はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

「Joomla!」に重大な脆弱性、修正版「Joomla! 3.6.4」がリリース

Joomla.orgは10月25日(現地時間)、「Joomla! 3.6.4」をリリースした。重大な脆弱性が複数修正されている。

「Joomla! 3.6.4」で修正された脆弱性は、サイトでユーザ登録が無効な設定にしていても登録が可能になってしまうというものや、ユーザがサイトに登録する際に権限を不正に昇格されてしまう可能性があるというもの。Joomla!の利用者は早急なアップデートが強く推奨されている。

(川原 龍人/びぎねっと)

[関連リンク]
Joomla! 3.6.4

Linuxカーネルにroot権限を剥奪される脆弱性

Linux kernelにroot権限が奪取される恐れのある脆弱性が発見された(CVE-2016-5195)。JPCERT/CCから「緊急」として発表された。

該当するバージョンは、Linux 2.6.22 およびそれ以降で「4.8.3より前のバージョン」「4.7.9より前のバージョン」「4.4.26より前のバージョン」。copy-on-write機構に競合が発生し、root権限を不正に奪取される危険がある。

この脆弱性に対応するパッチおよびアップグレードが各ベンダーから公開されているため、Linuxのユーザはパッチを適用するか、各ベンダーから提供されているカーネルのアッグレードを行うことが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
CVE-2016-5195
JVNの記事

US-CERT、IoT機器を悪用したDDoS攻撃の増加傾向について注意喚起

US-CERTは10月14日(現地時間)、IoTを悪用した大規模DDoS攻撃が増加傾向にあると警告した。

今回の発表によると、IoT機器を悪用したDDoS攻撃の増加は、MiraiやBashliteが猛威を振るっていることが要因と見られるという。MiraiやBashliteは、よく利用されるデフォルトのユーザ名とパスワードでネットワーク機器への侵入を試み、ボットネットを構築する。ホームルータや、ネットワーク接続機能を持ったカメラなどの家電製品は、パスワードがデフォルトのものから変更されずに利用されるケースが多く、これらの機器がマルウェアに感染し、ボットネットとなってしまうと考えられる。

なお、同記事の中では感染した場合の対策を紹介している。

1.デバイスをネットワークから切り離す
2.ネットワークとの接続を切った状態でデバイスを再起動する
3.パスワードをデフォルトのものから、強力なパスワードに変更する
4.ネットワークに接続する

IoTのシェア拡大に伴い、今後IoTデバイスを悪用したDDoS攻撃は増加すると予想されているため、US-CERTは管理者に攻撃に対する注意およびIoTデバイスの対策を呼びかけている。

(川原 龍人/びぎねっと)

[関連リンク]
注意喚起本文

オープンソースのエミュレーター「QEMU」に脆弱性、KVMやXenにも影響

オープンソースのエミュレーター「QEMU」に脆弱性が発見された(CVE-2016-7994CVE-2016-7995)。重要度は「中(Medium)」だが、KVMやXenなどにも影響を与えるため、修正が必要となる。

今回発表された脆弱性を悪用されると、DoS攻撃を受ける危険がある。Linuxなどのディストリビューターから逐次アップデートが公開されているため、ユーザはアップデートが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
QEMU Team
CVE-2016-7994
CVE-2016-7995

OpenJPEGライブラリに脆弱性、悪意あるJPEGファイルを読み込んだだけで任意のコードが実行される恐れ

fossBytesは10月4日(現地時間)、OpenJPEGライブラリopenjp2 2.1.1に脆弱性が存在すると発表した。

この脆弱性は、悪意ある細工をしたJPEG 2000ファイルを読み込むことで、隣接したヒープエリアに不正な書き込みが行われ、任意のコードが実行されてしまう危険がある。このライブラリを利用しているアプリケーションは多数に渡るため注意が必要。JPEG 2000はPDFに組み込む際に使われることが多いため、特に注意が必要となる。

この脆弱性は、たとえばメールに悪意のあるJPEG 2000ファイルを添付したり、PDFファイルに紛れ込ませたりするだけでユーザに影響を及ぼすことができてしまう。なお、今回の脆弱性に対応したパッチは既に公開されているため、ユーザは早期のアプリケーションのアップグレードが推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

トレンドマイクロ、「Linuxを狙う脅威の最新動向」と題する記事を発表

トレンドマイクロは、「Linuxを狙う脅威の最新動向」と題する記事を同社Blogに発表した。

本記事では、DDoS攻撃の踏み台としてLinuxサーバに感染するランサムウェア「Rex」、LinuxのみならずIoT関連の機器を狙う「Mirai」、ARMプロセッサを組み込んだLinux機器を攻撃するルートキット「Unbreon」、Linuxに感染する不正プログラムでは最新のものと見られる「LuaBot」について解説している。それぞれの不正プログラムについて特徴を紹介し、対策を呼びかけている。

(川原 龍人/びぎねっと)

[関連リンク]
Blog記事本文

「BIND 9」にサービス停止となる脆弱性、修正版がリリース

DNSサーバBINDに、深刻度「高(High)」となる脆弱性が発見された。この脆弱性は、CVE-2016-2776にて指摘されている。

この脆弱性は、実装上の不具合により、namedに対する外部からのサービス不能(DoS)攻撃が可能となることに起因し、悪用されると、提供者が意図しないサービスの停止が発生する可能性がある。

対象となるバージョンは、ISC BIND 9.0.x以降の全バージョン。

ISCは、この脆弱性を修正した「BIND 9.9.9-P3」「BIND 9.10.4-P3」をリリース。ユーザは早期のアップグレードが推奨される。なお、BIND 9.8系列およびそれ以前の系列はサポート終了となっているため、系列のアップグレードが推奨される。

修正されたバージョンのISC BINDおよびISC DHCPは、Webサイトから無償で入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
JPRSによるアナウンス

シマンテック、DDoS攻撃実行時にIoT機器使用が拡大している調査結果を発表

シマンテックは9月26日、サイバー犯罪者がIoT機器のセキュリティの不十分さを悪用し、マルウェア配布、ゾンビ ネットワーク作成、ボットネット構築などを機器所有者に知られることなく行っていることを示した新しい調査結果を発表した。

シマンテックのSecurity Responseチームによると、サイバー犯罪者が大企業を中心とした収益性の高い標的へのDDoS攻撃実行時に、家庭内ネットワークやインターネットに接続されている消費者向けデバイスを乗っ取って使用しているという。サイバー犯罪者は、安価な帯域が必要なため、高度なセキュリティを持たず感染しやすい消費者向けデバイスを多数まとめることにより、攻撃を実現していると考えられる。

 標的となるのは、ホームネットワーク、Webサーバ、ルーター、モデム、NAS機器、CCTVシステムおよび産業用制御システムなど、PC以外の組み込み機器。攻撃者はIoTのセキュリティが不十分であることを認識しており、一般に使用されているデフォルトのパスワードをマルウェアにあらかじめ組み込むことによってIoT機器を容易に乗っ取っているという。また、大半の被害者が感染に気付いていないと考えられるという。

将来的にはインターネットに接続される埋め込み機器の数が拡大し、これに連動する形で複数のIoTプラットフォームから同時に行われる攻撃が多くなると予想される。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース

MySQLにゼロデイ脆弱性、注意を呼びかけ

RDBMSである「MySQL」に脆弱性が発見された。CVE-2016-6662にて指摘されている。

この脆弱性が存在するのは、「MySQL 5.7.15、5.6.33、5.5.52」およびそれ以前のバージョン。この脆弱性が悪用されると、攻撃者はSQLインジェクションを用いてリモートから設定ファイルを変更できてしまう恐れがある。この脆弱性と、mysqld_safeによるスタートアップライブラリのpreload機能によって、攻撃者が任意のコードをroot権限をもって実行することが可能になってしまう。

MySQLのユーザは、各ベンダーからの情報に注意し、パッチの適用やアップグレードを行う必要がある。

(川原 龍人/びぎねっと)

[関連リンク]
CVE-2016-6662

サイオス、「Xen」に存在する脆弱性に対する注意喚起

サイオスは9月8日、仮想化ハイパーバイザ「Xen」に複数の脆弱性が発見されたとして注意喚起を行った。

今回発表された脆弱性は、CVE-2016-7092CVE-2016-7093CVE-2016-7094CVE-2016-7154に指摘された4つの脆弱性。CVE-2016-7092とCVE-2016-7094はXenのすべてのバージョンに影響するため、ユーザは対応が必要。いずれの脆弱性も、ホストOSの権限を不正に奪取したり、DoS攻撃につながる危険があるため、ユーザは必ずアップグレードが推奨される。

対応方法は、各ベンダーからリリースされる新しいバージョンへのアップグレードとなる。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

 

このページのTOPへ

Powered by Wordpress