Home > 情報提供 > Weekly Report > 2015 > Weekly Report 2015-05-27号

Weekly Report 2015-05-27号

JPCERT-WR-2015-2001

JPCERT/CC

2015-05-27

<<< JPCERT/CC WEEKLY REPORT 2015-05-27 >>>

■05/17(日)〜05/23(土) のセキュリティ関連情報

目　次

【1】TLS プロトコルに弱い鍵を受け入れる問題

【2】Apple Watch OS に複数の脆弱性

【3】SXF 共通ライブラリにバッファオーバーフローの脆弱性

【4】mt-phpincgi に任意の PHP コードが実行可能な脆弱性

【5】KCodes NetUSB カーネルドライバにバッファオーバーフローの脆弱性

【6】BGA32.DLL および QBga32.DLL に複数の脆弱性

【今週のひとくちメモ】金融機関のフィッシングサイトが増加

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr152001.txt
https://www.jpcert.or.jp/wr/2015/wr152001.xml

【1】TLS プロトコルに弱い鍵を受け入れる問題

情報源

Logjam: How Diffie-Hellman Fails in Practice
The Logjam Attack
https://weakdh.org/

概要

TLS プロトコルには、弱い (512 ビット以下の) 鍵がセッション鍵として使わ
れる問題があります。結果として、中間者攻撃を行う第三者が、暗号化された
情報を復号する可能性があります。

影響を受ける製品は複数あります。詳細については、各ベンダや配布元が提供
する情報を参照してください。

【2】Apple Watch OS に複数の脆弱性

情報源

Apple
About the security content of Watch OS 1.0.1
https://support.apple.com/ja-jp/HT204870

概要

Apple Watch OS には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなど
の可能性があります。

対象となるバージョンは以下の通りです。

- Watch OS 1.0.1 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに Apple Watch OS を更
新することで解決します。詳細については、Apple が提供する情報を参照して
ください。

【3】SXF 共通ライブラリにバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#93976566
SXF 共通ライブラリにおけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN93976566/

概要

SXF 共通ライブラリには、バッファオーバーフローの脆弱性があります。結果
として、遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- SXF 共通ライブラリ Ver.3.21 およびそれ以前

この問題は、オープンCADフォーマット評議会が提供する修正済みのバージョン
に SXF 共通ライブラリを更新することで解決します。詳細については、オープ
ンCADフォーマット評議会が提供する情報を参照してください。

【4】mt-phpincgi に任意の PHP コードが実行可能な脆弱性

情報源

Japan Vulnerability Notes JVN#64459670
mt-phpincgi において任意の PHP コードが実行可能な脆弱性
https://jvn.jp/jp/JVN64459670/

概要

mt-phpincgi には、脆弱性があります。結果として、遠隔の第三者が、任意の
PHP コードを実行する可能性があります。

対象となる製品は以下の通りです。

- mt-phpincgi

この問題は、開発者が提供する修正済みのバージョンに mt-phpincgi を更新
することで解決します。詳細については、開発者が提供する情報を参照してく
ださい。

【5】KCodes NetUSB カーネルドライバにバッファオーバーフローの脆弱性

情報源

CERT/CC Vulnerability Note VU#177092
KCodes NetUSB kernel driver is vulnerable to buffer overflow
http://www.kb.cert.org/vuls/id/177092

概要

KCodes NetUSB カーネルドライバには、バッファオーバーフローの脆弱性があ
ります。結果として、第三者が、任意のコードを実行したり、サービス運用妨
害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品は以下の通りです。

- KCodes が提供する NetUSB カーネルドライバを使用する製品

この問題は、使用している製品のベンダが提供する修正済みのバージョンに
ファームウェアを更新することで解決します。また、以下の回避策を適用する
ことで、本脆弱性の影響を軽減することが可能です。

- USB デバイスのネットワーク共有を無効にする
- 20005/tcp の通信をブロックする

詳細については、使用している製品のベンダが提供する情報を参照してくださ
い。

【6】BGA32.DLL および QBga32.DLL に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#78689801
BGA32.DLL および QBga32.DLL における複数の脆弱性
https://jvn.jp/jp/JVN78689801/

概要

BGA32.DLL および QBga32.DLL には、複数の脆弱性があります。結果として、
遠隔の第三者が、細工したファイルをユーザに開かせることで、任意のコード
を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があ
ります。

対象となる製品およびバージョンは以下の通りです。

- BGA32.DLL
- QBga32.DLL version 0.04 およびそれ以前

BGA32.DLL は開発を終了していますので、使用を停止してください。
QBga32.DLL については、開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細については、開発者が提供する情報を参照してください。

■今週のひとくちメモ

○金融機関のフィッシングサイトが増加

2015年4月21日、警察庁 @police は、「金融機関のフィッシングサイトの増加
について」を公開しました。このレポートでは、4月中旬以降、日本国内の金
融機関を騙るフィッシングサイトが増加していること、これらのフィッシング
サイトでは SSL/TLS で暗号化されていないことなどが紹介されています。

また、フィッシング対策協議会からも、フィッシングに関する情報が公開され
ています。あわせて参考にしてください。

参考文献 (日本語)

警察庁 @police
金融機関のフィッシングサイトの増加について
https://www.npa.go.jp/cyberpolice/detect/pdf/20150421.pdf

フィッシング対策協議会
フィッシングに関するニュース
https://www.antiphishing.jp/news/alert/

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