<<< JPCERT/CC WEEKLY REPORT 2016-12-14 >>>
■12/04(日)〜12/10(土) のセキュリティ関連情報
目 次
【1】Apache HTTP Web Server にサービス運用妨害 (DoS) の脆弱性
【2】PHP に複数の脆弱性
【3】BSD libc にバッファオーバーフローの脆弱性
【4】三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールに複数の脆弱性
【5】ForeScout CounterACT SecureConnector エージェントに権限昇格の脆弱性
【6】Sleipnir for Mac にアドレス表示偽装の脆弱性
【7】Android アプリ「株式会社三菱東京UFJ銀行」に SSL/TLS ダウングレード攻撃が可能となる脆弱性
【8】PHP FormMail Generator で作成した PHP コードに複数の脆弱性
【9】IPA が「サイバーセキュリティ経営ガイドライン解説書」を公開
【今週のひとくちメモ】2017年1月1日に「うるう秒」を挿入
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2016/wr164901.txt
https://www.jpcert.or.jp/wr/2016/wr164901.xml
【1】Apache HTTP Web Server にサービス運用妨害 (DoS) の脆弱性
情報源
Japan Vulnerability Notes JVNVU#97133859
Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU97133859/
概要
Apache HTTP Web Server の HTTP/2 プロトコルの処理には、脆弱性がありま す。結果として、遠隔の第三者が、細工した HTTP/2 リクエストを送信するこ とで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Apache HTTP web server 2.4.17 から 2.4.23 まで 2016年12月13日現在、対策済みのバージョンは公開されていません。なお、ソー スコードリポジトリでは、修正が行われています。以下の回避策を適用するこ とで、本脆弱性の影響を軽減することが可能です。 - 設定ファイル内の 'Protocols' 行から 'h2' および 'h2c' を削除することで HTTP/2 を無効にする 詳細は、Apache Software Foundation が提供する情報を参照してください。
関連文書 (英語)
httpd-announce mailing list archives
CVE-2016-8740, Server memory can be exhausted and service denied when HTTP/2 is used
https://mail-archives.apache.org/mod_mbox/httpd-announce/201612.mbox/%3C1A097A43-7CCB-4BA1-861F-E0C7EEE83A4B%40apache.org%3E
【2】PHP に複数の脆弱性
情報源
PHP Group
PHP 7.0.14 Released
https://secure.php.net/archive/2016.php#id2016-12-08-1PHP Group
PHP 5.6.29 Released
https://secure.php.net/archive/2016.php#id2016-12-08-2
概要
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 対象となるバージョンは以下の通りです。 - PHP 7.0.14 より前のバージョン - PHP 5.6.29 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。
関連文書 (英語)
PHP Group
PHP 7 ChangeLog Version 7.0.14
https://secure.php.net/ChangeLog-7.php#7.0.14PHP Group
PHP 5 ChangeLog Version 5.6.29
https://secure.php.net/ChangeLog-5.php#5.6.29
【3】BSD libc にバッファオーバーフローの脆弱性
情報源
CERT/CC Vulnerability Note VU#548487
BSD libc contains a buffer overflow vulnerability in link_ntoa()
https://www.kb.cert.org/vuls/id/548487
概要
BSD libc には、バッファオーバーフローの脆弱性があります。結果として、 遠隔の第三者が任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - BSD libc この問題は、BSD libc を、使用している OS のベンダや配布元が提供する修 正済みのバージョンに更新することで解決します。詳細は、開発者が提供する 情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#91242711
BSD libc にバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU91242711/
関連文書 (英語)
The FreeBSD Project
link_ntoa(3) buffer overflow
https://www.freebsd.org/security/advisories/FreeBSD-SA-16:37.libc.asc
【4】三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールに複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#99901500
三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールに複数の脆弱性
https://jvn.jp/vu/JVNVU99901500/
概要
三菱電機 MELSEC-Q シリーズの Ethernet インターフェースモジュールには、 複数の脆弱性があります。結果として、遠隔の第三者が、パスワードを取得し たり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - QJ71E71-100 のすべてのバージョン - QJ71E71-B5 のすべてのバージョン - QJ71E71-B2 のすべてのバージョン この問題は、該当する製品を三菱電機株式会社が提供する修正済みのバージョン に更新し、以下の設定を行うことで解決します。 - 適切な送信元からの通信のみを許可するように IP フィルタリング機能を設定する 詳細は、三菱電機株式会社が提供する情報を参照してください。
関連文書 (英語)
ISC-CERT Advisory (ICSA-16-336-03)
Mitsubishi Electric MELSEC-Q Series Ethernet Interface Module Vulnerabilities
https://ics-cert.us-cert.gov/advisories/ICSA-16-336-03
【5】ForeScout CounterACT SecureConnector エージェントに権限昇格の脆弱性
