<<< JPCERT/CC WEEKLY REPORT 2015-12-09 >>>
■11/29(日)〜12/05(土) のセキュリティ関連情報
目 次
【1】OpenSSL に複数の脆弱性
【2】Drupal に脆弱性
【3】EC-CUBE 用プラグイン「管理画面表示制御プラグイン」に SQL インジェクションの脆弱性
【4】p++BBS にクロスサイトスクリプティングの脆弱性
【5】フレーム高速チャットにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】JAIPA が「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン(第4版)」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr154701.txt
https://www.jpcert.or.jp/wr/2015/wr154701.xml
【1】OpenSSL に複数の脆弱性
情報源
US-CERT Current Activity
OpenSSL Patches Multiple Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2015/12/03/OpenSSL-Patches-Multiple-Vulnerabilities
概要
OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、サービス 運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.0.2e より前のバージョン - OpenSSL 1.0.1q より前のバージョン - OpenSSL 1.0.0t より前のバージョン - OpenSSL 0.9.8zh より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン に OpenSSL を更新することで解決します。詳細は、開発者が提供する情報を 参照してください。
関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [3 Dec 2015]
https://www.openssl.org/news/secadv/20151203.txt
【2】Drupal に脆弱性
情報源
Drupal Security advisories
Drupal core - Critical - Remote installation PSA-2015-001
https://www.drupal.org/PSA-2015-001
概要
Drupal には、インストールが完了しておらず、install.php がインターネット からアクセス可能な状態になっている場合、遠隔の第三者が任意のデータベース を指定してインストールを完了させる可能性があります。結果として、遠隔の 第三者が任意のデータベースを使用し、サーバ上でコードを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - Drupal 6 core - Drupal 7 core - Drupal 8 core この問題は、Drupal のインストールを完了させた後に install.php を削除す ることで解決します。詳細は、Drupal が提供する情報を参照してください。
【3】EC-CUBE 用プラグイン「管理画面表示制御プラグイン」に SQL インジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#55545372
EC-CUBE 用プラグイン「管理画面表示制御プラグイン」における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN55545372/
概要
EC-CUBE 用プラグイン「管理画面表示制御プラグイン」には、SQL インジェク ションの脆弱性があります。結果として、ログイン可能なユーザが、SQL 文を 実行する可能性があります。 対象となるバージョンは以下の通りです。 - 管理画面表示制御プラグイン (2.13系) Ver1.0 およびそれ以前 - 管理画面表示制御プラグイン (2.12系) Ver2.0 およびそれ以前 この問題は、ボクブロック株式会社が提供する修正済みのバージョンに管理画 面表示制御プラグインを更新することで解決します。詳細は、ボクブロック株 式会社が提供する情報を参照してください。
関連文書 (日本語)
管理画面表示制御プラグイン (2.13系) リリースノート
セキュリティに配慮した最新版1.1リリース(2015/11/27)
https://www.ec-cube.net/products/detail.php?product_id=781#release管理画面表示制御プラグイン (2.12系) リリースノート
セキュリティに配慮した最新版2.1リリース(2015/11/27)
https://www.ec-cube.net/products/detail.php?product_id=288#release
【4】p++BBS にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#72891124
p++BBS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN72891124/
概要
p++BBS には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - p++BBS v4.05 およびそれ以前 この問題は、レッツPHP! が提供する修正済みのバージョンに p++BBS を更新 することで解決します。詳細は、レッツPHP! が提供する情報を参照してくだ さい。
関連文書 (日本語)
レッツPHP!
p++BBS
http://php.s3.to/bbs/bbs2.php
【5】フレーム高速チャットにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#35845584
フレーム高速チャットにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN35845584/
概要
フレーム高速チャットには、クロスサイトスクリプティングの脆弱性がありま す。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを 実行する可能性があります。 対象となるバージョンは以下の通りです。 - フレーム高速チャット 2015/09/22 より前のバージョン この問題は、レッツPHP! が提供する修正済みのバージョンにフレーム高速 チャットを更新することで解決します。詳細は、レッツPHP! が提供する情報 を参照してください。
関連文書 (日本語)
レッツPHP!
フレーム高速チャット
http://php.s3.to/chat/
■今週のひとくちメモ
○JAIPA が「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン(第4版)」を公開
2015年11月30日、日本インターネットプロバイダー協会 (JAIPA) は、「電気 通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン (第4版)」を公開しました。このガイドラインは、サイバー攻撃や迷惑メール などによって起こる不正な通信の対処を、関係法令に留意しつつ実施するため の参考資料として、2007年5月に策定され、その後のインターネット環境を巡 る環境変化などを踏まえ改訂されてきました。 今回の改訂では、2015年9月9日に総務省が公表した「電気通信事業におけるサ イバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ」を踏 まえ、DNS の機能を悪用した DDoS 攻撃への対処や C&C サーバとの通信の遮 断などについて、追加・修正がなされています。
参考文献 (日本語)
一般社団法人日本インターネットプロバイダー協会
電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン
https://www.jaipa.or.jp/other/mtcs/guideline_v4.pdf一般社団法人日本インターネットプロバイダー協会
電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドラインの改定について
https://www.jaipa.or.jp/topics/2015/11/post.php総務省
「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ」及び意見募集の結果の公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000100.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/