<<< JPCERT/CC WEEKLY REPORT 2016-11-16 >>>
■11/06(日)〜11/12(土) のセキュリティ関連情報
目 次
【1】複数の Microsoft 製品に脆弱性
【2】Adobe Flash Player および Adobe Connect に脆弱性
【3】PHP に複数の脆弱性
【4】OpenSSL に複数の脆弱性
【5】アイ・オー・データ製の複数のネットワークカメラ製品に情報漏えいの脆弱性
【6】コレガ製の複数の無線 LAN ルータにクロスサイトスクリプティングの脆弱性
【7】CG-WLR300NX に複数の脆弱性
【8】「JPCERT/CC WEEKLY REPORT 2016-11-09」の PGP 署名の不具合についてのお詫び
【今週のひとくちメモ】JPCERT/CC が「制御システムセキュリティ自己評価ツール(J-CLICS)」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr164501.txt
https://www.jpcert.or.jp/wr/2016/wr164501.xml
【1】複数の Microsoft 製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/11/08/Microsoft-Releases-Security-Updates
概要
複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Edge - Microsoft Office - Microsoft Office Services および Web Apps - Microsoft SQL Server - Internet Explorer この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること で解決します。詳細は、Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
2016 年 11 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms16-NovJPCERT/CC Alert 2016-11-09
2016年 11月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160046.html
【2】Adobe Flash Player および Adobe Connect に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/11/08/Adobe-Releases-Security-Updates
概要
Adobe Flash Player および Adobe Connect には脆弱性があります。結果とし て、遠隔の第三者が、任意のコードを実行したり、ユーザのブラウザ上で任意 のスクリプトを実行したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player デスクトップランタイム 23.0.0.205 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Flash Player 11.2.202.643 およびそれ以前 (Linux 版) - Adobe Connect 9.5.6 およびそれ以前 (Windows 版) この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新 することで解決します。詳細は、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe セキュリティ情報
Adobe Flash Player に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/flash-player/apsb16-37.htmlAdobe セキュリティ情報
Adobe Connect 用のセキュリティアップデート公開
https://helpx.adobe.com/jp/security/products/connect/apsb16-35.htmlJPCERT/CC Alert 2016-11-09
Adobe Flash Player の脆弱性 (APSB16-37) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160045.html
【3】PHP に複数の脆弱性
情報源
PHP Group
PHP 7.0.13 Released
https://secure.php.net/archive/2016.php#id2016-11-10-1PHP Group
PHP 5.6.28 is available
https://secure.php.net/archive/2016.php#id2016-11-10-3
概要
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 対象となるバージョンは以下の通りです。 - PHP 7.0.13 より前のバージョン - PHP 5.6.28 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。
関連文書 (英語)
PHP Group
PHP 7 ChangeLog Version 7.0.13
https://secure.php.net/ChangeLog-7.php#7.0.13PHP Group
PHP 5 ChangeLog Version 5.6.28
https://secure.php.net/ChangeLog-5.php#5.6.28
【4】OpenSSL に複数の脆弱性
情報源
US-CERT Current Activity
OpenSSL Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/11/10/OpenSSL-Releases-Security-Update
概要
OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者がサービ ス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.1.0c より前のバージョン - OpenSSL 1.0.2 この問題は、OpenSSL を、使用している OS のベンダや配布元が提供する修正 済みのバージョンに更新することで解決します。詳細は、開発者が提供する情 報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92930223
