JPCERT コーディネーションセンター

Weekly Report 2008-07-09号

JPCERT-WR-2008-2601
JPCERT/CC
2008-07-09

<<< JPCERT/CC WEEKLY REPORT 2008-07-09 >>>

■06/29(日)〜07/05(土) のセキュリティ関連情報

目 次

【1】Apple 製品に複数の脆弱性

【2】Mozilla 製品群に脆弱性

【3】FreeStyleWiki にクロスサイトスクリプティングの脆弱性

【4】JPCERT/CC メーリングリストのメール配送遅延について

【今週のひとくちメモ】独自パッケージのバージョン管理について把握する

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr082601.txt
https://www.jpcert.or.jp/wr/2008/wr082601.xml

【1】Apple 製品に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#361043
Apple Safari contains a memory corruption issue in the handling of JavaScript arrays by WebKit
http://www.kb.cert.org/vuls/id/361043

概要

Mac OS X、Mac OS X Server および Safari には複数の脆弱性がありま
す。結果として、遠隔の第三者が任意のコードを実行したり、サービス
運用妨害 (DoS) 攻撃を行ったり、ユーザのブラウザ上で任意のスクリ
プトを実行したりするなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Apple Mac OS X 10.4.11 およびそれ以前
- Apple Mac OS X 10.5.3 およびそれ以前
- Apple Mac OS X Server 10.4.11 およびそれ以前
- Apple Mac OS X Server 10.5.3 およびそれ以前
- Apple Safari の 3.1.2 より前のバージョン (Mac OS X および 
  Windows 向け)

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。

関連文書 (日本語)

Apple - サポート
ソフトウェアアップデート
http://www.apple.com/jp/ftp-info/

関連文書 (英語)

Apple Support HT2163
About the security content of Security Update 2008-004 and Mac OS X 10.5.4
http://support.apple.com/kb/HT2163

Apple security-announce Mailing List
APPLE-SA-2008-06-30 Safari 3.1.2 for Mac OS X v10.4.11
http://lists.apple.com/archives/security-announce/2008/Jun/msg00003.html

Apple security-announce Mailing List
APPLE-SA-2008-06-30 Security Update 2008-004 and Mac OS X v10.5.4
http://lists.apple.com/archives/security-announce/2008/Jun/msg00002.html

Apple security-announce Mailing List
APPLE-SA-2008-06-19 Safari v3.1.2 for Windows
http://lists.apple.com/archives/security-announce/2008/Jun/msg00001.html

【2】Mozilla 製品群に脆弱性

情報源

US-CERT Vulnerability Note VU#607267
Mozilla Firefox code execution vulnerability
http://www.kb.cert.org/vuls/id/607267

概要

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が任意のコードを実行したり、
任意のファイルをアップロードしたり、権限を昇格したり、ユーザのブ
ラウザ上で任意のスクリプトを実行したりする可能性があります。

対象となる製品は以下の通りです。

- Firefox
- SeaMonkey
- Thunderbird

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。

- Firefox 2.0.0.15
- SeaMonkey 1.1.10

なお、2008年7月8日現在、Thunderbird の修正プログラムは提供されて
いません。また、Firefox 3.0 ではこの問題の影響を受けません。詳細
については、OS のベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

Mozilla Japan
Foundation セキュリティアドバイザリ: 2008 年 7 月 1 日
http://www.mozilla-japan.org/security/announce/

Mozilla Japan
Firefox 2.0.0.15 の新機能と改良点
http://mozilla.jp/firefox/2.0.0.15/releasenotes/

関連文書 (英語)

SeaMonkey Project
SeaMonkey 1.1.10
http://www.seamonkey-project.org/releases/seamonkey1.1.10/

Red Hat Security Advisory RHSA-2008:0569-16
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2008-0569.html

Red Hat Security Advisory RHSA-2008:0547-5
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2008-0547.html

【3】FreeStyleWiki にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#77432756
FreeStyleWiki におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN77432756/index.html

概要

Wiki 機能を提供するソフトウェア FreeStyle Wiki には、クロスサイ
トスクリプティングの脆弱性があります。結果として、遠隔の第三者が 
Internet Explorer 上で任意のスクリプトを実行する可能性があります。

なお、Internet Explorer のエンジンを使用しているブラウザも影響を
受ける可能性があります。

対象となるバージョンは以下の通りです。

- FreeStyle Wiki 3.6.2 およびそれ以前
- FreeStyle Wiki 3.6.3 dev3 およびそれ以前の開発版

この問題は、配布元が提供する修正済みのバージョンに FreeStyle
Wiki を更新することで解決します。

関連文書 (日本語)

FreeStyle Wiki
履歴/2008-7-3
http://fswiki.org/wiki.pl?page=%CD%FA%CE%F2%2F2008%2D7%2D3

【4】JPCERT/CC メーリングリストのメール配送遅延について

情報源

JPCERT/CC
JPCERT/CC メーリングリスト
http://www.jpcert.or.jp/announce.html

概要

JPCERT/CC REPORT の配信を行っているメーリングリストにおいて、特
定のメールサービスへの配送に遅延が発生しています。現在調査を行っ
ていますが、下記 JPCERT/CC RSS による購読なども検討してください。

関連文書 (日本語)

JPCERT/CC
JPCERT/CC RSS
http://www.jpcert.or.jp/rss/

■今週のひとくちメモ

○独自パッケージのバージョン管理について把握する

ソフトウェア製品は開発元が公開している他に各種 OS ベンダなどが独
自にパッケージ化して提供していることがあります。

このようなソフトウェア製品について脆弱性対応が行われたとき、開発
元からの対策版提供とは別に、独自パッケージ配布元において、対策版
パッケージが提供されることがあります。

配布元の開発・提供ポリシーに関係しますが、ソフトウェア製品はバー
ジョンによって機能の違いもありうるため、旧版に対して脆弱性対応を
行なって提供している例が多くあります。このような場合、パッケージ
のバージョンには脆弱性を指摘された旧バージョン番号が使われている
こととなります。

例えば、OpenSSH に関する CVE-2008-1483 という問題では、OpenSSH 
チームからは対策版として OpenSSH-5.0 が提供されています。これに
対し OS 配布元における対応例として Debian GNU/Linux が OpenSSH
1.4.3 を元にした openssh-client 1.4.3p2-9etch1 を独自パッケージ
として提供しています。

このように独自パッケージにおいては、開発元が提供している対策バー
ジョンよりも前のバージョンに対して対策がなされていることがあり、
システム管理者は配布元のこのような提供ポリシーについて把握してお
くことが必要です。

JPCERT/CC REPORT では開発元が提供している対策済みバージョンを記
載する代わりに「使用している OS のベンダや配布元が提供する修正済
みのバージョンに更新することで解決します。」といった記述を多く用
いています。

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter