<<< JPCERT/CC WEEKLY REPORT 2017-03-08 >>>
■02/26(日)〜03/04(土) のセキュリティ関連情報
目 次
【1】一太郎シリーズにバッファオーバーフローの脆弱性
【2】Cisco NetFlow Generation Appliance (NGA) にサービス運用妨害 (DoS) の脆弱性
【3】アイ・オー・データ製の複数のネットワークカメラ製品に脆弱性
【4】PrimeDrive デスクトップアプリケーションのインストーラに任意の DLL 読み込みに関する脆弱性
【5】CubeCart にディレクトリトラバーサルの脆弱性
【6】WBCE CMS に複数の脆弱性
【7】Sage XRT Treasury にアクセス制限不備の脆弱性
【8】スマートフォンアプリ「アクセスCX」に SSL サーバ証明書の検証不備の脆弱性
【今週のひとくちメモ】CRYPTREC が「SHA-1 の安全性低下について」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr170901.txt
https://www.jpcert.or.jp/wr/2017/wr170901.xml
【1】一太郎シリーズにバッファオーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVNVU#98045645
一太郎シリーズにバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU98045645/
概要
一太郎シリーズには、バッファオーバーフローの脆弱性があります。結果とし て、第三者が、細工したファイルをユーザに開かせることで、サービス運用妨 害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - 一太郎2016 - 一太郎2015 - 一太郎Pro 3 - 一太郎Pro 2 - 一太郎Pro - 一太郎Government 8 - 一太郎Government 7 - 一太郎Government 6 - 一太郎2011 創/一太郎2011 - 一太郎2010 - 一太郎ガバメント2010 この問題は、該当する製品をジャストシステムが提供する修正済みのバージョン に更新することで解決します。詳細は、ジャストシステムが提供する情報を参 照してください。
関連文書 (日本語)
ジャストシステム
「一太郎」を安心してお使いいただくために
https://www.justsystems.com/jp/info/js17001.html
【2】Cisco NetFlow Generation Appliance (NGA) にサービス運用妨害 (DoS) の脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2017/03/01/Cisco-Releases-Security-Update
概要
Cisco NetFlow Generation Appliance (NGA) には、サービス運用妨害 (DoS) の脆弱性があります。結果として、遠隔の第三者が、細工した SCTP パケット を送信することで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - Cisco NetFlow Generation Appliance (NGA) 3140 - Cisco NetFlow Generation Appliance (NGA) 3240 - Cisco NetFlow Generation Appliance (NGA) 3340 この問題は、該当する製品のソフトウェアを Cisco が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Cisco が提供する情報を参照し てください。
関連文書 (英語)
Cisco Security Advisory
Cisco NetFlow Generation Appliance Stream Control Transmission Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170301-nga
【3】アイ・オー・データ製の複数のネットワークカメラ製品に脆弱性
情報源
Japan Vulnerability Notes JVN#46830433
アイ・オー・データ製の複数のネットワークカメラ製品に複数の脆弱性
https://jvn.jp/jp/JVN46830433/
概要
アイ・オー・データ製の複数のネットワークカメラ製品には、脆弱性がありま す。結果として、遠隔の第三者が、任意の OS コマンドを実行したり、ユーザ のブラウザ上で偽の情報を表示したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - TS-WPTCAM ファームウェア バージョン 1.18 およびそれ以前 - TS-WPTCAM2 ファームウェア バージョン 1.00 - TS-WLCE ファームウェア バージョン 1.18 およびそれ以前 - TS-WLC2 ファームウェア バージョン 1.18 およびそれ以前 - TS-WRLC ファームウェア バージョン 1.17 およびそれ以前 この問題は、該当する製品のファームウェアを株式会社アイ・オー・データ機 器が提供する修正済みのバージョンに更新することで解決します。詳細は、株 式会社アイ・オー・データ機器が提供する情報を参照してください。
関連文書 (日本語)
株式会社アイ・オー・データ機器
弊社ネットワークカメラにおける複数の脆弱性について
http://www.iodata.jp/support/information/2017/camera201702/
【4】PrimeDrive デスクトップアプリケーションのインストーラに任意の DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#88713190
PrimeDrive デスクトップアプリケーションのインストーラにおける任意の DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN88713190/
概要
PrimeDrive デスクトップアプリケーションのインストーラには、任意の DLL 読み込みに関する脆弱性があります。結果として、第三者が任意のコードを実 行する可能性があります。 対象となるバージョンは以下の通りです。 - PrimeDrive デスクトップアプリケーション バージョン 1.4.3 およびそれ以前 この問題は、ソフトバンク株式会社が提供する最新のインストーラを使用する ことで解決します。なお、すでに PrimeDrive デスクトップアプリケーション をインストールしている場合には、この問題の影響はありません。詳細は、ソ フトバンク株式会社が提供する情報を参照してください。
