<<< JPCERT/CC WEEKLY REPORT 2016-01-27 >>>
■01/17(日)〜01/23(土) のセキュリティ関連情報
目 次
【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
【2】2016年1月 Oracle Critical Patch Update について
【3】複数の Cisco 製品に脆弱性
【4】FFmpeg および Libav に情報漏えいの脆弱性
【5】複数の Apple 製品に脆弱性
【6】バッファロー製の複数のネットワーク機器に脆弱性
【今週のひとくちメモ】サイバーセキュリティ月間
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr160401.txt
https://www.jpcert.or.jp/wr/2016/wr160401.xml
【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
情報源
US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2016/01/19/Internet-Systems-Consortium-ISC-Releases-Security-Updates-BIND
概要
ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者が、 サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.3.0 から 9.8.8 まで - BIND 9.9.0 から 9.9.8-P2 まで - BIND 9.9.3-S1 から 9.9.8-S3 まで - BIND 9.10.0 から 9.10.3-P2 まで この問題は、ISC が提供する修正済みのバージョンに BIND 9 を更新すること で解決します。詳細は、ISC が提供する情報を参照してください。
関連文書 (日本語)
JPNIC
BIND 9における複数の脆弱性について(2016年1月)
https://www.nic.ad.jp/ja/topics/2016/20160120-01.htmlJapan Vulnerability Notes JVNVU#96264182
ISC BIND 9 に複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU96264182/JPCERT/CC Alert 2016-01-20
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8704) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160006.html
関連文書 (英語)
ISC Knowledge Base
CVE-2015-8704: Specific APL data could trigger an INSIST in apl_42.c
https://kb.isc.org/article/AA-01335ISC Knowledge Base
CVE-2015-8705: Problems converting OPT resource records and ECS options to text format can cause BIND to terminate.
https://kb.isc.org/article/AA-01336
【2】2016年1月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity
Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2016/01/19/Oracle-Releases-Security-Bulletin
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細は、Oracle が提供する情報を参照してください。
関連文書 (日本語)
Oracle
Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/jp/topics/ojkbcpujan2016-2868497-ja.htmlJapan Vulnerability Notes JVNVU#95592853
Oracle Outside In 8.5.2 にスタックバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU95592853/JPCERT/CC Alert 2016-01-20
2016年1月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2016/at160005.html
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/01/20/Cisco-Releases-Security-Updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Modular Encoding Platform D9036 02.04.70 より前のバージョン - Cisco UCS Manager - Firepower 9000 シリーズ 1.1.2 より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco Modular Encoding Platform D9036 Software Default Credentials Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-d9036Cisco Security Advisory
Cisco Unified Computing System Manager and Cisco Firepower 9000 Remote Command Execution Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-ucsm
【4】FFmpeg および Libav に情報漏えいの脆弱性
情報源
CERT/CC Vulnerability Note VU#772447
ffmpeg and Libav cross-domain information disclosure vulnerability
https://www.kb.cert.org/vuls/id/772447
概要
FFmpeg および Libav には、情報漏えいの脆弱性があります。結果として、遠 隔の第三者が、ユーザのローカルシステムに存在する任意のファイルを取得す る可能性があります。 対象となる製品およびバージョンは以下の通りです。 - FFmpeg 2.8.5 より前のバージョン - Libav この問題は、開発者が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92302510
FFmpeg および Libav に情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU92302510/
【5】複数の Apple 製品に脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates for iOS, OS X El Capitan, and Safari
https://www.us-cert.gov/ncas/current-activity/2016/01/19/Apple-Releases-Security-Updates-iOS-OS-X-El-Capitan-and-Safari
概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 9.2.1 より前のバージョン - OS X El Capitan 10.11.3 より前のバージョン - Safari 9.0.3 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90405245
複数の Apple 製品の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90405245/
関連文書 (英語)
Apple
About the security content of iOS 9.2.1
https://support.apple.com/ja-jp/HT205732Apple
About the security content of OS X El Capitan 10.11.3 and Security Update 2016-001
https://support.apple.com/ja-jp/HT205731Apple
About the security content of Safari 9.0.3
https://support.apple.com/ja-jp/HT205730
【6】バッファロー製の複数のネットワーク機器に脆弱性
情報源
Japan Vulnerability Notes JVN#49225722
バッファロー製の複数のネットワーク機器におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN49225722/Japan Vulnerability Notes JVN#09268287
バッファロー製の複数のネットワーク機器におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN09268287/
概要
バッファロー製の複数のネットワーク機器には、クロスサイトスクリプティン グとクロスサイトリクエストフォージェリの脆弱性が存在します。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、細工 したページにアクセスさせることでユーザの意図しない操作を行ったりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - WSR-1166DHP ファームウェア Ver.1.01 - WHR-1166DHP ファームウェア Ver.1.90 およびそれ以前 - WHR-600D ファームウェア Ver.1.90 およびそれ以前 - WHR-300HP2 ファームウェア Ver.1.90 およびそれ以前 - WMR-433 ファームウェア Ver.1.01 およびそれ以前 - WMR-300 ファームウェア Ver.1.90 およびそれ以前 - WEX-300 ファームウェア Ver.1.90 およびそれ以前 - BHR-4GRV2 ファームウェア Ver.1.04 およびそれ以前 この問題は、株式会社バッファローが提供する修正済みのバージョンに該当す る製品を更新することで解決します。詳細は、株式会社バッファローが提供す る情報を参照してください。
関連文書 (日本語)
株式会社バッファロー
クロスサイトスクリプティング(XSS)の脆弱性
http://buffalo.jp/support_s/s20141030_2.html株式会社バッファロー
クロスサイトリクエストフォージェリ(CSRF)の脆弱性
http://buffalo.jp/support_s/s20141030_1.html
■今週のひとくちメモ
○サイバーセキュリティ月間
2月1日から 3月18日は、「サイバーセキュリティ月間」です。 この期間には、府省庁対抗の事案対処訓練やサイバーセキュリティ実演イベン トのほか、情報セキュリティハンドブックの公開、サイバーセキュリティに関 する国民の意識調査など、サイバーセキュリティの普及啓発のための様々な活 動が企画されています。 サイバーセキュリティに関する理解を深めるため、是非参加をご検討ください。
参考文献 (日本語)
内閣サイバーセキュリティセンター
2016年「サイバーセキュリティ月間」(2月1日~3月18日)について
http://www.nisc.go.jp/conference/cs/dai06/pdf/06shiryou06.pdf内閣サイバーセキュリティセンター
2016 年 「サイバーセキュリティ月間」 の実施について
http://www.nisc.go.jp/press/pdf/csm2016_press1.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/