<<< JPCERT/CC WEEKLY REPORT 2017-02-15 >>>
■02/05(日)〜02/11(土) のセキュリティ関連情報
目 次
【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
【2】Cisco の複数の製品のクロック信号部品に問題
【3】脆弱性体験学習ツール AppGoat に複数の脆弱性
【4】Norton Download Manager に任意の DLL 読み込みに関する脆弱性
【5】Webmin にクロスサイトスクリプティングの脆弱性
【6】Accellion FTP server に複数の脆弱性
【今週のひとくちメモ】JNSA が「中小企業の情報セキュリティ対策ガイドライン」に対応する製品・サービス検索ページを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr170601.txt
https://www.jpcert.or.jp/wr/2017/wr170601.xml
【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
情報源
US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2017/02/08/ISC-Releases-Security-Updates-BIND
概要
ISC BIND 9 には、クエリ応答の書き換え処理に脆弱性があります。結果とし て、DNS64 と RPZ の両方の設定を有効にしている場合、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.8.8 - BIND 9.9.3 から 9.9.9-P5 まで - BIND 9.9.10b1 - BIND 9.9.3-S1 から 9.9.9-S7 まで - BIND 9.10.0 から 9.10.4-P5 まで - BIND 9.10.5b1 - BIND 9.11.0 から 9.11.0-P2 まで - BIND 9.11.1b1 この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新するこ とで解決します。また、以下の回避策を適用することで、本脆弱性の影響を軽 減することが可能です。 - 設定から DNS64 もしくは RPZ を削除する - ポリシーゾーンのコンテンツを適切に制限する 詳細は、ISC が提供する情報を参照してください。
関連文書 (日本語)
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3135)
https://jprs.jp/tech/security/2017-02-09-bind9-vuln-dns64-rpz.html一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
BIND 9における脆弱性について(2017年2月)
https://www.nic.ad.jp/ja/topics/2017/20170209-01.htmlJapan Vulnerability Notes JVNVU#93384765
ISC BIND にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU93384765/JPCERT/CC Alert 2017-02-09
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2017-3135) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170007.html
関連文書 (英語)
ISC Knowledge Base
CVE-2017-3135: Combination of DNS64 and RPZ Can Lead to Crash
https://kb.isc.org/article/AA-01453
【2】Cisco の複数の製品のクロック信号部品に問題
情報源
US-CERT Current Activity
Cisco Clock Signal Component Failure Advisory
https://www.us-cert.gov/ncas/current-activity/2017/02/06/Cisco-Clock-Signal-Component-Failure-Advisory
概要
Cisco の複数の製品のクロック信号部品には、問題があります。結果として、 当該製品を約 18ヶ月間以上稼動させると障害が発生する可能性があります。 対象となる製品は複数あります。詳細は、Cisco が提供する情報を参照してく ださい。
関連文書 (日本語)
Cisco Meraki
クロック信号部品に関するお知らせ
https://meraki.cisco.com/blog/%E3%82%AF%E3%83%AD%E3%83%83%E3%82%AF%E4%BF%A1%E5%8F%B7%E9%83%A8%E5%93%81%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%81%8A%E7%9F%A5%E3%82%89%E3%81%9B/
関連文書 (英語)
Cisco
Clock Signal Component Issue
https://www.cisco.com/c/en/us/support/web/clock-signal.html
【3】脆弱性体験学習ツール AppGoat に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#39008927
脆弱性体験学習ツール AppGoat におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN39008927/Japan Vulnerability Notes JVN#88176589
脆弱性体験学習ツール AppGoat における認証不備の脆弱性
https://jvn.jp/jp/JVN88176589/Japan Vulnerability Notes JVN#87662835
脆弱性体験学習ツール AppGoat における DNS リバインディングの脆弱性
https://jvn.jp/jp/JVN87662835/Japan Vulnerability Notes JVN#71666779
脆弱性体験学習ツール AppGoat において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN71666779/
概要
脆弱性体験学習ツール AppGoat には、複数の脆弱性があります。結果として、 遠隔の第三者が、AppGoat のユーザに悪意のある Web サーバへのアクセスを 行わせることで、任意のコードを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - 脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール V3.0.0 およびそれ以前 2017年2月13日、この問題を修正した AppGoat V3.0.1 に不具合があることが 判明したため、情報処理推進構 (IPA) は当該製品の提供を一時的に停止し、 使用停止を促しています。詳細は、情報処理推進構 (IPA) が提供する情報を 参照してください。
関連文書 (日本語)
情報処理推進構 (IPA)
脆弱性体験学習ツール AppGoat
https://www.ipa.go.jp/security/vuln/appgoat/
【4】Norton Download Manager に任意の DLL 読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#40667528
Norton Download Manager における任意の DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN40667528/
概要
Norton Download Manager には、任意の DLL 読み込みに関する脆弱性があり ます。結果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Norton Download Manager 5.6 およびそれ以前 この問題は、Norton Download Manager を株式会社シマンテックが提供する修 正済みのバージョンに更新することで解決します。詳細は、株式会社シマンテッ クが提供する情報を参照してください。
関連文書 (英語)
Symantec
Security Advisories Relating to Symantec Products - Norton Download Manager DLL Loading
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20170117_00
【5】Webmin にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#34207650
Webmin における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN34207650/
概要
Webmin には、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは以下の通りです。 - Webmin 1.830 より前のバージョン この問題は、Webmin を Webmin が提供する修正済みのバージョンに更新する ことで解決します。詳細は、Webmin が提供する情報を参照してください。
関連文書 (英語)
Webmin
Webmin downloads page
http://www.webmin.com/download.html
【6】Accellion FTP server に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#745607
Accellion FTP server contains information exposure and cross-site scripting vulnerabilities
https://www.kb.cert.org/vuls/id/745607
概要
Accellion FTP server には、複数の脆弱性があります。結果として、遠隔の 第三者が、当該製品のユーザ名を収集したりユーザのブラウザ上で任意のスク リプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Accellion FTP server version FTA_9_12_220 より前のバージョン この問題は、Accellion FTP server を Accellion が提供する修正済みのバー ジョンに更新することで解決します。詳細は、Accellion が提供する情報を参 照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98953608
Accellion FTP server に複数の脆弱性
https://jvn.jp/vu/JVNVU98953608/
■今週のひとくちメモ
○JNSA が「中小企業の情報セキュリティ対策ガイドライン」に対応する製品・サービス検索ページを公開
2017年2月8日、日本ネットワークセキュリティ協会 (JNSA) は「中小企業の情 報セキュリティ対策ガイドライン」に対応する製品およびサービスの検索ペー ジを公開しました。この「中小企業の情報セキュリティ対策ガイドライン」は、 情報処理推進機構 (IPA) が 2017年1月25日に公開したものです。この検索ペー ジでは、「中小企業の情報セキュリティ対策ガイドライン」の付録3「<ツール B>情報セキュリティポリシーサンプル」に含まれる項目について、対応する製 品およびサービスを検索することが可能です。
参考文献 (日本語)
日本ネットワークセキュリティ協会 (JNSA)
IPA「中小企業の情報セキュリティ対策ガイドライン」対応 製品・サービス検索
http://www.jnsa.org/JNSASolutionGuide/IpaSearchConditionAction.do情報処理推進機構 (IPA)
中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/