関連文書 (日本語)
ソフトバンク株式会社
DTAインストーラの脆弱性対応について
https://tm.softbank.jp/news/2017/170215.html
【5】CubeCart にディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#63474730
CubeCart におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN63474730/
概要
CubeCart には、ディレクトリトラバーサルの脆弱性があります。結果として、 当該製品に管理者としてログインしているユーザが、当該製品の管理範囲を超 えてサーバ上の任意のファイルにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - CubeCart 6.1.5 より前のバージョン この問題は、CubeCart を CubeCart Limited が提供する修正済みのバージョン に更新することで解決します。詳細は、CubeCart Limited が提供する情報を 参照してください。
関連文書 (英語)
CubeCart
CubeCart 6.1.5 Released
https://forums.cubecart.com/topic/52188-cubecart-615-released/
【6】WBCE CMS に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#73083905
WBCE CMS における複数の脆弱性
https://jvn.jp/jp/JVN73083905/
概要
WBCE CMS には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行したり、サーバ上の任意のファイル にアクセスしたりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - WBCE CMS 1.1.10 およびそれ以前 この問題は、WBCE CMS を WBCE Team が提供する修正済みのバージョンに更新 するかパッチを適用することで解決します。詳細は、WBCE Team が提供する情 報を参照してください。
関連文書 (英語)
WBCE CMS
WBCE 1.1.11 Sicherheits-/Wartungsrelease | Security/Maintainance Rel.
https://forum.wbce.org/viewtopic.php?id=977
【7】Sage XRT Treasury にアクセス制限不備の脆弱性
情報源
CERT/CC Vulnerability Note VU#742632
Sage XRT Treasury database fails to properly restrict access to authorized users
https://www.kb.cert.org/vuls/id/742632
概要
Sage XRT Treasury には、アクセス制限不備の脆弱性があります。結果として、 ユーザが、細工した SQL クエリを送信することで、特権ユーザの権限でデー タベースにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - Sage XRT Treasury version 3 この問題は、Sage XRT Treasury を Sage が提供する修正済みのバージョンに 更新することで解決します。詳細は、Sage が提供する情報を参照してくださ い。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95946252
Sage XRT Treasury にアクセス制限不備の脆弱性
https://jvn.jp/vu/JVNVU95946252/
【8】スマートフォンアプリ「アクセスCX」に SSL サーバ証明書の検証不備の脆弱性
情報源
Japan Vulnerability Notes JVN#82619692
スマートフォンアプリ「アクセスCX」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN82619692/
概要
スマートフォンアプリ「アクセスCX」には、SSL サーバ証明書の検証不備の脆 弱性があります。結果として、遠隔の第三者が、中間者攻撃によって暗号通信 を盗聴する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Android アプリ「アクセスCX」 Ver2.0.0.1 より前のバージョン - iOS アプリ「アクセスCX」 Ver2.0.2 より前のバージョン この問題は、スマートフォンアプリ「アクセスCX」を日産証券株式会社が提供 する修正済みのバージョンに更新することで解決します。詳細は、日産証券株 式会社が提供する情報を参照してください。
■今週のひとくちメモ
○CRYPTREC が「SHA-1 の安全性低下について」を公開
2017年3月1日、CRYPTREC は、「SHA-1 の安全性低下について」を公開しまし た。この文書は、2017年2月に CWI Amsterdam と Google Research の共同研 究チームが発表した、ハッシュ関数 SHA-1 の衝突の実現を受けて公開された ものです。ハッシュ関数を衝突させられるようになると、電子署名の偽造が可 能となることから、CRYPTREC は、SHA-256 などのより安全なハッシュ関数の 使用を推奨しています。また、日本ネットワークセキュリティ協会 (JNSA) も 「SHA-1 衝突の実現による電子署名への影響と対策」を公開しています。
参考文献 (日本語)
CRYPTREC
SHA-1の安全性低下について
http://www.cryptrec.go.jp/topics/cryptrec_20170301_sha1_cryptanalysis.html日本ネットワークセキュリティ協会 (JNSA)
SHA-1衝突の実現による電子署名への影響と対策
http://www.jnsa.org/notice/2017/170302.htmlフィッシング対策協議会
【注意喚起】ハッシュアルゴリズム 「SHA-1」 の衝突攻撃 (SHAtterd) の Web サイトへの影響に関して (2017/03/07)
https://www.antiphishing.jp/news/info/sha1shatterd20170307.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/