情報源
CERT/CC Vulnerability Note VU#768331
ForeScout CounterACT SecureConnector agent is vulnerable to privilege escalation
https://www.kb.cert.org/vuls/id/768331
概要
ForeScout CounterACT SecureConnector エージェント には、権限昇格の脆弱 性があります。結果として、一般ユーザが SYSTEM 権限を取得する可能性があ ります。 対象となる製品は以下の通りです。 - SecureConnector の Windows 向けエージェント この問題は、SecureConnector に ForeScout Technologies Inc. が提供する HPS Inspection Engine Plugin, version 10.4.1.1 を適用することで解決し ます。詳細は、ForeScout Technologies Inc. が提供する情報を参照してくだ さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96676747
ForeScout CounterACT SecureConnector エージェントに権限昇格の脆弱性
https://jvn.jp/vu/JVNVU96676747/
【6】Sleipnir for Mac にアドレス表示偽装の脆弱性
情報源
Japan Vulnerability Notes JVN#28151745
Sleipnir for Mac におけるアドレス表示偽装の脆弱性
https://jvn.jp/jp/JVN28151745/
概要
Sleipnir for Mac には、アドレス表示偽装の脆弱性があります。結果として、 遠隔の第三者がアドレス表示欄の URL を偽装し、意図しないサイトに誘導す る可能性があります。 対象となるバージョンは以下の通りです。 - Sleipnir 4 Black Edition for Mac (インストーラ版) 4.5.3 およびそれ以前 - Sleipnir 4 for Mac (Mac App Store 版) 4.5.3 およびそれ以前 この問題は、 Sleipnir for Mac をフェンリル株式会社が提供する修正済みの バージョンに更新することで解決します。詳細は、フェンリル株式会社が提供 する情報を参照してください。
関連文書 (日本語)
Sleipnir Browser
バージョン 4.5.4 の新機能
https://itunes.apple.com/jp/app/sleipnir-browser/id475299388
【7】Android アプリ「株式会社三菱東京UFJ銀行」に SSL/TLS ダウングレード攻撃が可能となる脆弱性
情報源
Japan Vulnerability Notes JVNVU#92900492
Android アプリ「株式会社三菱東京UFJ銀行」に SSL/TLS ダウングレード攻撃が可能となる脆弱性
https://jvn.jp/vu/JVNVU92900492/
概要
Android アプリ「株式会社三菱東京UFJ銀行」には、SSL/TLS ダウングレー ド攻撃が可能となる脆弱性があります。結果として、遠隔の第三者が、中間者 攻撃によって暗号通信を盗聴するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Android アプリ「株式会社三菱東京UFJ銀行」 ver5.3.1 - Android アプリ「株式会社三菱東京UFJ銀行」 ver5.2.2 およびそれ以前 この問題は、Android アプリ「株式会社三菱東京UFJ銀行」を、株式会社三 菱東京UFJ銀行が提供する修正済みのバージョンに更新することで解決しま す。詳細は、株式会社三菱東京UFJ銀行が提供する情報を参照してください。
【8】PHP FormMail Generator で作成した PHP コードに複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#494015
PHP FormMail Generator generates code with multiple vulnerabilities
https://www.kb.cert.org/vuls/id/494015
概要
PHP FormMail Generator で作成した PHP コードには、複数の脆弱性がありま す。結果として、遠隔の第三者が、ウェブフォームの管理パネルにアクセスし たり、任意のファイルを取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - 2016年12月6日より前に PHP FormMail Generator で生成した PHP コード この問題は、PHP コードを PHP FormMail Generator で再生成することで解決 します。詳細は、PHP Form Mail Maker が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99577809
PHP FormMail Generator で作成した PHP コードに複数の脆弱性
https://jvn.jp/vu/JVNVU99577809/
【9】IPA が「サイバーセキュリティ経営ガイドライン解説書」を公開
情報源
情報処理推進機構 (IPA)
サイバーセキュリティ経営ガイドライン解説書 Ver.1.0
https://www.ipa.go.jp/files/000056148.pdf
概要
2016年12月8日、情報処理推進機構 (IPA) は、「サイバーセキュリティ経営ガ イドライン解説書」を公開しました。このドキュメントは、2015年12月に策定 された「サイバーセキュリティ経営ガイドライン」の実施方法を解説したもの です。ガイドラインが示す重要 10項目について、仮想の中小企業および大企 業を例に、それぞれの検討手順や注意すべきポイントをまとめています。
関連文書 (日本語)
経済産業省
サイバーセキュリティ経営ガイドライン
http://www.meti.go.jp/policy/netsecurity/mng_guide.html
■今週のひとくちメモ
○2017年1月1日に「うるう秒」を挿入
2017年1月1日に「うるう秒」が挿入されます。これは原子時計に基づく時刻と 天文時に基づく時刻とのずれを調整するためのもので、日本では国立研究開発 法人情報通信研究機構 (NICT) が、2017年1月1日午前 8時59分59秒と 9時00分00秒の間に「8時59分60秒」を挿入する予定です。 サーバの管理者は、万が一トラブルが発生した場合に備え、緊急時における連 絡体制や、ソフトウェアのアップデートが適切に実施されているかを確認して ください。 また、Google、Akamai、Bloomberg などが運用している各 NTP サーバでは、 1秒追加という形ではなく、一定の期間クロックを遅らせるという対応を行う とアナウンスしています。
参考文献 (日本語)
国立研究開発法人 情報通信研究機構(NICT)
「うるう秒」挿入のお知らせ
https://www.nict.go.jp/press/2016/07/08-1.html
参考文献 (英語)
Google Public NTP
Leap Smear
https://developers.google.com/time/smear
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/