JPCERT-WR-2016-4901
2016-12-14
2016-12-04
2016-12-10
Apache HTTP Web Server にサービス運用妨害 (DoS) の脆弱性
Apache HTTP Web Server の HTTP/2 プロトコルの処理には、脆弱性がありま
す。結果として、遠隔の第三者が、細工した HTTP/2 リクエストを送信するこ
とで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- Apache HTTP web server 2.4.17 から 2.4.23 まで
2016年12月13日現在、対策済みのバージョンは公開されていません。なお、ソー
スコードリポジトリでは、修正が行われています。以下の回避策を適用するこ
とで、本脆弱性の影響を軽減することが可能です。
- 設定ファイル内の 'Protocols' 行から 'h2' および 'h2c' を削除することで HTTP/2 を無効にする
詳細は、Apache Software Foundation が提供する情報を参照してください。
httpd-announce mailing list archives
CVE-2016-8740, Server memory can be exhausted and service denied when HTTP/2 is used
https://mail-archives.apache.org/mod_mbox/httpd-announce/201612.mbox/%3C1A097A43-7CCB-4BA1-861F-E0C7EEE83A4B%40apache.org%3E
PHP に複数の脆弱性
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。
対象となるバージョンは以下の通りです。
- PHP 7.0.14 より前のバージョン
- PHP 5.6.29 より前のバージョン
この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。
PHP Group
PHP 7 ChangeLog Version 7.0.14
https://secure.php.net/ChangeLog-7.php#7.0.14
PHP Group
PHP 5 ChangeLog Version 5.6.29
https://secure.php.net/ChangeLog-5.php#5.6.29
BSD libc にバッファオーバーフローの脆弱性
BSD libc には、バッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は以下の通りです。
- BSD libc
この問題は、BSD libc を、使用している OS のベンダや配布元が提供する修
正済みのバージョンに更新することで解決します。詳細は、開発者が提供する
情報を参照してください。
Japan Vulnerability Notes JVNVU#91242711
BSD libc にバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU91242711/
]
The FreeBSD Project
link_ntoa(3) buffer overflow
https://www.freebsd.org/security/advisories/FreeBSD-SA-16:37.libc.asc
三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールに複数の脆弱性
三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールには、
複数の脆弱性があります。結果として、遠隔の第三者が、パスワードを取得し
たり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- QJ71E71-100 のすべてのバージョン
- QJ71E71-B5 のすべてのバージョン
- QJ71E71-B2 のすべてのバージョン
この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン
に更新し、以下の設定を行うことで解決します。
- 適切な送信元からの通信のみを許可するように IP フィルタリング機能を設定する
詳細は、三菱電機株式会社が提供する情報を参照してください。
ISC-CERT Advisory (ICSA-16-336-03)
Mitsubishi Electric MELSEC-Q Series Ethernet Interface Module Vulnerabilities
https://ics-cert.us-cert.gov/advisories/ICSA-16-336-03
ForeScout CounterACT SecureConnector エージェントに権限昇格の脆弱性
ForeScout CounterACT SecureConnector エージェント には、権限昇格の脆弱
性があります。結果として、一般ユーザが SYSTEM 権限を取得する可能性があ
ります。
対象となる製品は以下の通りです。
- SecureConnector の Windows 向けエージェント
この問題は、SecureConnector に ForeScout Technologies Inc. が提供する
HPS Inspection Engine Plugin, version 10.4.1.1 を適用することで解決し
ます。詳細は、ForeScout Technologies Inc. が提供する情報を参照してくだ
さい。
Japan Vulnerability Notes JVNVU#96676747
ForeScout CounterACT SecureConnector エージェントに権限昇格の脆弱性
https://jvn.jp/vu/JVNVU96676747/
Sleipnir for Mac にアドレス表示偽装の脆弱性
Sleipnir for Mac には、アドレス表示偽装の脆弱性があります。結果として、
遠隔の第三者がアドレス表示欄の URL を偽装し、意図しないサイトに誘導す
る可能性があります。
対象となるバージョンは以下の通りです。
- Sleipnir 4 Black Edition for Mac (インストーラ版) 4.5.3 およびそれ以前
- Sleipnir 4 for Mac (Mac App Store 版) 4.5.3 およびそれ以前
この問題は、 Sleipnir for Mac をフェンリル株式会社が提供する修正済みの
バージョンに更新することで解決します。詳細は、フェンリル株式会社が提供
する情報を参照してください。
Sleipnir Browser
バージョン 4.5.4 の新機能
https://itunes.apple.com/jp/app/sleipnir-browser/id475299388
Android アプリ「株式会社三菱東京UFJ銀行」に SSL/TLS ダウングレード攻撃が可能となる脆弱性
Android アプリ「株式会社三菱東京UFJ銀行」には、SSL/TLS ダウングレー
ド攻撃が可能となる脆弱性があります。結果として、遠隔の第三者が、中間者
攻撃によって暗号通信を盗聴するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Android アプリ「株式会社三菱東京UFJ銀行」 ver5.3.1
- Android アプリ「株式会社三菱東京UFJ銀行」 ver5.2.2 およびそれ以前
この問題は、Android アプリ「株式会社三菱東京UFJ銀行」を、株式会社三
菱東京UFJ銀行が提供する修正済みのバージョンに更新することで解決しま
す。詳細は、株式会社三菱東京UFJ銀行が提供する情報を参照してください。
PHP FormMail Generator で作成した PHP コードに複数の脆弱性
PHP FormMail Generator で作成した PHP コードには、複数の脆弱性がありま
す。結果として、遠隔の第三者が、ウェブフォームの管理パネルにアクセスし
たり、任意のファイルを取得したりする可能性があります。
対象となるバージョンは以下の通りです。
- 2016年12月6日より前に PHP FormMail Generator で生成した PHP コード
この問題は、PHP コードを PHP FormMail Generator で再生成することで解決
します。詳細は、PHP Form Mail Maker が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#99577809
PHP FormMail Generator で作成した PHP コードに複数の脆弱性
https://jvn.jp/vu/JVNVU99577809/
IPA が「サイバーセキュリティ経営ガイドライン解説書」を公開
2016年12月8日、情報処理推進機構 (IPA) は、「サイバーセキュリティ経営ガ
イドライン解説書」を公開しました。このドキュメントは、2015年12月に策定
された「サイバーセキュリティ経営ガイドライン」の実施方法を解説したもの
です。ガイドラインが示す重要 10項目について、仮想の中小企業および大企
業を例に、それぞれの検討手順や注意すべきポイントをまとめています。
経済産業省
サイバーセキュリティ経営ガイドライン
http://www.meti.go.jp/policy/netsecurity/mng_guide.html
2017年1月1日に「うるう秒」を挿入
2017年1月1日に「うるう秒」が挿入されます。これは原子時計に基づく時刻と
天文時に基づく時刻とのずれを調整するためのもので、日本では国立研究開発
法人情報通信研究機構 (NICT) が、2017年1月1日午前 8時59分59秒と
9時00分00秒の間に「8時59分60秒」を挿入する予定です。
サーバの管理者は、万が一トラブルが発生した場合に備え、緊急時における連
絡体制や、ソフトウェアのアップデートが適切に実施されているかを確認して
ください。
また、Google、Akamai、Bloomberg などが運用している各 NTP サーバでは、
1秒追加という形ではなく、一定の期間クロックを遅らせるという対応を行う
とアナウンスしています。
国立研究開発法人 情報通信研究機構(NICT)
「うるう秒」挿入のお知らせ
https://www.nict.go.jp/press/2016/07/08-1.html
Google Public NTP
Leap Smear
https://developers.google.com/time/smear