<<< JPCERT/CC WEEKLY REPORT 2016-06-15 >>>
■06/05(日)〜06/11(土) のセキュリティ関連情報
目 次
【1】Apache Struts 1 に複数の脆弱性
【2】Mozilla 製品群に複数の脆弱性
【3】複数の VMware 製品に脆弱性
【4】複数の Symantec 製品に脆弱性
【5】TERASOLUNA Server Framework for Java(WEB) に制限回避の脆弱性
【6】NETGEAR D6000 および D3600 に複数の脆弱性
【7】DXライブラリに任意のコードを実行可能な脆弱性
【今週のひとくちメモ】CCDS が「製品分野別セキュリティガイドライン第1版」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr162301.txt
https://www.jpcert.or.jp/wr/2016/wr162301.xml
【1】Apache Struts 1 に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#03188560
Apache Struts 1 におけるメモリ上にあるコンポーネントを操作可能な脆弱性
https://jvn.jp/jp/JVN03188560/Japan Vulnerability Notes JVN#65044642
Apache Struts 1 における入力値検証機能に関する脆弱性
https://jvn.jp/jp/JVN65044642/
概要
Apache Struts 1 には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす るなどの可能性があります。 対象となるバージョンは以下の通りです。 - Apache Struts バージョン 1.0 から 1.3.10 まで 2016年6月15日現在、Apache Struts 1 の開発は終了しています。Apache Struts 1 の使用を停止してください。また、配布元が修正パッチを公開している場合 があります。詳細は、開発者や配布元が提供する情報を参照してください。
関連文書 (日本語)
TERASOLUNA Framework
Apache Struts 1.2.9 with SP3 by TERASOLUNA
https://osdn.jp/projects/terasoluna/wiki/StrutsPatch3-JP
【2】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/06/07/Mozilla-Releases-Security-Updates
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 47 より前のバージョン - Firefox ESR 45.2 より前のバージョン - NSS 3.23 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細は、Mozilla が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2016 年 6 月 7 日)
http://www.mozilla-japan.org/security/announce/
【3】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/06/10/VMware-Releases-Security-Updates
概要
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、 情報を取得したり、ユーザのブラウザ上で任意のスクリプトを実行したりする などの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware NSX 6.2.3 より前の 6.2 系のバージョン - VMware NSX 6.1.7 より前の 6.1 系のバージョン - VMware vCNS 5.5.4.3 より前の 5.5.4 系のバージョン - VMware vRealize Log Insight 3.3.2 より前のバージョン この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細は、VMware が提供する情報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMware NSX and vCNS product updates address a critical information disclosure vulnerability
https://www.vmware.com/security/advisories/VMSA-2016-0007.htmlVMware Security Advisories
VMware vRealize Log Insight addresses important and moderate security issues.
https://www.vmware.com/security/advisories/VMSA-2016-0008.html
【4】複数の Symantec 製品に脆弱性
情報源
US-CERT Current Activity
Symantec Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/06/07/Symantec-Releases-Security-Updates
概要
複数の Symantec 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、データベースに対して任意の SQL コマンドを実 行したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Symantec Embedded Security: Critical System Protection (SES:CSP) 1.0.x - Symantec Embedded Security: Critical System Protection for Controllers and Devices (SES:CSP) 6.5.0 - Symantec Critical System Protection (SCSP) 5.2.9 およびそれ以前 - Symantec Data Center Security: Server Advanced Server (DCS:SA) 6.0.x - Symantec Data Center Security: Server Advanced Server (DCS:SA) 6.5.x - Symantec Data Center Security: Server Advanced Server (DCS:SA) 6.6 - Symantec Data Center Security: Server Advanced Server and Agents (DCS:SA) 6.6 MP1 この問題は、Symantec が提供する修正済みのバージョンに該当する製品を更 新することで解決します。詳細は、Symantec が提供する情報を参照してくだ さい。
