<<< JPCERT/CC WEEKLY REPORT 2015-04-01 >>>
■03/22(日)〜03/28(土) のセキュリティ関連情報
目 次
【1】Cisco IOS および IOS XE ソフトウェアに複数の脆弱性
【2】Android OS に複数の脆弱性
【3】複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題
【4】ANTlabs 製 InnGate の複数のモデルに任意のファイルを読み書き可能な脆弱性
【5】TERASOLUNA Server Framework for Java(WEB) に脆弱性
【今週のひとくちメモ】IPA「制御システム利用者のための脆弱性対応ガイド」公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr151301.txt
https://www.jpcert.or.jp/wr/2015/wr151301.xml
【1】Cisco IOS および IOS XE ソフトウェアに複数の脆弱性
情報源
US-CERT Current Activity
Cisco Releases Semiannual IOS Software Security Advisory Bundled Publication
https://www.us-cert.gov/ncas/current-activity/2015/03/26/Cisco-Releases-Semiannual-IOS-Software-Security-Advisory-Bundled
概要
Cisco IOS および IOS XE ソフトウェアには、複数の脆弱性があります。結果 として、遠隔の第三者が、任意のコードを実行するなどの可能性があります。 この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS および IOS XE ソフトウェアを更新することで解決します。詳細については、Cisco が提供する情報を参照して下さい。
関連文書 (英語)
Cisco
Cisco Event Response: March 2015 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_mar15.html
【2】Android OS に複数の脆弱性
情報源
US-CERT Current Activity
Installer Hijacking Vulnerability in Android Devices
https://www.us-cert.gov/ncas/current-activity/2015/03/24/Installer-Hijacking-Vulnerability-Android-DevicesJapan Vulnerability Notes JVN#81094176
Android OS がオープンリゾルバとして機能してしまう問題
https://jvn.jp/jp/JVN81094176/
概要
Android OS には、複数の脆弱性があります。結果として、遠隔の第三者が、 ユーザの意図しないアプリをインストールさせたり、端末を DDoS 攻撃の踏み 台に使用したりする可能性があります。 対象となるバージョンは以下の通りです。 - Android OS 4.4 より前のバージョン この問題は、Google や製品ベンダが提供する修正済みのバージョンに、 Android OS を更新することで解決します。詳細については、Google や製品ベ ンダ、携帯電話事業者が提供する情報を参照して下さい。
関連文書 (英語)
paloalto networks
Android Installer Hijacking Vulnerability Could Expose Android Users to Malware
http://researchcenter.paloaltonetworks.com/2015/03/android-installer-hijacking-vulnerability-could-expose-android-users-to-malware/
【3】複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題
情報源
CERT/CC Vulnerability Note VU#591120
Multiple SSL certificate authorities use email addresses as proof of domain ownership
https://www.kb.cert.org/vuls/id/591120
概要
複数の認証局では、「特定のメールアドレスでのやりとりが可能であること」 のみを確認し、証明書が発行されています。これにより、ユーザにメールサー ビスを提供している場合、結果として、関連するドメインの管理とは無関係な 第三者によって SSL 証明書が取得され、HTTPS スプーフィングが行われる可 能性があります。 ユーザにメールサービスを提供している場合、以下の回避策を適用することで、 本問題の影響を軽減することが可能です。 - 認証局が証明書発行時の確認に使用されるメールアドレスを、ユーザに取得 させない - 認証局が証明書発行時の確認に使用されるメールアドレスを、すでにユーザ が取得している場合、無効にする
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92002857
複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題
https://jvn.jp/vu/JVNVU92002857/
【4】ANTlabs 製 InnGate の複数のモデルに任意のファイルを読み書き可能な脆弱性
情報源
CERT/CC Vulnerability Note VU#930956
Multiple ANTlabs InnGate models allow unauthenticated read/write to filesystem
https://www.kb.cert.org/vuls/id/930956
概要
ANTlabs 製 InnGate の複数のモデルには、脆弱性があります。結果として、 遠隔の第三者が、任意のファイルを読み取ったり、改ざんしたりする可能性が あります。 対象となる製品は以下の通りです。 - IG 3100 model 3100, model 3101 - InnGate 3.00 E-Series, 3.01 E-Series, 3.02 E-Series, 3.10 E-Series - InnGate 3.01 G-Series, 3.10 G-Series この問題は、ANTlabs が提供する修正済みのバージョンに該当する製品のファー ムウェアを更新することで解決します。また、以下の回避策を適用することで、 本脆弱性の影響を軽減することが可能です。 - 873/tcp へのアクセスを制限する 詳細については、ANTlabs が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91373232
ANTlabs 製 InnGate の複数のモデルにおいて認証なしでファイルシステムへの読書きが可能な脆弱性
https://jvn.jp/vu/JVNVU91373232/
関連文書 (英語)
ANTlabs
Rsync remote file system access vulnerability CVE-2015-0932
https://www.antlabs.com/index.php?option=com_content&view=article&id=195:rsync-remote-file-system-access-vulnerability-cve-2015-0932
【5】TERASOLUNA Server Framework for Java(WEB) に脆弱性
情報源
Japan Vulnerability Notes JVN#86448949
TERASOLUNA Server Framework for Java(WEB) の Validator に入力値検査回避の脆弱性
https://jvn.jp/jp/JVN86448949/
概要
TERASOLUNA Server Framework for Java(WEB) には、脆弱性があります。結果 として、遠隔の第三者が、入力値検査を回避する可能性があります。 対象となるバージョンは以下の通りです。 - TERASOLUNA Server Framework for Java(WEB) 2.0.0.1 から 2.0.5.2 まで この問題は、株式会社エヌ・ティ・ティ・データが提供する修正済みのバー ジョンに TERASOLUNA Server Framework for Java(WEB) を更新することで解 決します。詳細については、株式会社エヌ・ティ・ティ・データが提供する情 報を参照して下さい。
関連文書 (日本語)
Sourceforge.jp
TERASOLUNA Framework
http://sourceforge.jp/projects/terasoluna/
■今週のひとくちメモ
○IPA「制御システム利用者のための脆弱性対応ガイド」公開
2015年3月26日、情報処理推進機構 (IPA) は、制御システムの利用者に対して、 脆弱性対策を含むセキュリティについてどのように対応すべきかを解説した 「制御システム利用者のための脆弱性対応ガイド」を公開しました。このガイ ドでは、企業の経営層が制御システムについて考慮すべき点や、制御システム の管理者がすべき具体的な対策・運用時に注意すべき点などがまとめられてい ます。
参考文献 (日本語)
独立行政法人情報処理推進機構 (IPA)
「制御システム利用者のための脆弱性対応ガイド」や研究会報告書などを公開
https://www.ipa.go.jp/security/fy26/reports/vuln_handling/index.html独立行政法人情報処理推進機構 (IPA)
制御システム利用者のための脆弱性対応ガイド
https://www.ipa.go.jp/files/000044733.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/