== 目  次 ==================================================================

【1】TLS プロトコルに弱い鍵を受け入れる問題
【2】Apple Watch OS に複数の脆弱性
【3】SXF 共通ライブラリにバッファオーバーフローの脆弱性
【4】mt-phpincgi に任意の PHP コードが実行可能な脆弱性
【5】KCodes NetUSB カーネルドライバにバッファオーバーフローの脆弱性
【6】BGA32.DLL および QBga32.DLL に複数の脆弱性
【今週のひとくちメモ】金融機関のフィッシングサイトが増加

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。

https://www.jpcert.or.jp/wr/

 ※HTML 版および XML 版は以下のページをご覧ください。

https://www.jpcert.or.jp/wr/2015/wr152001.html
https://www.jpcert.or.jp/wr/2015/wr152001.xml

 ============================================================================

【1】TLS プロトコルに弱い鍵を受け入れる問題

情報源

Logjam: How Diffie-Hellman Fails in Practice
The Logjam Attack
https://weakdh.org/

概要

TLS プロトコルには、弱い (512 ビット以下の) 鍵がセッション鍵として使われる問題があります。
結果として、中間者攻撃を行う第三者が、暗号化された情報を復号する可能性があります。

影響を受ける製品は複数あります。詳細については、各ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト セキュリティ情報
Schannel の脆弱性により、情報漏えいが起こる (3061518)
https://technet.microsoft.com/library/security/MS15-055

関連文書 (英語)

OpenSSL Blog
Logjam, FREAK and Upcoming Changes in OpenSSL
https://www.openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/

【2】Apple Watch OS に複数の脆弱性

情報源

Apple
About the security content of Watch OS 1.0.1
https://support.apple.com/ja-jp/HT204870

概要

Apple Watch OS には、複数の脆弱性があります。
結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

対象となるバージョンは以下の通りです。
– Watch OS 1.0.1 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに Apple Watch OS を更新することで解決します。
詳細については、Apple が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#93832567
Apple Watch OS に複数の脆弱性
https://jvn.jp/vu/JVNVU93832567/

【3】SXF 共通ライブラリにバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#93976566
SXF 共通ライブラリにおけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN93976566/

概要

SXF 共通ライブラリには、バッファオーバーフローの脆弱性があります。
結果として、遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。
– SXF 共通ライブラリ Ver.3.21 およびそれ以前

この問題は、オープンCADフォーマット評議会が提供する修正済みのバージョンに SXF 共通ライブラリを更新することで解決します。詳細については、オープンCADフォーマット評議会が提供する情報を参照してください。

関連文書 (日本語)

オープンCADフォーマット評議会
SXF共通ライブラリの脆弱性対応
http://www.ocf.or.jp/top/topix/027.shtml

【4】mt-phpincgi に任意の PHP コードが実行可能な脆弱性

情報源

Japan Vulnerability Notes JVN#64459670
mt-phpincgi において任意の PHP コードが実行可能な脆弱性
https://jvn.jp/jp/JVN64459670/

概要

mt-phpincgi には、脆弱性があります。
結果として、遠隔の第三者が、任意のPHP コードを実行する可能性があります。

対象となる製品は以下の通りです。
– mt-phpincgi

この問題は、開発者が提供する修正済みのバージョンに mt-phpincgi を更新することで解決します。
詳細については、開発者が提供する情報を参照してください。

関連文書 (日本語)

The blog of H.Fujimoto
mt-phpincgi.phpセキュリティアップデート
http://www.h-fj.com/blog/archives/2015/05/15-112843.php

【5】KCodes NetUSB カーネルドライバにバッファオーバーフローの脆弱性

情報源

CERT/CC Vulnerability Note VU#177092
KCodes NetUSB kernel driver is vulnerable to buffer overflow
http://www.kb.cert.org/vuls/id/177092

概要

KCodes NetUSB カーネルドライバには、バッファオーバーフローの脆弱性があります。
結果として、第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品は以下の通りです。
– KCodes が提供する NetUSB カーネルドライバを使用する製品

この問題は、使用している製品のベンダが提供する修正済みのバージョンにファームウェアを更新することで解決します。
また、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
– USB デバイスのネットワーク共有を無効にする
– 20005/tcp の通信をブロックする

詳細については、使用している製品のベンダが提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#90185396
KCodes NetUSB カーネルドライバにバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU90185396/

【6】BGA32.DLL および QBga32.DLL に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#78689801
BGA32.DLL および QBga32.DLL における複数の脆弱性
https://jvn.jp/jp/JVN78689801/

概要

BGA32.DLL および QBga32.DLL には、複数の脆弱性があります。
結果として、遠隔の第三者が、細工したファイルをユーザに開かせることで、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。
– BGA32.DLL
– QBga32.DLL version 0.04 およびそれ以前

BGA32.DLL は開発を終了していますので、使用を停止してください。
QBga32.DLL については、開発者が提供する修正済みのバージョンに更新することで解決します。
詳細については、開発者が提供する情報を参照してください。

関連文書 (日本語)

kmonos.net
QBga32.DLL
http://www.kmonos.net/lib/qbga32.ja.html

 

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○金融機関のフィッシングサイトが増加

2015年4月21日、警察庁 @police は、「金融機関のフィッシングサイトの増加について」を公開しました。
このレポートでは、4月中旬以降、日本国内の金融機関を騙るフィッシングサイトが増加していること、これらのフィッシングサイトでは SSL/TLS で暗号化されていないことなどが紹介されています。

また、フィッシング対策協議会からも、フィッシングに関する情報が公開されています。
あわせて参考にしてください。

参考文献 (日本語)

警察庁 @police
金融機関のフィッシングサイトの増加について
https://www.npa.go.jp/cyberpolice/detect/pdf/20150421.pdf

フィッシング対策協議会

フィッシングに関するニュース
https://www.antiphishing.jp/news/alert/