<<< JPCERT/CC WEEKLY REPORT 2016-08-10 >>>
■07/31(日)〜08/06(土) のセキュリティ関連情報
目 次
【1】プロキシ自動設定ファイル (proxy.pac) を使用するブラウザに情報漏えいの脆弱性
【2】複数の VMware 製品に脆弱性
【3】複数の Cisco 製品に脆弱性
【4】Apple iOS にメモリ破損の脆弱性
【5】Mozilla Firefox に複数の脆弱性
【6】Android ブラウザにサービス運用妨害 (DoS) の脆弱性
【7】Crestron Electronics AirMedia Presentation Gateway AM-100 に複数の脆弱性
【8】Crestron Electronics DM-TXRX-100-STR に複数の脆弱性
【今週のひとくちメモ】STOP!! パスワード使い回し!! - そのパスワードを知っているのは、本当にあなただけですか? -
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr163101.txt
https://www.jpcert.or.jp/wr/2016/wr163101.xml
【1】プロキシ自動設定ファイル (proxy.pac) を使用するブラウザに情報漏えいの脆弱性
情報源
CERT/CC Vulnerability Note VU#877625
Proxy auto-config (PAC) files have access to full HTTPS URLs
https://www.kb.cert.org/vuls/id/877625
概要
プロキシ自動設定ファイル (proxy.pac) を使用するブラウザには情報漏えい の脆弱性があります。結果として、遠隔の第三者が、悪意ある proxy.pac ファ イルを使用させることで、情報を取得する可能性があります。 対象となる製品は以下の通りです。 - プロキシ自動設定ファイル (proxy.pac) が使用できるブラウザ - WPAD に対応しているブラウザ この問題は、該当するブラウザを、開発者が提供する修正済みのバージョンに 更新することで解決します。また、以下の回避策を適用することで、本脆弱性 の影響を軽減することが可能です。 - WPAD を使用しない 詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90289707
プロキシ自動設定ファイル (proxy.pac) から完全な形の HTTPS URL へアクセスできる問題
https://jvn.jp/vu/JVNVU90289707/
関連文書 (英語)
Apple
About the security content of iOS 9.3.2
https://support.apple.com/en-us/HT206568Google Chrome
Chrome Releases: Stable Channel Update
https://googlechromereleases.blogspot.jp/2016/07/stable-channel-update.html
【2】複数の VMware 製品に脆弱性
情報源
US-CERT Current Activity
VMware Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/08/05/VMware-Releases-Security-Update-0
概要
複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行し たりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware ESXi 6.0 ESXi600-201603102-SG より前のバージョン - VMware ESXi 5.5 ESXi550-201608102-SG より前のバージョン - VMware ESXi 5.1 ESXi510-201605102-SG より前のバージョン - VMware ESXi 5.0 ESXi500-201606102-SG より前のバージョン - VMware Workstation Pro 12.1.1 より前のバージョン - VMware Workstation Player 12.1.1 より前のバージョン - VMware Fusion 8.1.1 より前のバージョン - VMware Tools 10.0.5 およびそれ以前 - VMware vCenter Server 6.0 U2 より前のバージョン この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2016-0010
https://www.vmware.com/security/advisories/VMSA-2016-0010.html
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/08/03/Cisco-Releases-Security-Updates
概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行し たりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - RV110W Wireless-N VPN Firewall - RV130W Wireless-N Multifunction VPN Router - RV215W Wireless-N VPN Router - RV180 VPN Router - RV180W Wireless-N Multifunction VPN Router - Unified Communications Manager IM and Presence Service 9.1(1) SU6 - Unified Communications Manager IM and Presence Service 9.1(1) SU6a - Unified Communications Manager IM and Presence Service 9.1(1) SU7 - Unified Communications Manager IM and Presence Service 10.5(2) SU2 - Unified Communications Manager IM and Presence Service 10.5(2) SU2a - Unified Communications Manager IM and Presence Service 11.0(1) SU1 - Unified Communications Manager IM and Presence Service 11.5(1) - TelePresence Video Communication Server Expressway X8.5.2 - Prime Infrastructure Release 2.2(2) この問題は、該当する製品のファームウェアを Cisco が提供する修正済みの バージョンに更新することで解決します。詳細は、Cisco が提供する情報を参 照してください。
関連文書 (英語)
Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers Static Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-rv110_130w2Cisco Security Advisory
Cisco RV180 VPN and RV180W Wireless-N Multifunction VPN Routers Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-rv180_2Cisco Security Advisory
Cisco Unified Communications Manager IM and Presence Service SIP Packet Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-ucmCisco Security Advisory
