<<< JPCERT/CC WEEKLY REPORT 2016-02-10 >>>
■01/31(日)〜02/06(土) のセキュリティ関連情報
目 次
【1】PHP に複数の脆弱性
【2】Windows 版 Oracle Java に脆弱性
【3】WordPress に複数の脆弱性
【4】Huawei E5151 および E5186 に不十分なランダム値を使用している問題
【5】OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題
【今週のひとくちメモ】「CSIRT 人材セミナー」開催
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr160601.txt
https://www.jpcert.or.jp/wr/2016/wr160601.xml
【1】PHP に複数の脆弱性
情報源
PHP Group
PHP 7.0.3 Released
https://secure.php.net/archive/2016.php#id2016-02-04-1PHP Group
PHP 5.6.18 is available
https://secure.php.net/archive/2016.php#id2016-02-04-3PHP Group
PHP 5.5.32 is available
https://secure.php.net/archive/2016.php#id2016-02-04-2
概要
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 対象となるバージョンは以下の通りです。 - PHP 7.0.3 より前のバージョン - PHP 5.6.18 より前のバージョン - PHP 5.5.32 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細は、開発者や配布元が提供する情報を参照してく ださい。
関連文書 (英語)
PHP Group
PHP 5 ChangeLog Version 7.0.3
http://www.php.net/ChangeLog-7.php#7.0.3PHP Group
PHP 5 ChangeLog Version 5.6.18
http://www.php.net/ChangeLog-5.php#5.6.18PHP Group
PHP 5 ChangeLog Version 5.5.32
http://www.php.net/ChangeLog-5.php#5.5.32
【2】Windows 版 Oracle Java に脆弱性
情報源
Oracle Technology Network
8u73 Update Release Notes
http://www.oracle.com/technetwork/java/javase/8u73-relnotes-2874654.html
概要
Oracle Java には脆弱性があります。結果として、遠隔の第三者が、細工した ファイルをユーザにダウンロードさせた状態で Java をインストールさせるこ とで、任意のコードを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - JDK/JRE 6u113 (Windows 版) より前のバージョン - JDK/JRE 7u97 (Windows 版) より前のバージョン - JDK/JRE 8u73 (Windows 版) より前のバージョン この問題は、Oracle Technology Network が提供する修正済みのバージョンに 該当する製品を更新することで解決します。詳細は、Oracle Technology Network が提供する情報を参照してください。
関連文書 (英語)
Oracle Technology Network
Oracle Security Alert for CVE-2016-0603
http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0603-2874360.htmlUS-CERT Current Activity
Oracle Releases Security Updates for Java
https://www.us-cert.gov/ncas/current-activity/2016/02/08/Oracle-Releases-Security-Updates-Java
【3】WordPress に複数の脆弱性
情報源
US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/02/02/WordPress-Releases-Security-Update
概要
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、機 微な情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.4.1 およびそれ以前 この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。
関連文書 (日本語)
WordPress
WordPress 4.4.2 セキュリティとメンテナンスのリリース
https://ja.wordpress.org/2016/02/03/wordpress-4-4-2-security-and-maintenance-release/
【4】Huawei E5151 および E5186 に不十分なランダム値を使用している問題
情報源
CERT/CC Vulnerability Note VU#972224
Huawei Mobile WiFi E5151 and E5186 routers use insufficiently random values for DNS queries
https://www.kb.cert.org/vuls/id/972224
概要
Huawei E5151 および E5186 には、不十分なランダム値を使用している問題が あります。結果として、遠隔の第三者が、偽装した DNS レスポンスを送信する ことで、ユーザを意図しないサーバに誘導する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Huawei E5151 firmware version E5151s-2TCPU-V200R001B141D13SP00C1080 - Huawei E5186 firmware version V200R001B306D01C00 この問題は、Huawei が提供する修正済みのバージョンに該当する製品のファー ムウェアを更新することで解決します。詳細は、Huawei が提供する情報を参 照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92574416
Huawei E5151 および Huawei E5186 に不十分なランダム値を使用している問題
https://jvn.jp/vu/JVNVU92574416/
関連文書 (英語)
Huawei
Security Advisory - DNS Static Source Port Vulnerability in Huawei E5186
http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20160129-01-dns-en
【5】OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題
情報源
CERT/CC Vulnerability Note VU#544527
OpenELEC and RasPlex have a hard-coded SSH root password
https://www.kb.cert.org/vuls/id/544527
概要
OpenELEC と RasPlex には、root の SSH パスワードがハードコードされてい る問題があります。結果として、遠隔の第三者が、root 権限で機器にアクセ スする可能性があります。 対象となる製品は以下の通りです。 - OpenELEC - RasPlex 2016年2月9日現在、対策済みのバージョンは公開されていません。以下の回避 策を適用することで、本脆弱性の影響を軽減することが可能です。 - パスワード認証による SSH 接続を無効にする - 異なるパスワードを使用してビルドする - ネットワークアクセスを制限する 詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99850969
OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題
https://jvn.jp/vu/JVNVU99850969/
■今週のひとくちメモ
○「CSIRT 人材セミナー」開催
2016年2月23日、日本シーサート協議会 (NCA) および東京電機大学 国際化サ イバーセキュリティ学特別コース (CySec) の主催で「CSIRT 人材セミナー」 が開催されます。 これは NCA の CSIRT 人材サブワーキンググループが 2015年11月に公開した 資料「CSIRT 人材の定義と確保」の解説を中心としたもので、セキュリティ人 材の採用や育成を担当する方を対象としています。参加費は無料です。
参考文献 (日本語)
日本シーサート協議会
CSIRT 人材セミナー 〜 サイバーセキュリティを担う人材とは 〜
http://www.nca.gr.jp/2016/pr-seminar/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/