-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-4501 JPCERT/CC 2016-11-16 <<< JPCERT/CC WEEKLY REPORT 2016-11-16 >>> ―――――――――――――――――――――――――――――――――――――― ■11/06(日)〜11/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Microsoft 製品に脆弱性 【2】Adobe Flash Player および Adobe Connect に脆弱性 【3】PHP に複数の脆弱性 【4】OpenSSL に複数の脆弱性 【5】アイ・オー・データ製の複数のネットワークカメラ製品に情報漏えいの脆弱性 【6】コレガ製の複数の無線 LAN ルータにクロスサイトスクリプティングの脆弱性 【7】CG-WLR300NX に複数の脆弱性 【8】「JPCERT/CC WEEKLY REPORT 2016-11-09」の PGP 署名の不具合についてのお詫び 【今週のひとくちメモ】JPCERT/CC が「制御システムセキュリティ自己評価ツール(J-CLICS)」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr164501.html https://www.jpcert.or.jp/wr/2016/wr164501.xml ============================================================================ 【1】複数の Microsoft 製品に脆弱性 情報源 US-CERT Current Activity Microsoft Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/11/08/Microsoft-Releases-Security-Updates 概要 複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Edge - Microsoft Office - Microsoft Office Services および Web Apps - Microsoft SQL Server - Internet Explorer この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 2016 年 11 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/ja-jp/library/security/ms16-Nov JPCERT/CC Alert 2016-11-09 2016年 11月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160046.html 【2】Adobe Flash Player および Adobe Connect に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2016/11/08/Adobe-Releases-Security-Updates 概要 Adobe Flash Player および Adobe Connect には脆弱性があります。結果とし て、遠隔の第三者が、任意のコードを実行したり、ユーザのブラウザ上で任意 のスクリプトを実行したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 23.0.0.205 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.643 およびそれ以前 (Linux 版) - Adobe Connect 9.5.6 およびそれ以前 (Windows 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe セキュリティ情報 Adobe Flash Player に関するセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/flash-player/apsb16-37.html Adobe セキュリティ情報 Adobe Connect 用のセキュリティアップデート公開 https://helpx.adobe.com/jp/security/products/connect/apsb16-35.html JPCERT/CC Alert 2016-11-09 Adobe Flash Player の脆弱性 (APSB16-37) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160045.html 【3】PHP に複数の脆弱性 情報源 PHP Group PHP 7.0.13 Released https://secure.php.net/archive/2016.php#id2016-11-10-1 PHP Group PHP 5.6.28 is available https://secure.php.net/archive/2016.php#id2016-11-10-3 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 対象となるバージョンは以下の通りです。 - PHP 7.0.13 より前のバージョン - PHP 5.6.28 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。 関連文書 (英語) PHP Group PHP 7 ChangeLog Version 7.0.13 https://secure.php.net/ChangeLog-7.php#7.0.13 PHP Group PHP 5 ChangeLog Version 5.6.28 https://secure.php.net/ChangeLog-5.php#5.6.28 【4】OpenSSL に複数の脆弱性 情報源 US-CERT Current Activity OpenSSL Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/11/10/OpenSSL-Releases-Security-Update 概要 OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者がサービ ス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.1.0c より前のバージョン - OpenSSL 1.0.2 この問題は、OpenSSL を、使用している OS のベンダや配布元が提供する修正 済みのバージョンに更新することで解決します。