JPCERT-WR-2009-1201

JPCERT/CC

2009-03-25

<<< JPCERT/CC WEEKLY REPORT 2009-03-25 >>>

■03/15(日)〜03/21(土) のセキュリティ関連情報

目　次

【1】「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報

【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報

【3】BIND の DLV (DNSSEC Lookaside Validation) の処理に脆弱性

【4】Autonomy KeyView SDK にバッファオーバーフローの脆弱性

【5】futomi's CGI Cafe の高機能アクセス解析 CGI にクロスサイトスクリプティングの脆弱性

【6】古いソフトウェア製品を利用しているウェブサイトへの注意喚起

【今週のひとくちメモ】担当ノート: CanSecWest 2009

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr091201.txt
https://www.jpcert.or.jp/wr/2009/wr091201.xml

【1】「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報

情報源

US-CERT Current Activity Archive
Adobe Releases Security Bulletin
http://www.us-cert.gov/current/archive/2009/03/19/archive.html#adobe_releases_security_advisory

概要

JPCERT/CC REPORT 2009-02-25 号【1】および JPCERT/CC REPORT
2009-03-18 号【2】で紹介した「Adobe Reader および Adobe Acrobat 
にバッファオーバーフローの脆弱性」に関する追加情報です。

Adobe Reader 8 および Acrobat 8 と Adobe Reader 7 および Acrobat
7 の修正済みのバージョンが提供されました。詳細については、Adobe 
が提供する情報を参照してください。

【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報

情報源

DOE-CIRC Technical Bulletin T-085
Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2009 -07 -08 -09 and -11 Multiple Remote Vulnerabilities
http://www.doecirc.energy.gov/ciac/bulletins/t-085.shtml

概要

JPCERT/CC REPORT 2009-03-11【1】で紹介した「Mozilla 製品群に複数
の脆弱性」に関する追加情報です。

Thunderbird および SeaMonkey の修正済みのバージョンが提供されま
した。詳細については、下記関連文書が提供する情報を参照してくださ
い。

【3】BIND の DLV (DNSSEC Lookaside Validation) の処理に脆弱性

情報源

ISC | Internet System Consortium
Security Patch for Users of BIND version 9.5.x or 9.4.x AND DLV
https://www.isc.org/node/437

概要

BIND の DLV (DNSSEC Lookaside Validation) の処理には脆弱性があり
ます。未知の署名アルゴリズムが使用されている場合に、署名なしと同
等に処理するべきところ、検証失敗として処理してしまう問題がありま
す。

ISC からは、この問題の対策として以下のバージョンがリリースされて
います。

- BIND 9.4.3-P2
- BIND 9.5.1-P2
- BIND 9.6.1b1

この問題は、ISC が提供する修正済のバージョンに、BIND を更新する
ことで解決します。なお、この問題は DNSSEC を使用していない場合は
影響を受けません。

【4】Autonomy KeyView SDK にバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#276563
Autonomy KeyView SDK buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/276563

US-CERT Current Activity Archive
Autonomy KeyView SDK Vulnerability
http://www.us-cert.gov/current/archive/2009/03/19/archive.html#autonomy_keyview_sdk_vulnerability

概要

Autonomy KeyView SDK には、Word Perfect 文書の処理に起因するバッ
ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が
細工した Word Perfect 文書を処理させることで、任意のコードを実行
したり、システムをクラッシュさせたりする可能性があります。

対象となるバージョンは以下の通りです。

- Autonomy KeyView SDK 10.4 およびそれ以前

なお、この問題は、Autonomy KeyView SDK を使用する IBM Lotus Notes
および Symantec の複数の製品にも影響します。詳細については、下記
関連文書を参照してください。

この問題は、各ベンダが提供する修正済みのバージョンに、該当する製
品を更新することで解決します。

【5】futomi's CGI Cafe の高機能アクセス解析 CGI にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#23558374
futomi's CGI Cafe 製高機能アクセス解析CGI Standard 版 (Ver. 3.x 系) におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN23558374/index.html

概要

futomi's CGI Cafe の高機能アクセス解析 CGI には、クロスサイトス
クリプティングの脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- 高機能アクセス解析 CGI Standard 版 Ver 3.8.1 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに高機能アクセス
解析 CGI を更新することで解決します。

【6】古いソフトウェア製品を利用しているウェブサイトへの注意喚起

情報源

独立行政法人情報処理推進機構セキュリティセンター
古いソフトウェア製品を利用しているウェブサイトへの注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200903_update.html

概要

IPA は、既に公開されている脆弱性対策を適用していないとみられるウェ
ブサイトに関する届出が増加している状況をうけ、3月17日に、ウェブ
サイト運営者を対象として注意喚起を公開しました。

具体的には、2004年12月に公表された Namazu に関する脆弱性や 2005 
年10月に公表された OpenSSL の脆弱性に関する届出が増加していると
のことです。

これらの製品に限らず、自組織のウェブサイトが使用しているソフトウ
エアの脆弱性対策情報を収集し、パッチの迅速な適用をこころがけるよ
う勧めています。

■今週のひとくちメモ

○担当ノート: CanSecWest 2009

普段の JPCERT/CC REPORT ではとりあげてこなかったセキュリティ関連
のコミュニティの活動やちょっとした豆知識についても今後は範囲をひ
ろげ、「担当ノート」と称して不定期にお送りしていきます。
今回は、当レポート担当者が参加したセキュリティカンファレンス 
CanSecWest 2009 についての報告をお送りします。

           ◇                  ◇                  ◇

昨年に続き、先週カナダのバンクーバーで行われた CanSecWest という
カンファレンスに参加してきました。海外のセキュリティカンファレン
スというと規模と歴史から米国の BlackHat や DEFCON が有名ですが、
CanSecWest も今年で 10回目を迎える人気のカンファレンスです。

通常大規模なカンファレンスでは並行して幾つかの発表が行われ、参加
者は自分の聞きたいセッションを選びますが、CanSecWest では発表が
ひとつの部屋で行われます。全ての参加者が全日程同じ発表を聞くため
でしょうか、アットホームな雰囲気で参加者同士の交流もさかんです。

ここ数年 CanSecWest では PWN2OWN というコンテストを行っています。
PWN2OWN は最新のセキュリティパッチをあてたブラウザやスマートフォ
ンの脆弱性を最初に見つけた参加者に、そのノートパソコンやスマート
フォンを贈るというコンテストです。有名セキュリティベンダーがスポ
ンサーし、脆弱性の内容によって賞金も与えられます。脆弱性に値段が
付けられ、高額で取引される時代を象徴するコンテストといえます。

今年の PWN2OWN では、昨年 MacBook を獲得した研究者がわずか数秒で 
Safari への攻撃を成功させたことと、別の研究者が Windows 7 上の 
IE8 と Firefox と Safari の全てを攻略したことが会場での話題とな
りました。

また Twitter での CanSecWest に関する発言は常時会場横のスクリー
ンに表示されており、発表中に参加者から Twitter を使って鋭く指摘
がされるなど、発表者と参加者の新しいコミュニケーションの形がみら
れました。

参考文献 (英語)

CanSecWest Applied Security Conference
http://cansecwest.com/

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2009-03-25号

<<< JPCERT/CC WEEKLY REPORT 2009-03-25 >>>

■03/15(日)〜03/21(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○担当ノート: CanSecWest 2009

参考文献 (英語)

■JPCERT/CC からのお願い

目　次