Cisco RV180 VPN and RV180W Wireless-N Multifunction VPN Routers Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-rv180_1Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers Command Shell Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-rv110_130w1Cisco Security Advisory
Cisco TelePresence Video Communication Server Expressway Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-vcseCisco Security Advisory
Cisco Prime Infrastructure Cross-Frame Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160803-cpi
【4】Apple iOS にメモリ破損の脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2016/08/05/Apple-Releases-Security-Update
概要
Apple iOS には、メモリ破損の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - iOS 9.3.4 より前のバージョン この問題は、iOS を Apple が提供する修正済みのバージョンに更新すること で解決します。詳細は、Apple が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99702250
Apple iOS にメモリ破損の脆弱性
https://jvn.jp/vu/JVNVU99702250/
関連文書 (英語)
Apple
About the security content of iOS 9.3.4
https://support.apple.com/en-us/HT207026
【5】Mozilla Firefox に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/08/03/Mozilla-Releases-Security-Updates
概要
Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 48 より前のバージョン - Firefox ESR 45.3 より前のバージョン この問題は、Firefox を Mozilla が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Mozilla が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2016 年 8 月 2 日)
http://www.mozilla-japan.org/security/announce/
【6】Android ブラウザにサービス運用妨害 (DoS) の脆弱性
情報源
Japan Vulnerability Notes JVN#09470233
Android ブラウザにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN09470233/
概要
Android 4.3 およびそれ以前のバージョンで使用されている既定のウェブブラ ウザには、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Android ブラウザ 2.1 - Android ブラウザ 2.2 これらは単に「ブラウザ」、あるいは「AOSP Stock Browser」と呼ばれること もあります。 2016年8月9日現在、対策済みのバージョンは公開されていません。以下の回避 策を適用することで、本脆弱性の影響を軽減することが可能です。 - Android ブラウザを使用しない 詳細は、ベンダや配布元が提供する情報を参照してください。
【7】Crestron Electronics AirMedia Presentation Gateway AM-100 に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#603047
Crestron AirMedia AM-100 contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/603047
概要
AirMedia Presentation Gateway AM-100 には、複数の脆弱性があります。結 果として、遠隔の第三者が、任意のファイルにアクセスしたり、任意のコード を実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - AirMedia Presentation Gateway AM-100 firmware version 1.4.0.13 より前のバージョン この問題は、AirMedia Presentation Gateway AM-100 のファームウェアを、 Crestron Electronics が提供する修正済みのバージョンに更新することで解 決します。詳細は、Crestron Electronics が提供する情報を参照してくださ い。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97169528
Crestron Electronics AirMedia Presentation Gateway AM-100 に複数の脆弱性
https://jvn.jp/vu/JVNVU97169528/
【8】Crestron Electronics DM-TXRX-100-STR に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#974424
Crestron Electronics DM-TXRX-100-STR web interface contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/974424
概要
Crestron Electronics DM-TXRX-100-STR には、複数の脆弱性があります。結 果として、遠隔の第三者が、任意の操作を実行する可能性があります。 対象となるバージョンは以下の通りです。 - DM-TXRX-100-STR firmware version 1.2866.00026 およびそれ以前 この問題は、DM-TXRX-100-STR のファームウェアを、Crestron Electronics が提供する修正済みのバージョンに更新することで解決します。ただし、問題 の一部は 2016年8月9日現在、修正されていません。詳細は、Crestron Electronics が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#93291811
Crestron Electronics DM-TXRX-100-STR に複数の脆弱性
https://jvn.jp/vu/JVNVU93291811/
■今週のひとくちメモ
○STOP!! パスワード使い回し!! - そのパスワードを知っているのは、本当にあなただけですか? -
JPCERT/CC では、「STOP!! パスワード使い回し!!」と題して、複数のインター ネットサービスで同じアカウント ID、パスワードを使い回さないよう呼びか けています。この呼びかけは、パスワードリスト攻撃による不正ログインの被 害が減らないことを受け、2014年から行っているものです。複数のサービスで 同一のパスワードを使用していないか、また単純なパスワードを使用していな いか、この機会にご確認ください。
参考文献 (日本語)
JPCERT/CC
STOP!! パスワード使い回し!!キャンペーン2016 - そのパスワードを知っているのは、本当にあなただけですか? -
https://www.jpcert.or.jp/pr/2016/pr160003.htmlJPCERT/CC
STOP!! パスワード使い回し!!パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
https://www.jpcert.or.jp/pr/2014/pr140004.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/