トップニュース

公開日:2018/08/09
ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

影響
本脆弱性を悪用された場合、リモートからの攻撃によって named が終了する可能性があります。
ISC は、深刻度を「高 (High)」と評価しています。
初期状態では無効になっている「deny-answer-aliases」 機能を有効にしている named において、INSIST Assertion Failure が発生し named が停止する可能性があります。
「deny-answer-aliases」 は、DNS rebinding 攻撃対策として DNS response パケットのフィルタリングを行うための機能です。
詳しくはJVN ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性JPCERT ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2018-5740) に関する注意喚起
をご確認ください。

公開日:2018/06/14
BIND 再帰的クエリが不適切に許可される問題

影響
他のサイトに対する DNS リフレクタ攻撃に使われたり、ネームサーバのキャッシュの状況を外部から取得されたりする可能性があります。
"recursion yes;" が有効な状態で allow-query-cache や allow-query が明示的に設定されていないときに、全てのホストからのアクセスを許可する設定が allow-recursion に継承される状態になっていました。

詳しくはJVN ISC BIND の一部のバージョンにおいて再帰的クエリが不適切に許可される問題
をご確認ください。

公開日:2018/05/21
BIND に複数のサービス運用妨害 (DoS) の脆弱性

影響
遠隔の攻撃者によって、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。
BIND 9.12.xにはrbtdb.cにおいてassertion failureを引き起こし、namedが異常終了する障害が発生します。
JPRS(サービス性能の劣化及びDNSサービスの停止)について
JPRS(DNSサービスの停止)についてをご確認ください。
JPRSによりますと「バージョンアップを強く推奨」となっております。

公開日:2018/03/28
OpenSSL に複数の脆弱性

影響
サービス運用妨害 (DoS) 攻撃を受けるなどの可能性があります。
修正済み
・OpenSSL 1.0.2o
・OpenSSL 1.1.0h
詳しくはJVN またはOpenSSL Projectを参照してください。

公開日:2018/03/27
Apache HTTP Web Server 2.4 における複数の脆弱性

影響
サービス運用妨害 (DoS) 、認証回避、情報改ざんなどの影響を受ける可能性があります。
詳しくはJVN または開発者が提供する情報を参照してください。

公開日:2018/01/17
ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

影響
遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃 (named の停止) が行われる可能性があります。
BIND 9 には反復検索におけるクリーンアップ処理の順序に誤りがあり、結果として
解放済みメモリ使用 (use-after-free) によるassertion failure が発生し、named が異常終了する可能性があります。
但し現時点において ISC は、DNSSEC の検証が有効になっているリゾルバのみであると述べています。

本脆弱性を修正したバージョン
- BIND 9 version 9.9.11-P1
- BIND 9 version 9.10.6-P1
- BIND 9 version 9.11.2-P1
最新版へアップデートしてください。
詳しくはJVN またはJPRSJPNICを参照してください。

更新日:2018/01/23 アップデートパッケージがリリースされました。

CentOS7
bind-9.9.4-51.el7_4.2.x86_64.rpm
bind-libs-9.9.4-51.el7_4.2.x86_64.rpm
bind-libs-lite-9.9.4-51.el7_4.2.x86_64.rpm
bind-utils-9.9.4-51.el7_4.2.x86_64.rpm
bind-license-9.9.4-51.el7_4.2.noarch.rpm
bind-chroot-9.9.4-51.el7_4.2.x86_64.rpm

CentOS6
bind-9.8.2-0.62.rc1.el6_9.5.x86_64.rpm
bind-libs-9.8.2-0.62.rc1.el6_9.5.x86_64.rpm
bind-utils-9.8.2-0.62.rc1.el6_9.5.x86_64.rpm
bind-chroot-9.8.2-0.62.rc1.el6_9.5.x86_64.rpm

早急にアップデートしましょう。

公開日:2017/12/13
複数のTLS実装においてBleichenbacher攻撃対策が不十分である問題

概要
遠隔の第三者によって、TLS 暗号化通信データを解読される可能性
★ワークアラウンドを実施する
TLS において RSA アルゴリズムを無効にすることで、本脆弱性の影響を軽減することが可能
Bleichenbacher 攻撃
PKCS #1 v1.5 メッセージの処理においてパディングエラーが発生した際の動作を観察することにより、暗号文の解読を行う攻撃手法
詳しくはJVNVU#92438713

公開日:2017/11/29
macOS High Sierraに重大な脆弱性

概要
「ルートユーザを無効にする」という設定をしている場合、管理者アカウント(rootユーザー)を悪用される可能性がある。
複数のユーザーがmacOS High Sierraを搭載したPCを利用している場合、悪用される危険性が高い。
rootユーザーにパスワードを適切に設定することを推奨している。
また、macOS High Sierra 10.13以降のバージョンで確認されておりmacOS Sierra 10.12.6は影響を受けない模様。

公開日:2017/09/13 緊急
Bluetooth 実装に複数の脆弱性

概要
Bluetooth 実装に関する複数の脆弱性 "BlueBorne" が 公開されました。本脆弱性は複数のOSにおける実装に影響します。
遠隔の第三者によって、機器に関連する情報やユーザの個人情報が取得されたり、機器上で任意のコードを実行されたりする可能性があります。

詳細はJVNでご確認ください。

過去の脆弱性情報はこちら


国際化ドメイン対応サイト

国際空手道連盟 極真会館 郷田道場 カラテ.com
(旧 東京城東支部)
人形町 和食 四季彩 四季彩.net
  日本語ドメイン活用事例に選ばれました。!!
有限会社 フジカ フジカ.com
国際化ドメインテストサイト 石毛工業所.com

↑先頭