――――――――――――――――――――――――― ■09/04(日)〜09/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】WordPress に複数の脆弱性 【2】Fortinet FortiWAN ロードバランサアプライアンスに複数の脆弱性 【3】ADOdb にクロスサイトスクリプティングの脆弱性 【4】DEXIS Imaging Suite 10 に認証情報がハードコードされている問題 【5】Dentsply Sirona CDR DICOM に認証情報がハードコードされている問題 【6】Open Dental がデータベースのデフォルトパスワードとしてブランクを設定する問題 【7】「IoTセキュリティセミナー -IoTの未来とセキュリティの課題-」開催のお知らせ 【今週のひとくちメモ】警察庁が「平成28年上半期におけるインターネットバンキングに係る 不正送金事犯の発生状況等について」公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr163601.html https://www.jpcert.or.jp/wr/2016/wr163601.xml ============================================================================ 【1】WordPress に複数の脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/09/07/WordPress-Releases-Security-Update 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.6 およびそれ以前 この問題は、WordPress を、WordPress が提供する修正済みのバージョンに更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 関連文書 (日本語) WordPress WordPress 4.6.1 メンテナンス・セキュリティリリース https://ja.wordpress.org/2016/09/08/wordpress-4-6-1-security-and-maintenance-release/ 【2】Fortinet FortiWAN ロードバランサアプライアンスに複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#724487 Fortinet FortiWAN load balancer appliance contains multiple vulnerabilities https://www.kb.cert.org/vuls/id/724487 概要 FortiWAN ロードバランサアプライアンスには、複数の脆弱性があります。結 果として、管理者でないユーザが、root 権限で任意のコードを実行したり、 ユーザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があり ます。 対象となる製品は以下の通りです。 - FortiWAN 4.2.5 より前のバージョン この問題は、FortiWAN を、Fortinet, Inc が提供する修正済みのバージョン に更新することで解決します。詳細は、Fortinet, Inc が提供する情報を参照 してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97260486 Fortinet FortiWAN ロードバランサアプライアンスに複数の脆弱性 https://jvn.jp/vu/JVNVU97260486/ 関連文書 (英語) Fortinet FortiWAN - Release Notes Version 4.2.5 http://docs.fortinet.com/uploaded/files/3236/fortiwan-v4.2.5-release-notes.pdf 【3】ADOdb にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#48237713 ADOdb におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN48237713/ 概要 ADOdb には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - ADOdb 5.20.6 より前のバージョン この問題は、ADOdb を、開発者が提供する修正済みのバージョンに更新するこ とで解決します。また、以下の回避策を適用することで、本脆弱性の影響を軽 減することが可能です。 - ./tests ディレクトリ以下を削除する 詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) ADOdb CVE-2016-4855: XSS vulnerability in old test script #274 https://github.com/ADOdb/ADOdb/issues/274 【4】DEXIS Imaging Suite 10 に認証情報がハードコードされている問題 情報源 CERT/CC Vulnerability Note VU#282991 DEXIS Imaging Suite 10 contains hard-coded credentials https://www.kb.cert.org/vuls/id/282991 概要 DEXIS Imaging Suite 10 には、認証情報がハードコードされている問題があ ります。結果として、遠隔の第三者が管理者権限で患者情報データベースにア クセスする可能性があります。 対象となるバージョンは以下の通りです。 - DEXIS Imaging Suite 10 この問題は、DEXIS Imaging Suite 10 を、DEXIS が提供する修正済みのバー ジョンに更新することで解決します。また、以下の回避策を適用することで、 本脆弱性の影響を軽減することが可能です。 - データベースの認証情報を変更する 詳細は、DEXIS が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91018225 DEXIS Imaging Suite 10 に認証情報がハードコードされている問題 https://jvn.jp/vu/JVNVU91018225/ 【5】Dentsply Sirona CDR DICOM に認証情報がハードコードされている問題 情報源 CERT/CC Vulnerability Note VU#548399 Dentsply Sirona CDR DICOM contains multiple hard-coded credentials https://www.kb.cert.org/vuls/id/548399 概要 CDR DICOM には、認証情報がハードコードされている問題があります。結果と して、遠隔の第三者が管理者権限でデータベースにアクセスする可能性があり ます。 対象となる製品は以下の通りです。 - CDR DICOM この問題は、Sirona が提供する情報をもとにデータベースの認証情報を変更 することで解決します。詳細は、Sirona が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94423160 Dentsply Sirona CDR DICOM に認証情報がハードコードされている問題 https://jvn.jp/vu/JVNVU94423160/ 関連文書 (英語) Sirona CDR Dicom Security Information https://www.schickbysirona.com/items.php?itemid=19189 【6】Open Dental がデータベースのデフォルトパスワードとしてブランクを設定する問題 情報源 CERT/CC Vulnerability Note VU#619767 Open Dental uses blank database password by default https://www.kb.cert.org/vuls/id/619767 概要 Open Dental には、データベースのデフォルトパスワードとしてブランクを設 定する問題があります。結果として、遠隔の第三者が、管理者権限で患者情報 データベースにアクセスする可能性があります。 対象となる製品は以下の通りです。 - Open Dental この問題は、Open Dental が提供する情報をもとに MySQL の認証情報を変更 することで解決します。詳細は、Open Dental が提供する情報を参照してくだ さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94993132 Open Dental がデータベースのデフォルトパスワードとしてブランクを設定する問題 https://jvn.jp/vu/JVNVU94993132/ 関連文書 (英語) Open Dental MySQL Security http://www.opendental.com/manual/securitymysql.html 【7】「IoTセキュリティセミナー -IoTの未来とセキュリティの課題-」開催のお知らせ 情報源 日本ネットワークセキュリティ協会 IoTセキュリティセミナー -IoTの未来とセキュリティの課題- http://www.jnsa.org/seminar/2016/1026/ 概要 2016年10月26日、日本ネットワークセキュリティ協会 (JNSA) は、IoT セキュ リティセミナーを開催します。本セミナーでは、ネットワーク観測からわかる IoT のサイバーセキュリティ実情に関する基調講演、ロボットとセキュリティ に関する講演、JNSA が考える IoT セキュリティの課題と対策に関する講演が 行われます。 そのほかにも、IoT セキュリティに関連する 6団体により、「IoTに関する指 針やガイドをどう読むか?」をテーマとしたパネルディスカッションが行われ ます。 講演日時: 2016年10月26日 (木) 13時00分-17時30分 (予定) 会場: 東京都中央区日本橋箱崎町19 IBM箱崎ビル 301セミナールーム 参加費: 無料 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○警察庁が「平成28年上半期におけるインターネットバンキングに係る 不正送金事犯の発生状況等について」公開 2016年9月8日、警察庁は、「平成28年上半期におけるインターネットバンキン グに係る 不正送金事犯の発生状況等について」を公開しました。この報告によ ると、今年の上半期は昨年の下半期と比較して、被害の発生件数は上回ったも のの被害額は減少しており、都市銀行等の被害額は、法人口座で減少、個人口 座で増加しているとのことです。また、電子証明書を使用している法人口座で の被害はなかったとのことです。 参考文献 (日本語) 警察庁 平成28年上半期におけるインターネットバンキングに係る 不正送金事犯の発生状況等について https://www.npa.go.jp/cyber/pdf/H280908_banking.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJX2JQDAAoJEDF9l6Rp7OBIiVkH/1H7GpyYB6ZqDoSwVqTyZT3h 9M5Uwu0VdQ8clCSzleuwovOvgyBEaSEkyVPkWzCagwE0HlLGUIF/oHLcQZPCMa90 FcVNufjCcID9eSpk6XgMHbN+1mi7elGXSU1u0HlKYA6R4ZpLWCcO55vU+h6KWli2 qqqJKSO6SsDXOZLa7udxZGXOMxoqHovaXyJ/5JX1S1qlneec1GkXBDzezUl831Kv QS0pu08sDkI9YTNO0zFEJDkrR/OVJeC4dNuCdrONG2gsg2Ye+rR0SUYa5l0CvUC6 mN76KXWp+o3UaXFi6zlISns17laZjLd0BJtZ0voF6E4GpclpiQszLOfKXQfPVo8= =3wBy -----END PGP SIGNATURE-----