詳細は、開発者が提供する情 報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92930223 OpenSSL に複数の脆弱性 https://jvn.jp/vu/JVNVU92930223/ 関連文書 (英語) OpenSSL Project OpenSSL Security Advisory [10 Nov 2016] https://www.openssl.org/news/secadv/20161110.txt 【5】アイ・オー・データ製の複数のネットワークカメラ製品に情報漏えいの脆弱性 情報源 Japan Vulnerability Notes JVN#34103586 アイ・オー・データ製の複数のネットワークカメラ製品における情報漏えいの脆弱性 https://jvn.jp/jp/JVN34103586/ 概要 アイ・オー・データ製の複数のネットワークカメラ製品には、脆弱性がありま す。結果として、該当製品にアクセス可能な第三者が認証情報などを取得する 可能性があります。 対象となる製品およびバージョンは以下の通りです。 - TS-WRLP ファームウェア バージョン 1.00.01 およびそれ以前 - TS-WRLA ファームウェア バージョン 1.00.01 およびそれ以前 この問題は、該当する製品のファームウェアを株式会社アイ・オー・データ機 器が提供する修正済みのバージョンに更新することで解決します。詳細は、株 式会社アイ・オー・データ機器が提供する情報を参照してください。 関連文書 (日本語) 株式会社アイ・オー・データ機器 ネットワークカメラ「TS-WRLP」「TS-WRLA」情報漏えいの脆弱性について http://www.iodata.jp/support/information/2016/ts-wrlap/ 【6】コレガ製の複数の無線 LAN ルータにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#25060672 コレガ製の複数の無線 LAN ルータにおけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN25060672/ 概要 コレガ製の複数の無線 LAN ルータには、クロスサイトスクリプティングの脆 弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のス クリプトを実行する可能性があります。 対象となる製品は以下の通りです。 - CG-WLBARGMH - CG-WLBARGNL 2016年11月16日現在、CG-WLBARGMH および CG-WLBARGNL の開発は終了してい ます。該当する機器の使用を停止してください。詳細は、株式会社コレガが提 供する情報を参照してください。 関連文書 (日本語) 株式会社コレガ クロスサイトスクリプティングの脆弱性について http://corega.jp/support/security/20161111_wlbargmh_wlbargnl.htm 【7】CG-WLR300NX に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#23823838 CG-WLR300NX におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN23823838/ Japan Vulnerability Notes JVN#92237169 CG-WLR300NX におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN92237169/ Japan Vulnerability Notes JVN#23549283 CG-WLR300NX におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN23549283/ 概要 CG-WLR300NX には、複数の脆弱性があります。結果として、遠隔の第三者が、 ユーザの意図しない操作を実行したり、ユーザのブラウザ上で任意のスクリプ トを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - CG-WLR300NX ファームウェア Ver. 1.20 およびそれ以前 この問題は、CG-WLR300NX のファームウェアを、株式会社コレガが提供する修 正済みのバージョンに更新することで解決します。詳細は、株式会社コレガが 提供する情報を参照してください。 関連文書 (日本語) 株式会社コレガ CG-WLR300NXの複数の脆弱性について http://corega.jp/support/security/20161111_wlr300nx.htm 【8】「JPCERT/CC WEEKLY REPORT 2016-11-09」の PGP 署名の不具合についてのお詫び 情報源 JPCERT/CC JPCERT/CC WEEKLY REPORT 2016 https://www.jpcert.or.jp/wr/2016.html 概要 2016年11月9日(水)発行の「Weekly Report 2016-11-09号」において、送信 されたメールが PGP 署名検証に失敗する状態でした。これは作成した記事の 一部に特殊な文字が含まれており、署名作成後、メール送信時に、システムに より本文が書き換えられてしまったことが原因です。 該当箇所は現在公開中の「Weekly Report 2016-11-09号」では修正されていま す。なお、記事内容には変更はありません。 皆様にご迷惑をおかけいたしましたことをお詫び申し上げます。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CC が「制御システムセキュリティ自己評価ツール(J-CLICS)」を公開 2016年11月10日、JPCERT/CC は「制御システムセキュリティ自己評価ツール (J-CLICS)」を公開しました。このツールは、日本版SSAT (SCADA Self Assessment Tool) の項目をもとに作成したもので、制御システムのセキュリ ティ対策状況を把握する「チェックリスト」と、チェックリストの設問ごとに 取り組むべき具体策等がわかる解説書「設問項目ガイド」で構成されています。 制御システムに関わるセキュリティ対策を立案・実施する際にご活用ください。 参考文献 (日本語) JPCERT/CC 制御システムセキュリティ自己評価ツール(J-CLICS) https://www.jpcert.or.jp/ics/jclics.html JPCERT/CC 日本版SSAT(Scada Self Assessment Tool) https://www.jpcert.or.jp/ics/ssat.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYK7LPAAoJEDF9l6Rp7OBINjQIAJE/msQezALsW50DSE5lnmJM rmzkBo7+mbmX9QYEiEBPg+MGHVB1t5hUaWGt4JTqoff8YkBL2+JMOcAOO8s8cUgT Bu+6l1Cf+VhflY1QDfpOG+T2DzjidIDRaS02FQkK2ub/+Qo5AyCr4oFVtakkAWJ3 lLcN8YaGmZNrBGwp6XKHzkiRLPEsq+qhShTen6bHCKKTQvaOMLuIVD1thiQSDXZ1 3P2Q2cm66l+BCsC2ZB4A756x+PDIclhjGhoVSqnQZ67OtlFtjkbSzgAdJp2Jtwpq juChFFWqkyJtkyWyf3Ka/LbZtI6rYNfcZkUGJ3tXQYwYsG9ZJsNz832xfiT91KU= =JIf+ -----END PGP SIGNATURE-----