はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

OSブートシステム「systemd」に脆弱性、修正版が公開

 Linuxなどで広く利用されているブートシステム「systemd」にメモリリークを引き起こす可能性のある脆弱性が発見された(CVE-2019-20386)。udevadmトリガーコマンドによって、メモリリークが発生する可能性があるという。

これらの脆弱性を修正したアップデートが各ベンダーからリリースされているため、ユーザはアップデートを適用することが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
CVE-2019-20386(DebianのErrata)

三菱電機が同社への不正アクセス被害を公表

三菱電機は1月20日、同社のネットワークが第三者による不正アクセスを受け、個人情報と企業機密が外部に流出した可能性があると発表した。

発表によると、昨年6月28日に端末の不審な挙動を認識後、速やかに外部からのアクセスを制限するなどの対策を講じたとしている。社内調査の結果、採用応募者や従業員およびグループ企業の退職者ら最大で8122人分の個人情報が流出した可能性があり、防衛・電力・鉄道などの社会インフラに関する機微な情報、機密性の高い技術情報や取引先に関わる重要な情報は流出していないと確認したという。プレスリリースの中では、「現在までのところ、本件に関わる被害や影響は確認されていない」としている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース(pdf)

情報処理推進機構、「産業用制御システムのセキュリティ10大脅威と対策」を発表

 情報処理推進機構(IPA)は1月14日、「産業用制御システムのセキュリティ10大脅威と対策」を発表した。これはドイツ連邦政府の情報セキュリティ庁が作成したものをIPAが翻訳したもの。

 産業用制御システムは、電力、ガス、水道、鉄道等の社会インフラや、石油、化学、鉄鋼・自動車・輸送機器、精密機械、食品、製薬、ビル管理等の工場・プラントにおける監視・制御や生産・加工ラインにおいて用いられている。

 ランクインした脅威は、日本国内でも共通の事項が多く、事業者にとってこれらの脅威とその発生要因、具体的な手口、および対策を体系的に理解することに役立つとしている。2019年の順位は、2016年に比べて、制御システムにおける利用増加に伴い、クラウドコンポーネントや外部ネットワークへの攻撃の脅威が上昇しているという。一方で、ソーシャルエンジニアリングやフィッシングの脅威は、相対的に降下している。

2019年産業用制御システムのセキュリティ10大脅威は以下の通り(カッコ内は2016年)

1位 リムーバブルメディアや外部機器経由のマルウェア感染(2位)
2位 インターネットおよびイントラネット経由のマルウェア感染(3位)
3位 ヒューマンエラーと妨害行為(5位)
4位 外部ネットワークやクラウドコンポーネントへの攻撃(8位)
5位 ソーシャルエンジニアリングとフィッシング(1位)
6位 DoS/DDoS攻撃(9位)
7位 インターネットに接続された制御機器(6位)
8位 リモートアクセスからの侵入(4位)
9位 技術的な不具合と不可抗力(7位)
10位 スマートデバイスへの攻撃(10位)

 なお、資料には、制御システムを保有する事業者のセキュリティレベルの自己評価に役立つセルフチェックリストが用意されている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
産業用制御システムのセキュリティ10大脅威と対策

JPCERT/CC、BIND 9のTCPパイプラインに関する脆弱性について注意喚起

JPCERT/CCは11月21日、「BIND 9」にTCPパイプラインに関する脆弱性(CVE-2019-6477)が発見されたとして注意喚起を発表した。

 この脆弱性を悪用された場合、リモートからの攻撃によって、システムリソースを過大に消費し、namedが一時的に停止したり、サービスの品質の低下が発生する危険があるとしている。

 脆弱性の影響を受けるバージョンは「BIND 9.14.1~9.14.7」「BIND 9.12.4-P1 ~ 9.12.4-P2」「BIND 9.11.6-P1 ~ 9.11.12」「BIND Supported Preview Edition 9.11.5-S6 ~ 9.11.12-S1 」となっている。BIND 9.10系以前はサポートが終了しており、脆弱性の影響の有無の評価自体が行われていないという。

この脆弱性は、「BIND 9.14.8」「BIND 9.11.13」「BIND Supported Preview Edition version 9.11.13-S1」などで修正されており、ユーザにはアップデートが強く推奨される。また、keep-response-orderを適切に設定することで回避できるという(BINDの再起動が必要)。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

IPA、Microsoft製品に存在する脆弱性について注意喚起

情報処理推進機構(IPA)は11月13日、Microsoft製品に関する脆弱性のうちCVE-2019-1429(スクリプトエンジンのメモリ破損の脆弱性)についてはMicrosoftが「悪用の事実を確認済み」としている。今後被害が拡大する恐れがあるため、IPAは修正プログラムの適用を呼び掛けている。

