JPCERT-WR-2016-4701
2016-11-30
2016-11-20
2016-11-26
Apache Tomcat に複数の脆弱性
Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。
対象となるバージョンは以下の通りです。
- Apache Tomcat 9.0.0.M1 から 9.0.0.M11 まで
- Apache Tomcat 8.5.0 から 8.5.6 まで
- Apache Tomcat 8.0.0.RC1 から 8.0.38 まで
- Apache Tomcat 7.0.0 から 7.0.72 まで
- Apache Tomcat 6.0.0 から 6.0.47 まで
この問題は、Apache Tomcat を、The Apache Software Foundation が提供す
る修正済みのバージョンに更新することで解決します。詳細は、The Apache
Software Foundation が提供する情報を参照してください。
The Apache Software Foundation
Fixed in Apache Tomcat 9.0.0.M13
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M13
The Apache Software Foundation
Fixed in Apache Tomcat 8.5.8
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.8
The Apache Software Foundation
Fixed in Apache Tomcat 8.0.39
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.39
The Apache Software Foundation
Fixed in Apache Tomcat 7.0.73
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.73
The Apache Software Foundation
Fixed in Apache Tomcat 6.0.48
https://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.48
NTP.org の ntpd に複数の脆弱性
Network Time Protocol Project (NTP.org) の ntpd には、複数の脆弱性があ
ります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うな
どの可能性があります。
対象となるバージョンは以下の通りです。
- ntp-4.2.8p9 より前のバージョンの ntp-4 系
この問題は、ntpd を、NTP.org が提供する修正済みのバージョンに更新する
ことで解決します。また、以下の回避策を適用することで、本脆弱性の影響を
軽減することが可能です。
- mode 6 のクエリは、ファイアウォールや ntpd の設定 (ntp.conf) などを
用いて信頼できるネットワークやホストからのみ許可する
詳細は、NTP.org が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#99531229
NTP.org の ntpd に複数の脆弱性
https://jvn.jp/vu/JVNVU99531229/
Network Time Protocol Project
November 2016 ntp-4.2.8p9 NTP Security Vulnerability Announcement (HIGH for Windows, MEDUIM otherwise)
http://support.ntp.org/bin/view/Main/SecurityNotice#November_2016_ntp_4_2_8p9_NTP_Se
Xen に複数の脆弱性
Xen には複数の脆弱性 (XSA-191〜XSA-198) があります。結果として、
ゲストユーザが、ホスト OS に対してサービス運用妨害 (DoS) 攻撃を行った
り、ホスト OS 上の機微な情報を読み取ったり、QEMU プロセスが動作する権
限に昇格したりするなどの可能性があります。
対象となるバージョンは、脆弱性によって異なります。
この問題は、Xen Project が提供するパッチを適用することで解決します。詳
細は、Xen Project が提供する情報を参照してください。
複数の VMware 製品に脆弱性
複数の VMware 製品には、脆弱性があります。結果として、遠隔の攻撃者が
VMware 製品が動作するサーバに対してサービス運用妨害 (DoS) 攻撃を行った
り、設定ファイルの情報を読み取ったりするなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- VMware Identity Manager 2.7.1 より前のバージョンの 2 系
- vRealize Automation 7.2.0 より前のバージョンの 7 系
- vRealize Automation 6.2.5 より前のバージョンの 6 系
- vSphere Client 5.5 / 6.0
- vCenter Server 5.5 / 6.0
この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
することで解決します。詳細は、VMware が提供する情報を参照してください。
phpMyAdmin に複数の脆弱性
phpMyAdmin には、複数の脆弱性 (PMASA-2016-57〜PMASA-2016-71) が
あります。結果として、遠隔の攻撃者が権限がないテーブルにアクセスしたり、
セキュリティ機構をバイパスしたり、ログインページに不正なコードを挿入し
たりするなどの可能性があります。
対象となるバージョンは以下の通りです。
- phpMyAdmin 4.0.10.18 より前のバージョン
- phpMyAdmin 4.4.15.9 より前のバージョン
- phpMyAdmin 4.6.5 より前のバージョン
この問題は、phpMyAdmin が提供する修正済みのバージョンに更新することで
解決します。詳細は、phpMyAdmin が提供する情報を参照してください。
phpMyAdmin
Security
https://www.phpmyadmin.net/security/
phpMyAdmin
phpMyAdmin 4.0.10.18
https://www.phpmyadmin.net/files/4.0.10.18/
phpMyAdmin
phpMyAdmin 4.4.15.9
https://www.phpmyadmin.net/files/4.4.15.9/
phpMyAdmin
phpMyAdmin 4.6.5
https://www.phpmyadmin.net/files/4.6.5/
phpMyAdmin
phpMyAdmin 4.6.5.1 is released
https://www.phpmyadmin.net/news/2016/11/26/phpmyadmin-4651-released/
phpMyAdmin
phpMyAdmin security issues
https://blog.cihar.com/archives/2016/11/28/phpmyadmin-security-issues/
ネットワークカメラや家庭用ルータ等の IoT 機器を使用する際はパスワードの変更を
2016年11月25日、情報処理推進機構 (IPA) は、「安心相談窓口だより ネット
ワークカメラや家庭用ルータ等のIoT機器は利用前に必ずパスワードの変更を」
を公開しました。2016年10月に発生した米国企業に対する大規模な DDoS 攻撃
に使用されたとされる「Mirai」マルウェアは「root」や「password」など、
IoT 機器の初期設定で使われているユーザ名やパスワードを使用して感染を拡
大していることから、IoT 機器を使用する際はパスワードを変更するよう呼び
かけています。
情報処理推進機構 (IPA)
安心相談窓口だより ネットワークカメラや家庭用ルータ等のIoT機器は利用前に必ずパスワードの変更を
https://www.ipa.go.jp/security/anshin/mgdayori20161125.html
JPCERT/CC WEEKLY REPORT 2016-10-19 【今週のひとくちメモ】
US-CERT が「Heightened DDoS Threat Posed by Mirai and Other Botnets」公開
https://www.jpcert.or.jp/wr/2016/wr164101.html#Memo