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU92930223/
関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [10 Nov 2016]
https://www.openssl.org/news/secadv/20161110.txt
【5】アイ・オー・データ製の複数のネットワークカメラ製品に情報漏えいの脆弱性
情報源
Japan Vulnerability Notes JVN#34103586
アイ・オー・データ製の複数のネットワークカメラ製品における情報漏えいの脆弱性
https://jvn.jp/jp/JVN34103586/
概要
アイ・オー・データ製の複数のネットワークカメラ製品には、脆弱性がありま す。結果として、該当製品にアクセス可能な第三者が認証情報などを取得する 可能性があります。 対象となる製品およびバージョンは以下の通りです。 - TS-WRLP ファームウェア バージョン 1.00.01 およびそれ以前 - TS-WRLA ファームウェア バージョン 1.00.01 およびそれ以前 この問題は、該当する製品のファームウェアを株式会社アイ・オー・データ機 器が提供する修正済みのバージョンに更新することで解決します。詳細は、株 式会社アイ・オー・データ機器が提供する情報を参照してください。
関連文書 (日本語)
株式会社アイ・オー・データ機器
ネットワークカメラ「TS-WRLP」「TS-WRLA」情報漏えいの脆弱性について
http://www.iodata.jp/support/information/2016/ts-wrlap/
【6】コレガ製の複数の無線 LAN ルータにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#25060672
コレガ製の複数の無線 LAN ルータにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN25060672/
概要
コレガ製の複数の無線 LAN ルータには、クロスサイトスクリプティングの脆 弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のス クリプトを実行する可能性があります。 対象となる製品は以下の通りです。 - CG-WLBARGMH - CG-WLBARGNL 2016年11月16日現在、CG-WLBARGMH および CG-WLBARGNL の開発は終了してい ます。該当する機器の使用を停止してください。詳細は、株式会社コレガが提 供する情報を参照してください。
関連文書 (日本語)
株式会社コレガ
クロスサイトスクリプティングの脆弱性について
http://corega.jp/support/security/20161111_wlbargmh_wlbargnl.htm
【7】CG-WLR300NX に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#23823838
CG-WLR300NX におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN23823838/Japan Vulnerability Notes JVN#92237169
CG-WLR300NX におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN92237169/Japan Vulnerability Notes JVN#23549283
CG-WLR300NX におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN23549283/
概要
CG-WLR300NX には、複数の脆弱性があります。結果として、遠隔の第三者が、 ユーザの意図しない操作を実行したり、ユーザのブラウザ上で任意のスクリプ トを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - CG-WLR300NX ファームウェア Ver. 1.20 およびそれ以前 この問題は、CG-WLR300NX のファームウェアを、株式会社コレガが提供する修 正済みのバージョンに更新することで解決します。詳細は、株式会社コレガが 提供する情報を参照してください。
関連文書 (日本語)
株式会社コレガ
CG-WLR300NXの複数の脆弱性について
http://corega.jp/support/security/20161111_wlr300nx.htm
【8】「JPCERT/CC WEEKLY REPORT 2016-11-09」の PGP 署名の不具合についてのお詫び
情報源
JPCERT/CC
JPCERT/CC WEEKLY REPORT 2016
https://www.jpcert.or.jp/wr/2016.html
概要
2016年11月9日(水)発行の「Weekly Report 2016-11-09号」において、送信 されたメールが PGP 署名検証に失敗する状態でした。これは作成した記事の 一部に特殊な文字が含まれており、署名作成後、メール送信時に、システムに より本文が書き換えられてしまったことが原因です。 該当箇所は現在公開中の「Weekly Report 2016-11-09号」では修正されていま す。なお、記事内容には変更はありません。 皆様にご迷惑をおかけいたしましたことをお詫び申し上げます。
■今週のひとくちメモ
○JPCERT/CC が「制御システムセキュリティ自己評価ツール(J-CLICS)」を公開
2016年11月10日、JPCERT/CC は「制御システムセキュリティ自己評価ツール (J-CLICS)」を公開しました。このツールは、日本版SSAT (SCADA Self Assessment Tool) の項目をもとに作成したもので、制御システムのセキュリ ティ対策状況を把握する「チェックリスト」と、チェックリストの設問ごとに 取り組むべき具体策等がわかる解説書「設問項目ガイド」で構成されています。 制御システムに関わるセキュリティ対策を立案・実施する際にご活用ください。
参考文献 (日本語)
JPCERT/CC
制御システムセキュリティ自己評価ツール(J-CLICS)
https://www.jpcert.or.jp/ics/jclics.htmlJPCERT/CC
日本版SSAT(Scada Self Assessment Tool)
https://www.jpcert.or.jp/ics/ssat.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/