<<< JPCERT/CC WEEKLY REPORT 2015-02-25 >>>
■02/15(日)〜02/21(土) のセキュリティ関連情報
目 次
【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
【2】PHP に複数の脆弱性
【3】Komodia Redirector の SSL Digestor モジュールに問題
【今週のひとくちメモ】「地方公共団体における情報セキュリティポリシーに関するガイドライン(案)」コメント募集
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr150801.txt
https://www.jpcert.or.jp/wr/2015/wr150801.xml
【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
情報源
US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2015/02/18/ISC-Releases-Security-Updates-BIND
概要
ISC BIND 9 には、脆弱性があります。結果として、遠隔の第三者が、サービ ス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.7.0 から BIND 9.10.1-P1 まで この問題は、ISC が提供する修正済みのバージョンに ISC BIND 9 を更新する ことで解決します。詳細については、ISC が提供する情報を参照して下さい。
関連文書 (日本語)
株式会社日本レジストリサービス(JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(2015年2月19日公開)
http://jprs.jp/tech/security/2015-02-19-bind9-vuln-managed-trust-anchors.html一般社団法人日本ネットワークインフォメーションセンター(JPNIC)
BINDにおけるトラストアンカーの取り扱いの不具合による脆弱性について(2015年2月)
https://www.nic.ad.jp/ja/topics/2015/20150219-01.htmlJapan Vulnerability Notes JVNVU#93982119
ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU93982119/
関連文書 (英語)
ISC Knowledge Base
CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to Crash
https://kb.isc.org/article/AA-01235
【2】PHP に複数の脆弱性
情報源
PHP Group
PHP 5.6.6 is available
https://php.net/archive/2015.php#id2015-02-19-2PHP Group
PHP 5.5.22 is available
https://php.net/archive/2015.php#id2015-02-19-1PHP Group
PHP 5.4.38 Released
https://php.net/archive/2015.php#id2015-02-18-1
概要
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - PHP 5.6.6 より前のバージョン - PHP 5.5.22 より前のバージョン - PHP 5.4.38 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細については、開発者や配布元が提供する情報を参 照して下さい。
関連文書 (英語)
PHP Group
PHP 5 ChangeLog Version 5.6.6
https://php.net/ChangeLog-5.php#5.6.6PHP Group
PHP 5 ChangeLog Version 5.5.22
https://php.net/ChangeLog-5.php#5.5.22PHP Group
PHP 5 ChangeLog Version 5.4.38
https://php.net/ChangeLog-5.php#5.4.38
【3】Komodia Redirector の SSL Digestor モジュールに問題
情報源
US-CERT Current Activity
Lenovo Computers Vulnerable to HTTPS Spoofing
https://www.us-cert.gov/ncas/current-activity/2015/02/20/Lenovo-Computers-Vulnerable-HTTPS-Spoofing
概要
Komodia Redirector の SSL Digestor モジュールには、一意でないルート CA 証明書と秘密鍵をインストールする問題があります。結果として、遠隔の第三 者が、中間者攻撃を行なうことによって、暗号通信を盗聴するなどの可能性が あります。 対象となる製品は以下の通りです。 - Komodia Redirector の SSL Digestor モジュールを使用するソフトウェア この問題は、Komodia Redirector の SSL Digestor モジュールを使用するソ フトウェアをアンインストールし、該当のルート CA 証明書を削除することで 解決します。詳細については、使用している製品のベンダや配布元が提供する 情報を参照して下さい。
関連文書 (日本語)
Lenovo
Superfishのアンインストール方法
https://support.lenovo.com/jp/ja/product_security/superfish_uninstallJapan Vulnerability Notes JVNVU#92865923
Komodia Redirector がルート CA 証明書と秘密鍵をインストールする問題
https://jvn.jp/vu/JVNVU92865923/Japan Vulnerability Notes JVNTA#91476059
Superfish がインストールされた Lenovo 製 PC に HTTPS スプーフィングの脆弱性
https://jvn.jp/ta/JVNTA91476059/
■今週のひとくちメモ
○「地方公共団体における情報セキュリティポリシーに関するガイドライン(案)」コメント募集
2015年2月18日、総務省は「地方公共団体における情報セキュリティポリシー に関するガイドライン(案)」および「地方公共団体における情報セキュリティ 監査に関するガイドライン(案)」を公開し、パブリックコメントの募集を開 始しました。 これらのガイドライン案は、政府の情報セキュリティ政策の改定等を踏まえて 見直しを行ったものです。パブリックコメントは 2015年3月4日まで受け付け ています。
参考文献 (日本語)
総務省
「地方公共団体における情報セキュリティポリシーに関するガイドライン(案)」等に対する意見募集
http://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000024.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/