<<< JPCERT/CC WEEKLY REPORT 2016-02-03 >>>
■01/24(日)〜01/30(土) のセキュリティ関連情報
目 次
【1】OpenSSL に複数の脆弱性
【2】Firefox に複数の脆弱性
【3】Cisco RV220W Wireless Network Security Firewall に認証回避の脆弱性
【4】CLUSTERPRO X にディレクトリトラバーサルの脆弱性
【5】Apple tvOS に複数の脆弱性
【6】JOB-CUBE にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】NISC が「我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針」を決定
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr160501.txt
https://www.jpcert.or.jp/wr/2016/wr160501.xml
【1】OpenSSL に複数の脆弱性
情報源
US-CERT Current Activity
OpenSSL Releases Security Advisory
https://www.us-cert.gov/ncas/current-activity/2016/01/28/OpenSSL-Releases-Security-Advisory
概要
OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、通信 の暗号化に使用する鍵を取得したり、脆弱な暗号化方式で通信させたりする可 能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.0.2f より前のバージョン - OpenSSL 1.0.1r より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン に OpenSSL を更新することで解決します。詳細は、開発者が提供する情報を 参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95668716
OpenSSL の DH プロトコルにおける脆弱性
https://jvn.jp/vu/JVNVU95668716/
関連文書 (英語)
OpenSSL
OpenSSL Security Advisory [28th Jan 2016]
https://www.openssl.org/news/secadv/20160128.txt
【2】Firefox に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/01/26/Mozilla-Releases-Security-Updates
概要
Firefox には、複数の脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの 可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 44 より前のバージョン - Firefox ESR 38.6 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2016 年 1 月 26 日)
http://www.mozilla-japan.org/security/announce/
【3】Cisco RV220W Wireless Network Security Firewall に認証回避の脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/01/27/Cisco-Releases-Security-Update
概要
Cisco RV220W Wireless Network Security Firewall には、脆弱性があります。 結果として、遠隔の第三者が、当該製品の管理者権限を取得する可能性があり ます。 対象となるバージョンは以下の通りです。 - Cisco RV220W Wireless Network Security Firewall ファームウェアバージョン 1.0.7.2 より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに、該当する製品を更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco RV220W Management Authentication Bypass Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160127-rv220
【4】CLUSTERPRO X にディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#03050861
CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN03050861/
概要
CLUSTERPRO X には、ディレクトリトラバーサルの脆弱性があります。結果と して、WebManager 機能にアクセス可能な第三者が、任意のファイルを取得す る可能性があります。 対象となるバージョンは以下の通りです。 - CLUSTERPRO X 3.3 for Windows (内部Ver. 11.31) およびそれ以前 - CLUSTERPRO X 3.3 for Linux (内部Ver. 3.3.1-1) およびそれ以前 - CLUSTERPRO X 3.3 for Solaris (内部Ver. 3.3.1-1) およびそれ以前 この問題は、NEC が提供する修正済みのバージョンに CLUSTERPRO X を更新す ることで解決します。詳細は、NEC が提供する情報を参照してください。
関連文書 (日本語)
日本電気株式会社
CLUSTERPRO におけるディレクトリトラバーサルの脆弱性
http://jpn.nec.com/security-info/secinfo/nv16-001.html
【5】Apple tvOS に複数の脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Update for tvOS
https://www.us-cert.gov/ncas/current-activity/2016/01/25/Apple-Releases-Security-Update-tvOS
概要
Apple tvOS には、複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - tvOS 9.1.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに tvOS を更新すること で解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Apple
tvOS 9.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT205729
【6】JOB-CUBE にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#26921563
JOB-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN26921563/
概要
JOB-CUBE には、クロスサイトスクリプティングの脆弱性があります。結果と して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - JOB-CUBE -求人サイト構築システム- 1.2.1 およびそれ以前 - JOB-CUBE -高収入版- 1.0.6 およびそれ以前 この問題は、株式会社ウェブスクウェアが提供する修正済みのバージョンに JOB-CUBE を更新することで解決します。詳細は、株式会社ウェブスクウェア が提供する情報を参照してください。
関連文書 (日本語)
株式会社ウェブスクウェア
JOB-CUBE -求人サイト構築システム- 1.2.2
http://www.ws-download.net/info.php?type=version&id=V0001081株式会社ウェブスクウェア
JOB-CUBE -高収入版- 1.0.7
http://www.ws-download.net/info.php?type=version&id=V0001080
■今週のひとくちメモ
○NISC が「我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針」を決定
2016年1月25日、内閣サイバーセキュリティセンター (NISC) は、「我が国の サイバーセキュリティ推進体制の更なる機能強化に関する方針」を発表しまし た。この方針は、2015年に閣議決定された「日本再興戦略」や、新たなサイバー セキュリティ戦略を踏まえて決定されたものです。
参考文献 (日本語)
内閣サイバーセキュリティセンター (NISC)
我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針
http://www.nisc.go.jp/active/kihon/pdf/cs_kyoka_hoshin.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/