== 目  次 ==================================================================

【1】バッファロー製の複数の無線 LAN ルータに OS コマンドインジェクションの脆弱性
【2】McAfee ePolicy Orchestrator に SSL/TLS 証明書を適切に検証しない脆弱性
【3】NetFlow Analyzer に複数の脆弱性
【4】F21 製 JWT にトークンの署名検証回避の脆弱性
【5】RSA Conference Asia Pacific & Japan 2015 開催
【今週のひとくちメモ】産業制御システムで使用される PLC の脆弱性を標的としたアクセスを観測

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr152201.html
https://www.jpcert.or.jp/wr/2015/wr152201.xml

============================================================================

 【1】バッファロー製の複数の無線 LAN ルータに OS コマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#50447904
バッファロー製の複数の無線 LAN ルータにおける OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN50447904/

概要

バッファロー製の複数の無線 LAN ルータには、OS コマンドインジェクションの脆弱性があります。
結果として、管理画面にログイン可能なユーザが、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。
– WHR-1166DHP ファームウェア Ver.1.60 およびそれ以前
– WSR-600DHP ファームウェア Ver.1.60 およびそれ以前
– WHR-600D ファームウェア Ver.1.60 およびそれ以前
– WHR-300HP2 ファームウェア Ver.1.60 およびそれ以前
– WMR-300 ファームウェア Ver.1.60 およびそれ以前
– WEX-300 ファームウェア Ver.1.60 およびそれ以前
– BHR-4GRV2 ファームウェア Ver.1.04 およびそれ以前

この問題は、株式会社バッファローが提供する修正済みのバージョンに該当する製品のファームウェアを更新することで解決します。
詳細については、株式会社バッファローが提供する情報を参照してください。

関連文書 (日本語)

株式会社バッファロー
一部のネットワーク製品におけるOSコマンドインジェクションの脆弱性
http://buffalo.jp/support_s/s20150202.html

 

【2】McAfee ePolicy Orchestrator に SSL/TLS 証明書を適切に検証しない脆弱性

情報源

CERT/CC Vulnerability Note VU#264092
McAfee ePolicy Orchestrator fails to properly validate SSL/TLS certificates
http://www.kb.cert.org/vuls/id/264092

概要

McAfee ePolicy Orchestrator には、SSL/TLS 証明書を適切に検証しない脆弱性があります。
結果として、遠隔の第三者が、中間者攻撃を行うことによって、暗号通信を盗聴するなどの可能性があります。

対象となるバージョンは以下の通りです。
– McAfee ePolicy Orchestrator 4.6.8 およびそれ以前
– McAfee ePolicy Orchestrator 5.1.1 およびそれ以前

この問題は、McAfee が提供する修正済みのバージョンに ePolicy Orchestrator を更新することで解決します。
詳細については、McAfee が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98454141
McAfee ePolicy Orchestrator が SSL/TLS 証明書を適切に検証しない脆弱性
https://jvn.jp/vu/JVNVU98454141/

 

【3】NetFlow Analyzer に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#79284156
NetFlow Analyzer におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN79284156/

Japan Vulnerability Notes JVN#25598413
NetFlow Analyzer におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN25598413/

Japan Vulnerability Notes JVN#98447310
NetFlow Analyzer におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN98447310/

概要

NetFlow Analyzer には、複数の脆弱性があります。
結果として、遠隔の第三者が、本来、管理者権限でしか閲覧できない情報を閲覧したり、ユーザのブラウザ上で任意のスクリプトを実行したりするなどの可能性があります。

対象となるバージョンは以下の通りです。
– NetFlow Analyzer build 10250 およびそれ以前

この問題は、開発者が提供するパッチを NetFlow Analyzer に適用することで解決します。
なお、このパッチを適用するには NetFlow Analyzer build 10250 である必要があります。
詳細については、開発者が提供する情報を参照してください。

関連文書 (英語)

Zoho Corporation
Vulnerability fix for (fails to restrict access permissions, cross-site scripting, cross-site request forgery) over build 10250
https://support.zoho.com/portal/manageengine/helpcenter/articles/vulnerability-fix-for-fails-to-restrict-access-permissions-cross-site-scripting-cross-site-request-forgery-over-build-10250

 

【4】F21 製 JWT にトークンの署名検証回避の脆弱性

情報源

Japan Vulnerability Notes JVN#06120222
F21 製 JWT におけるトークンの署名検証回避の脆弱性
https://jvn.jp/jp/JVN06120222/

概要

F21 製 JWT には、トークンの署名検証回避の脆弱性があります。
結果として、遠隔の第三者が、細工したトークンデータにより、署名検証を回避する可能性があります。

対象となる製品およびバージョンは以下の通りです。
– JWT 2.0 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに JWT を更新することで解決します。
詳細については、開発者が提供する情報を参照してください。

関連文書 (英語)

GitHub
F21/jwt
https://github.com/F21/jwt

 

【5】RSA Conference Asia Pacific & Japan 2015 開催

情報源

RSA Conference
RSA Conference Asia Pacific & Japan 2015
http://www.rsaconference.com/events/ap15

概要

2015年7月22日(水) から 24日(金) にかけて、シンガポールの Marina Bay Sands において
RSA Conference Asia Pacific & Japan 2015 が開催されます。
JPCERT/CC は、本カンファレンスを後援しています。

関連文書 (英語)

RSA Conference Blogs
Regionally Focused Security Lessons on Tap at RSA Conference APJ
http://www.rsaconference.com/blogs/regionally-focused-security-lessons-on-tap-at-rsa-conference-apj

 

――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○産業制御システムで使用される PLC の脆弱性を標的としたアクセスを観測

警察庁 @police は、2015年5月26日に「産業制御システムで使用される PLC の脆弱性を標的としたアクセスの観測について」、2015年6月5日に「産業制御システムで使用される PLC の脆弱性を標的としたアクセスの観測について(第2報)」を公開しました。

これらのレポートでは、2014年12月に発見された、産業制御システムで使用される特定の PLC (Programmable Logic Controller の略) のソフトウェアの脆弱性を標的としたアクセスが、5月以降増加していることが紹介されており、警察庁が注意を呼びかけています。

なお、JPCERT/CC では、制御システムセキュリティに関する資料を公開しています。こちらもあわせて参考にしてください。

参考文献 (日本語)

警察庁 @police
産業制御システムで使用される PLC の脆弱性を標的としたアクセスの観測について
https://www.npa.go.jp/cyberpolice/detect/pdf/20150526.pdf

警察庁 @police
産業制御システムで使用される PLC の脆弱性を標的としたアクセスの観測について(第2報)
https://www.npa.go.jp/cyberpolice/detect/pdf/20150605.pdf

JPCERT/CC
制御システムセキュリティとは
https://www.jpcert.or.jp/ics/