関連文書 (英語)
Symantec
Security Advisories Relating to Symantec Products - Symantec Embedded Security: Critical System Protection and Symantec Data Center Security: Server Advanced, Multiple Security Issues
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160607_00
【5】TERASOLUNA Server Framework for Java(WEB) に制限回避の脆弱性
情報源
Japan Vulnerability Notes JVN#74659077
TERASOLUNA Server Framework for Java(WEB) の拡張子直接アクセス禁止機能における制限回避の脆弱性
https://jvn.jp/jp/JVN74659077/
概要
TERASOLUNA Server Framework for Java(WEB) には、拡張子直接アクセス禁止 機能の制限を回避可能な脆弱性があります。結果として、遠隔の第三者が、情 報を取得するなどの可能性があります。 対象となるバージョンは以下の通りです。 - TERASOLUNA Server Framework for Java(WEB) 2.0.0.1 から 2.0.6.1 まで この問題は、株式会社エヌ・ティ・ティ・データが提供する修正モジュールを TERASOLUNA Server Framework for Java(WEB) に適用することで解決します。 詳細は、株式会社エヌ・ティ・ティ・データが提供する情報を参照してくださ い。
関連文書 (日本語)
TERASOLUNA Framework
個別修正モジュール(PI-SJW-261-1)
https://osdn.jp/projects/terasoluna/wiki/PI-SJW-261-1-JP
【6】NETGEAR D6000 および D3600 に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#778696
Netgear D6000 and D3600 contain hard-coded cryptographic keys and are vulnerable to authentication bypass
https://www.kb.cert.org/vuls/id/778696
概要
NETGEAR D6000 および D3600 には、複数の脆弱性があります。結果として、 遠隔の第三者が、認証を回避したり、中間者攻撃を行ったりするなどの可能性 があります。 対象となる製品およびバージョンは以下の通りです。 - D6000 v1.0.0.49 およびそれ以前 - D3600 v1.0.0.49 この問題は、NETGEAR, Inc. が提供する修正済みのバージョンに該当する製品 のファームウェアを更新することで解決します。詳細は、NETGEAR, Inc. が提 供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94303845
NETGEAR D6000 および D3600 に複数の脆弱性
https://jvn.jp/vu/JVNVU94303845/
関連文書 (英語)
NETGEAR SUPPORT
CVE-2015-8289 - Authentication Bypass Using an Alternate Path or Channel
http://kb.netgear.com/app/answers/detail/a_id/30490NETGEAR SUPPORT
CVE-2015-8288 - Use of Hard-coded Cryptographic Key
http://kb.netgear.com/app/answers/detail/a_id/30560
【7】DXライブラリに任意のコードを実行可能な脆弱性
情報源
Japan Vulnerability Notes JVN#15205734
DXライブラリにおいて任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN15205734/
概要
DXライブラリには、書式指定文字列の処理に関する脆弱性があります。結果 として、遠隔の第三者が、細工した文字列を処理させることで、任意のコード を実行する可能性があります。 対象となるバージョンは以下の通りです。 - DXライブラリ VisualC++用 Ver3.13f から Ver3.16b まで - DXライブラリ BorlandC++用 Ver3.13f から Ver3.16b まで - DXライブラリ Gnu C++用 Ver3.13f から Ver3.16b まで この問題は、開発者が提供する修正済みのバージョンにDXライブラリを更新 し、アプリケーションをリビルドすることで解決します。詳細は、開発者が提 供する情報を参照してください。
関連文書 (日本語)
DXライブラリの脆弱性情報
printfDx の2重に行われる書式指定処理の脆弱性
http://dxlib.o.oo7.jp/dxvulnerability.html
■今週のひとくちメモ
○CCDS が「製品分野別セキュリティガイドライン第1版」を公開
2016年6月8日、重要生活機器連携セキュリティ協議会 (CCDS) は、「製品分野 別セキュリティガイドライン第1版」を公開しました。このガイドラインは、 2016年3月に情報処理推進機構 (IPA) が公開した「つながる世界の開発指針」 を基本的な考え方として、車載・IoT ゲートウェイ・金融端末 (ATM)・決裁端 末 (POS) それぞれの製品分野ごとに脅威やリスク、取り組むべきセキュリティ 対策をまとめたものです。
参考文献 (日本語)
重要生活機器連携セキュリティ協議会 (CCDS)
CCDS、製品分野別セキュリティガイドライン第1版を策定
https://www.ccds.or.jp/public_document/index.html#guidelines1.0情報処理推進機構 (IPA)
「つながる世界の開発指針」を公開
https://www.ipa.go.jp/sec/reports/20160324.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/