-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-2501 JPCERT/CC 2008-07-02 <<< JPCERT/CC REPORT 2008-07-02 >>> ―――――――――――――――――――――――――――――――――――――― ■06/22(日)〜06/28(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Reader と Adobe Acrobat に脆弱性 【2】Microsoft Internet Explorer に脆弱性 【3】Microsoft Internet Explorer 6 にクロスドメインの脆弱性 【4】サイボウズの複数の製品にクロスサイトリクエストフォージェリの脆弱性 【5】サイボウズガルーンに複数の脆弱性 【6】nProtect Netizen に脆弱性 【7】Caucho Resin にクロスサイトスクリプティングの脆弱性 【8】IBM Java2 JRE および SDK に複数の脆弱性 【9】FreeType に複数の脆弱性 【10】sblim ライブラリに脆弱性 【11】JPCERT/CC 調査・研究公開資料のご案内 【今週のひとくちメモ】マイクロソフトが SQL インジェクション対策ツールを公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr082501.html http://www.jpcert.or.jp/wr/2008/wr082501.xml ============================================================================ 【1】Adobe Reader と Adobe Acrobat に脆弱性 情報源 US-CERT Vulnerability Note VU#788019 Adobe Reader and Adobe Acrobat contain an unspecified flaw in a JavaScript method http://www.kb.cert.org/vuls/id/788019 CIAC Bulletin S-326 Security Update for Adobe reader and Acrobat 8.1.2 http://www.ciac.org/ciac/bulletins/s-326.shtml 概要 Adobe Reader および Adobe Acrobat の JavaScript メソッドには、入 力値を適切に処理できない脆弱性があります。結果として、遠隔の第三 者が細工した PDF ファイルをユーザに閲覧させることで任意のコード を実行する可能性があります。 また、Adobe によると本脆弱性に対する攻撃活動が行われていると報告 されています。 対象となる製品およびバージョンは以下の通りです。 - Adobe Reader 8.0 から 8.1.2 まで - Adobe Reader 7.0.9 およびそれ以前 - Adobe Acrobat Professional、3D および Standard の 8.0 から 8.1.2 まで - Adobe Acrobat Professional、3D および Standard の 7.0.9 および それ以前 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Adobe が提供する情報 を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#788019 Adobe Reader および Adobe Acrobat の JavaScript メソッドに入力値を適切に処理できない脆弱性 http://jvn.jp/cert/JVNVU788019/index.html JPCERT/CC Alert 2008-06-24 Adobe Acrobat 及び Adobe Reader の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2008/at080012.txt @police アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて http://www.cyberpolice.go.jp/important/2008/20080624_111241.html 関連文書 (英語) Adobe Security bulletin APSB08-15 Security Update available for Adobe Reader and Acrobat 8.1.2 http://www.adobe.com/support/security/bulletins/apsb08-15.html 【2】Microsoft Internet Explorer に脆弱性 情報源 US-CERT Vulnerability Note VU#516627 Microsoft Internet Explorer fails to properly restrict access to frames http://www.kb.cert.org/vuls/id/516627 概要 Microsoft Internet Explorer には、フレームへのアクセスを制限する 機能に脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させることで、別のドメインのフレームから情報を取得する 可能性があります。 なお、本件に関しては攻撃方法に関する情報が公開されています。 対象となるバージョンは以下の通りです。 - Microsoft Internet Explorer 6、7 および 8 beta 1 2008年7月1日現在、この問題に対する修正プログラムは提供されていま せん。 回避策としては、Microsoft Internet Explorer のインターネットゾー ンにおけるアクティブスクリプト機能を無効にするなどの方法がありま す。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#516627 Microsoft Internet Explorer におけるフレーム間のアクセスを適切に制限できない脆弱性 http://jvn.jp/cert/JVNVU516627/index.html Microsoft Windows Internet Explorer http://www.microsoft.com/japan/windows/products/winfamily/ie/default.mspx 【3】Microsoft Internet Explorer 6 にクロスドメインの脆弱性 情報源 US-CERT Vulnerability Note VU#923508 Microsoft Internet Explorer 6 contains a cross-domain vulnerability http://www.kb.cert.org/vuls/id/923508 概要 Microsoft Internet Explorer 6 には、クロスドメインの脆弱性があり ます。結果として、遠隔の第三者が細工した HTML 文書を閲覧させるこ とで、別のドメインの情報を取得する可能性があります。 なお、本件に関しては攻撃方法に関する情報が公開されています。 対象となるバージョンは以下の通りです。 - Microsoft Internet Explorer 6 2008年7月1日現在、この問題に対する修正プログラムは提供されていま せん。 回避策としては、Microsoft Internet Explorer のアクティブスクリプ ト機能を無効にする、Microsoft Internet Explorer 7 に更新するなど の方法があります。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#923508 Microsoft Internet Explorer 6 にクロスドメインの脆弱性 http://jvn.jp/cert/JVNVU923508/index.html Microsoft Windows Internet Explorer http://www.microsoft.com/japan/windows/products/winfamily/ie/default.mspx 【4】サイボウズの複数の製品にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#18405927 複数のサイボウズ製品におけるクロスサイトリクエストフォージェリの脆弱性 http://jvn.jp/jp/JVN18405927/index.html 概要 サイボウズの複数の製品には、クロスサイトリクエストフォージェリの 脆弱性があります。結果として、遠隔の第三者が細工した Web ページ を閲覧させることで、スケジュールや設定を変更する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - サイボウズ Office 6 - サイボウズ デヂエ 6.0(1.0) より前のバージョン - サイボウズ ガルーン 2.0.0 から 2.1.3 まで この問題は、サイボウズが提供する修正済みのバージョンに該当する製 品を更新することで解決します。 関連文書 (日本語) サイボウズ クロスサイトリクエストフォージェリ(CSRF)の脆弱性 【CY07-12-001】 http://cybozu.co.jp/products/dl/notice/detail/0016.html サイボウズ クロスサイトリクエストフォージェリ(CSRF)の脆弱性【CY08-04-001】 http://cybozu.co.jp/products/dl/notice/detail/0018.html 【5】サイボウズガルーンに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#18700809 サイボウズガルーンにおけるセッション固定の脆弱性 http://jvn.jp/jp/JVN18700809/index.html Japan Vulnerability Notes JVN#52363223 サイボウズガルーンにおいて任意のスクリプトが実行される脆弱性 http://jvn.jp/jp/JVN52363223/index.html 概要 サイボウズガルーンには、複数の脆弱性があります。結果として、遠隔 の第三者がログインしているユーザの権限で任意の操作を行ったり、ユー ザのブラウザ上で任意のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズガルーン 2.0.0 から 2.1.3 まで この問題は、サイボウズが提供する修正済みのバージョン 2.5.0 にサ イボウズガルーンを更新することで解決します。 関連文書 (日本語) サイボウズ Session Fixationの脆弱性【CY08-04-004】 http://cybozu.co.jp/products/dl/notice/detail/0021.html サイボウズ クロスサイトスクリプティングの脆弱性【CY08-04-006】 http://cybozu.co.jp/products/dl/notice/detail/0023.html 【6】nProtect Netizen に脆弱性 情報源 Japan Vulnerability Notes JVN#36635562 nProtect : Netizen におけるサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/jp/JVN36635562/index.html 概要 ネットムーブが提供する nProtect Netizen には、脆弱性があります。 結果として、遠隔の第三者が細工した Web ページを閲覧させることで サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - nProtect Netizen Ver5 の npstarter.ocx が「2008, 6, 16, 1」 より前のバージョン この問題は、ネットムーブが提供する修正アップデートを nProtect Netizen に適用することで解決します。 関連文書 (日本語) ネットムーブ株式会社 nProtect Netizenに脆弱性発見、並びに対応完了のご報告 http://nprotect.jp/news/news080620.html 【7】Caucho Resin にクロスサイトスクリプティングの脆弱性 情報源 US-CERT Vulnerability Note VU#305208 Caucho Resin vulnerable to XSS via "file" parameter to "viewfile" http://www.kb.cert.org/vuls/id/305208 概要 Caucho Resin には、クロスサイトスクリプティングの脆弱性がありま す。結果として、遠隔の第三者がユーザのブラウザ上で任意のコードを 実行する可能性があります。 対象となるバージョンは以下の通りです。 - Caucho Resin 3.0 系の 3.0.25 より前のバージョン - Caucho Resin 3.1 系の 3.1.4 より前のバージョン この問題は、Caucho が提供する修正済みのバージョンに Caucho Resin を更新することで解決します。 関連文書 (英語) Caucho Technology, Inc. resin change log http://www.caucho.com/resin/changes/changes-31.xtp#3.1.4%20-%20Dec%205,%202007 【8】IBM Java2 JRE および SDK に複数の脆弱性 情報源 CIAC Bulletin S-327 IBMJava2 Security Update http://www.ciac.org/ciac/bulletins/s-327.shtml 概要 IBM Java2 JRE および SDK には、複数の脆弱性があります。結果とし て、遠隔の第三者が権限を昇格したり、任意のコードを実行したりする 可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに IBM Java2 を更新することで解決します。詳細について は、OS のベンダや配布元が提供する情報を参照してください。 関連文書 (英語) IBM developerWorks: Java Technology IBM developer kits http://www.ibm.com/developerworks/java/jdk/docs.html IBM developerWorks: Java Technology Security alerts http://www.ibm.com/developerworks/java/jdk/alerts/ Red Hat Security Advisory RHSA-2008:0133-6 Moderate: IBMJava2 security update https://rhn.redhat.com/errata/RHSA-2008-0133.html 【9】FreeType に複数の脆弱性 情報源 CIAC Bulletin S-328 FreeType Security Update http://www.ciac.org/ciac/bulletins/s-328.shtml 概要 FreeType には、複数の脆弱性があります。結果として、遠隔の第三者 が細工したフォントファイルを読み込ませることで、FreeType を使用 するアプリケーションをクラッシュさせたり、任意のコードを実行した りする可能性があります。 対象となるバージョンは以下の通りです。 - FreeType 2.3.6 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに FreeType を更新することで解決します。 関連文書 (英語) The FreeType Project FreeType 2 Overview http://www.freetype.org/freetype2/index.html The FreeType Project CHANGES BETWEEN 2.3.6 and 2.3.5 http://sourceforge.net/project/shownotes.php?group_id=3157&release_id=605780 Red Hat Security Advisory RHSA-2008:0556-8 Important: freetype security update https://rhn.redhat.com/errata/RHSA-2008-0556.html 【10】sblim ライブラリに脆弱性 情報源 CIAC Bulletin S-329 SBLIM Security Update http://www.ciac.org/ciac/bulletins/s-329.shtml 概要 sblim ライブラリには、脆弱性があります。結果として、ローカルユー ザが細工したファイルを特定のディレクトリに置くことで、sblim ライ ブラリを使用するアプリケーションを実行したユーザの権限で任意のコー ドを実行する可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに sblim ライブラリを更新することで解決します。 関連文書 (英語) Standards Based Linux Instrumentation http://sblim.wiki.sourceforge.net/ Red Hat Security Advisory RHSA-2008:0497-3 Important: sblim security update https://rhn.redhat.com/errata/RHSA-2008-0497.html 【11】JPCERT/CC 調査・研究公開資料のご案内 情報源 JPCERT/CC JPCERT/CCからのお知らせ http://www.jpcert.or.jp/update.html 概要 JPCERT/CC では、以下 4点の調査・研究報告書を公開しました。詳細は 各資料の URL から概要、資料をご覧ください。 1.制御系プロトコルに関する調査研究報告書 http://www.jpcert.or.jp/research/#ctrlout 現在制御系システムで使用されている標準的なプロトコルについて、 主としてセキュリティ機能に着目してとりまとめた報告書 2.国内の制御系システム、制御系プロトコルに関する調査報告書 http://www.jpcert.or.jp/research/#ctrlin 国内の制御系システムにおける標準的な通信プロトコルの利用動向と、 同業界内のセキュリティ強化に向けた動きをまとめた報告書 3.ソースコード解析ツールを活用した CERT セキュアコーディングルールの有効性評価報告書 http://www.jpcert.or.jp/research/#Analysistools ソースコード解析ツールを活用した「C/C++ セキュアコーディングス タンダード」ルールセットの有効性を評価した報告書 4.CSIRT マテリアル運用フェーズ http://www.jpcert.or.jp/csirt_material/ 組織内 CSIRT の必要性や位置づけ、組織内 CSIRT の運用、インシデ ントハンドリング概論および具体的なハンドリングフローなどについ てまとめた解説書 関連文書 (日本語) JPCERT/CC 調査/研究 制御系プロトコルに関する調査研究報告書 http://www.jpcert.or.jp/research/#ctrlout JPCERT/CC 調査/研究 国内の制御系システム、制御系プロトコルに関する調査報告書 http://www.jpcert.or.jp/research/#ctrlin JPCERT/CC 調査/研究 ソースコード解析ツールを活用した CERT セキュアコーディングルールの有効性評価報告書 http://www.jpcert.or.jp/research/#Analysistools JPCERT/CC CSIRT マテリアル CSIRT マテリアル運用フェーズ http://www.jpcert.or.jp/csirt_material/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○マイクロソフトが SQL インジェクション対策ツールを公開 SQL インジェクションによる Web サイト改ざんが増加していることを 受けて、マイクロソフトは、これらの影響を受ける可能性のある Web アプリケーションの特定および修正を支援するセキュリティアドバイザ リを公開しています。 また、あわせて ASP コード中に含まれる SQL インジェクションの脆弱 性を検知するツール Microsoft Source Code Analyzer for SQL Injection を公開しています。 参考文献 (日本語) マイクロソフト セキュリティ アドバイザリ (954462) ユーザー データ入力の未検証を悪用した SQL インジェクション攻撃の増加 http://www.microsoft.com/japan/technet/security/advisory/954462.mspx Microsoft サポートオンライン ASP コードに存在する SQL インジェクションに対する脆弱性を検出する Microsoft Source Code Analyzer for SQL Injection ツールについて http://support.microsoft.com/kb/954476 JPCERT/CC Alert 2008-03-14 SQL インジェクションによる Web サイト改ざんに関する注意喚起 http://www.jpcert.or.jp/at/2008/at080005.txt ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSGraNYx1ay4slNTtAQiRtAQAhqTR8AKJKTk6wli8o7eT/QxpNBgoYUI/ EblJAIW6TDQ29oDawKX6RxD425abYoqe0EodPgWdS56ifR4v/MQkcE4tfpr53Ujb RZnPtn4Vv4Au5ht503yuNZmXmWXuvgUH/3YT92BgIrj1lpN7iPL2jaPvnZUZ01+V +xhBI7Z2wTU= =SXI1 -----END PGP SIGNATURE-----