 アップデートはWindows Updateなど、公式アップデートプログラムから適用できる。Microsoft製品のユーザは早急なアップデートの適用が強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

Intelの複数の製品に脆弱性、アップデートが公開

JPCERT/CCは11月14日、Intelの複数の製品に脆弱性が存在すると発表した。これらの脆弱性を修正するアップデートがIntelから公開されているため、ユーザはアップデートの適用が必要。

公開されたアドバイザリは以下の通り。対応する製品は多岐に渡る。

INTEL-SA-00164:Intel TXT Advisory
INTEL-SA-00210:Intel Processor Machine Check Error Advisory
INTEL-SA-00219:Intel SGX with Intel Processor Graphics Update Advisory
INTEL-SA-00220:Intel SGX and TXT Advisory
INTEL-SA-00240:Intel Processor Security Advisory
INTEL-SA-00241:Intel CSME, Intel SPS, Intel TXE, Intel AMT, Intel PTT and Intel DAL Advisory
INTEL-SA-00242:Intel Graphics Driver for Windows and Linux Advisory
INTEL-SA-00254:Intel Processor Graphics SMM Advisory
INTEL-SA-00255:Intel Ethernet 700 Series Controllers Advisory
INTEL-SA-00260:Intel Processor Graphics Update Advisory
INTEL-SA-00270:TSX Asynchronous Abort Advisory
INTEL-SA-00271:Intel Xeon Scalable Processors Voltage Setting Modulation Advisory
INTEL-SA-00280:UEFI Advisory
INTEL-SA-00287:Intel WIFI Drivers and Intel PROSet/Wireless WiFi Software extension DLL Advisory
INTEL-SA-00288:Intel PROSet/Wireless WiFi Software Security Advisory
INTEL-SA-00293:Intel SGX Advisory
INTEL-SA-00309:Nuvoton CIR Driver for Windows 8 for Intel NUC Advisory
INTEL-SA-00313:Intel BMC Advisory

なお、危険度や悪用された際の影響はアドバイザリにより異なるが、特権の不正取得やDoSなど危険なものもあり、ユーザはアップデートを適用することが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
JVNVU 90354904

Mozilla、MacOS X向け端末エミュレータ「iTerm2」に存在する脆弱性に注意喚起

 Mozillaは10月9日(現地時間)、MacOS X向け端末エミュレータ「iTerm2」に重要な脆弱性が存在するとして注意喚起を発表した(CVE-2019-9535)。

 今回発見された脆弱性は、悪用されると悪意のあるコードを実行されてしまう恐れがあるという。なお、この脆弱性は、「MOSS(Mozilla Open Source Support)」の「Track 3」による支援で実施したセキュリティ監査で発見された。

 この脆弱性が修正されているのは、「iTerm2 3.3.6」。「iTerm2 3.3.5」がリリースされてから日が経過していないが、危険な脆弱性でありユーザはアップデート施すことが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

US-CERT、Ciscoの複数のプロダクトに発見された脆弱性について注意喚起

US-CERTは10月3日(現地時間)、Ciscoの複数のプロダクトに脆弱性が発見されたと発表した。今回発表された脆弱性を悪用されると、リモートからシステムの制御権を乗っ取られ、大きな被害を被る恐れがある。いずれの脆弱性についてもアップデートが提供されているので、Cisco製品の管理者・ユーザは情報を確認の上、アップデートを施すことが強く推奨されている。

発見された脆弱性に関する情報はCiscoのWebサイトに掲載されている。

(川原 龍人/びぎねっと)

[関連リンク]
注意喚起本文

「OpenSSL」に複数の脆弱性、アップデートリリース

「OpenSSL」に複数の脆弱性が発見された(CVE-2019-1547、CVE-2019-1549、CVE-2019-1563)。

今回発見された脆弱性は、悪用されるとデータの不正窃取などを実施される可能性があるとされており注意が必要。ただし、これら脆弱性は深刻度が低(Low)と評価されている。ベンダーやプロジェクトから提供される脆弱性に注力するとともに、アップデートが提供された場合は迅速にアップデートを適用することが望まれる。

この脆弱性を修正した「OpenSSL 1.1.1d」「1.1.0l」「1.0.2t」が公開されているため、ユーザはアップデートが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
JVNのアナウンス

Pythonに電子メール取り扱い時の挙動に関する脆弱性

 Python.orgは9月12日(現地時間)、Pythonに存在する脆弱性に関する注意喚起を発表した。

 今回発表された脆弱性はemailモジュールに存在する。複数の「@」文字を含むメールアドレスを処理する際、不適切な処理を行ってしまうという。From/Toヘッダーをチェックしている場合などに、拒否すべきメールアドレスを許可してしまう危険がある。

 今回の脆弱性に対応するパッチがリリースされているため、ユーザはアップデートを施すことが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

 

このページのTOPへ

Powered by Wordpress