<<< JPCERT/CC WEEKLY REPORT 2015-06-10 >>>
■05/31(日)〜06/06(土) のセキュリティ関連情報
目 次
【1】バッファロー製の複数の無線 LAN ルータに OS コマンドインジェクションの脆弱性
【2】McAfee ePolicy Orchestrator に SSL/TLS 証明書を適切に検証しない脆弱性
【3】NetFlow Analyzer に複数の脆弱性
【4】F21 製 JWT にトークンの署名検証回避の脆弱性
【5】RSA Conference Asia Pacific & Japan 2015 開催
【今週のひとくちメモ】産業制御システムで使用される PLC の脆弱性を標的としたアクセスを観測
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr152201.txt
https://www.jpcert.or.jp/wr/2015/wr152201.xml
【1】バッファロー製の複数の無線 LAN ルータに OS コマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#50447904
バッファロー製の複数の無線 LAN ルータにおける OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN50447904/
概要
バッファロー製の複数の無線 LAN ルータには、OS コマンドインジェクション の脆弱性があります。結果として、管理画面にログイン可能なユーザが、任意 のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - WHR-1166DHP ファームウェア Ver.1.60 およびそれ以前 - WSR-600DHP ファームウェア Ver.1.60 およびそれ以前 - WHR-600D ファームウェア Ver.1.60 およびそれ以前 - WHR-300HP2 ファームウェア Ver.1.60 およびそれ以前 - WMR-300 ファームウェア Ver.1.60 およびそれ以前 - WEX-300 ファームウェア Ver.1.60 およびそれ以前 - BHR-4GRV2 ファームウェア Ver.1.04 およびそれ以前 この問題は、株式会社バッファローが提供する修正済みのバージョンに該当す る製品のファームウェアを更新することで解決します。詳細については、株式 会社バッファローが提供する情報を参照してください。
関連文書 (日本語)
株式会社バッファロー
一部のネットワーク製品におけるOSコマンドインジェクションの脆弱性
http://buffalo.jp/support_s/s20150202.html
【2】McAfee ePolicy Orchestrator に SSL/TLS 証明書を適切に検証しない脆弱性
情報源
CERT/CC Vulnerability Note VU#264092
McAfee ePolicy Orchestrator fails to properly validate SSL/TLS certificates
http://www.kb.cert.org/vuls/id/264092
概要
McAfee ePolicy Orchestrator には、SSL/TLS 証明書を適切に検証しない脆弱 性があります。結果として、遠隔の第三者が、中間者攻撃を行うことによって、 暗号通信を盗聴するなどの可能性があります。 対象となるバージョンは以下の通りです。 - McAfee ePolicy Orchestrator 4.6.8 およびそれ以前 - McAfee ePolicy Orchestrator 5.1.1 およびそれ以前 この問題は、McAfee が提供する修正済みのバージョンに ePolicy Orchestrator を更新することで解決します。詳細については、McAfee が提供する情報を参照 してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98454141
McAfee ePolicy Orchestrator が SSL/TLS 証明書を適切に検証しない脆弱性
https://jvn.jp/vu/JVNVU98454141/
【3】NetFlow Analyzer に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#79284156
NetFlow Analyzer におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN79284156/Japan Vulnerability Notes JVN#25598413
NetFlow Analyzer におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN25598413/Japan Vulnerability Notes JVN#98447310
NetFlow Analyzer におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN98447310/
概要
NetFlow Analyzer には、複数の脆弱性があります。結果として、遠隔の第三者 が、本来、管理者権限でしか閲覧できない情報を閲覧したり、ユーザのブラウ ザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - NetFlow Analyzer build 10250 およびそれ以前 この問題は、開発者が提供するパッチを NetFlow Analyzer に適用することで 解決します。なお、このパッチを適用するには NetFlow Analyzer build 10250 である必要があります。詳細については、開発者が提供する情報を参照してく ださい。
関連文書 (英語)
Zoho Corporation
Vulnerability fix for (fails to restrict access permissions, cross-site scripting, cross-site request forgery) over build 10250
https://support.zoho.com/portal/manageengine/helpcenter/articles/vulnerability-fix-for-fails-to-restrict-access-permissions-cross-site-scripting-cross-site-request-forgery-over-build-10250
【4】F21 製 JWT にトークンの署名検証回避の脆弱性
情報源
Japan Vulnerability Notes JVN#06120222
F21 製 JWT におけるトークンの署名検証回避の脆弱性
https://jvn.jp/jp/JVN06120222/
概要
F21 製 JWT には、トークンの署名検証回避の脆弱性があります。結果として、 遠隔の第三者が、細工したトークンデータにより、署名検証を回避する可能性 があります。 対象となる製品およびバージョンは以下の通りです。 - JWT 2.0 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに JWT を更新することで 解決します。詳細については、開発者が提供する情報を参照してください。
関連文書 (英語)
GitHub
F21/jwt
https://github.com/F21/jwt
【5】RSA Conference Asia Pacific & Japan 2015 開催
情報源
RSA Conference
RSA Conference Asia Pacific & Japan 2015
http://www.rsaconference.com/events/ap15
概要
2015年7月22日(水) から 24日(金) にかけて、シンガポールの Marina Bay Sands において RSA Conference Asia Pacific & Japan 2015 が開催され ます。JPCERT/CC は、本カンファレンスを後援しています。
関連文書 (英語)
RSA Conference Blogs
Regionally Focused Security Lessons on Tap at RSA Conference APJ
http://www.rsaconference.com/blogs/regionally-focused-security-lessons-on-tap-at-rsa-conference-apj
■今週のひとくちメモ
○産業制御システムで使用される PLC の脆弱性を標的としたアクセスを観測
警察庁 @police は、2015年5月26日に「産業制御システムで使用される PLC の脆弱性を標的としたアクセスの観測について」、2015年6月5日に「産業制御 システムで使用される PLC の脆弱性を標的としたアクセスの観測について (第2報)」を公開しました。 これらのレポートでは、2014年12月に発見された、産業制御システムで使用さ れる特定の PLC (Programmable Logic Controller の略) のソフトウェアの脆 弱性を標的としたアクセスが、5月以降増加していることが紹介されており、 警察庁が注意を呼びかけています。 なお、JPCERT/CC では、制御システムセキュリティに関する資料を公開してい ます。こちらもあわせて参考にしてください。
参考文献 (日本語)
警察庁 @police
産業制御システムで使用される PLC の脆弱性を標的としたアクセスの観測について
https://www.npa.go.jp/cyberpolice/detect/pdf/20150526.pdf警察庁 @police
産業制御システムで使用される PLC の脆弱性を標的としたアクセスの観測について(第2報)
https://www.npa.go.jp/cyberpolice/detect/pdf/20150605.pdfJPCERT/CC
制御システムセキュリティとは
https://www.jpcert.or.jp/ics/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/