2008年7月 Microsoft セキュリティ情報について

JPCERT-WR-2008-2701 2008-07-16 2008-07-06 2008-07-12

2008年7月 Microsoft セキュリティ情報について US-CERT Technical Cyber Security Alert TA08-190A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA08-190A.html US-CERT Cyber Security Alert SA08-190A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA08-190A.html US-CERT Vulnerability Notes Database Search Results [ms08-jul] (全2件・2008年7月15日現在) http://www.kb.cert.org/vuls/byid?searchview&query=ms08-jul CIAC Bulletin S-332 Vulnerabilities in DNS http://www.ciac.org/ciac/bulletins/s-332.shtml CIAC Bulletin S-333 Vulnerability in Windows Explorer http://www.ciac.org/ciac/bulletins/s-333.shtml CIAC Bulletin S-334 Vulnerabilities in Microsoft SQL Server http://www.ciac.org/ciac/bulletins/s-334.shtml

Microsoft Windows、Microsoft Windows Server、Microsoft SQL Server、Microsoft Outlook Web Access 各製品には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、管理者権限を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。詳細については、Microsoft が提供する情報を参照してください。この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを適用することで解決します。

2008 年 7 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms08-jul.mspx マイクロソフトセキュリティ情報 MS08-037 - 重要 DNS の脆弱性により、なりすましが行われる (953230) http://www.microsoft.com/japan/technet/security/bulletin/ms08-037.mspx マイクロソフトセキュリティ情報 MS08-038 - 重要 Windows エクスプローラの脆弱性により、リモートでコードが実行される (950582) http://www.microsoft.com/japan/technet/security/bulletin/ms08-038.mspx マイクロソフトセキュリティ情報 MS08-039 - 重要 Exchange Server の Outlook Web Access の脆弱性により、特権の昇格が起こる (953747) http://www.microsoft.com/japan/technet/security/bulletin/ms08-039.mspx マイクロソフトセキュリティ情報 MS08-040 - 重要 Microsoft SQL Server の脆弱性により、特権が昇格される (941203) http://www.microsoft.com/japan/technet/security/bulletin/ms08-040.mspx Japan Vulnerability Notes JVNTA08-190A Microsoft 製品における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA08-190A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS08-037,038,039,040) http://www.cyberpolice.go.jp/important/2008/20080709_110840.html

複数の DNS 実装にキャッシュポイズニングの脆弱性 US-CERT Technical Cyber Security Alert TA08-190B Multiple DNS implementations vulnerable to cache poisoning http://www.us-cert.gov/cas/techalerts/TA08-190B.html US-CERT Vulnerability Note VU#800113 Multiple DNS implementations vulnerable to cache poisoning http://www.kb.cert.org/vuls/id/800113 CIAC Bulletin S-332 Vulnerabilities in DNS http://www.ciac.org/ciac/bulletins/s-332.shtml

DNS プロトコルと複数の DNS サーバ製品にはキャッシュポイズニング攻撃を許す脆弱性があります。結果として、遠隔の第三者が DNS キャッシュサーバを偽の DNS 情報で汚染する可能性があります。影響を受ける主要な製品は以下の通りです。 - ISC BIND の全てのバージョン (BIND 8 を含む) - Microsoft DNS サーバ - 複数の Cisco 製品 - 複数の Juniper 製品 (Netscreen 社製品を含む) 詳細については、各配布元やベンダが提供する情報を参照してください。この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに、該当する製品を更新することで影響を緩和することができます。なお、DNS サーバにクエリを投げる側のノードに対しても修正プログラムが提供されていないか確認してください。 Debian GNU/Linux など一部の Linux システムのパッケージに含まれている設定ファイルでは、DNS クエリのソースポートを固定する設定が行われている可能性があります。この場合、BIND をバージョンアップするとともに DNS クエリのソースポートを固定しないように設定ファイルを更新する必要があります。変更方法については各ベンダからの情報を参照して下さい。

マイクロソフトセキュリティ情報 MS08-037 - 重要 DNS の脆弱性により、なりすましが行われる (953230) http://www.microsoft.com/japan/technet/security/bulletin/MS08-037.mspx Debian セキュリティ勧告 DSA-1603-1 bind9 -- DNS キャッシュポイゾニング攻撃 http://www.debian.org/security/2008/dsa-1603.ja.html Debian セキュリティ勧告 DSA-1604-1 bind -- DNS キャッシュポイゾニング攻撃 http://www.debian.org/security/2008/dsa-1604.ja.html Debian セキュリティ勧告 DSA-1605-1 glibc -- DNS キャッシュポイゾニング攻撃 http://www.debian.org/security/2008/dsa-1605.ja.html Japan Vulnerability Notes JVNTA08-190B 複数の DNS 実装にキャッシュポイズニングの脆弱性 http://jvn.jp/cert/JVNTA08-190B/index.html Japan Vulnerability Notes JVNVU#800113 複数の DNS 実装にキャッシュポイズニングの脆弱性 http://jvn.jp/cert/JVNVU800113/index.html JPCERT/CC Alert 2008-07-09 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性 http://www.jpcert.or.jp/at/2008/at080013.txt ISC - CERT VU#800113 DNS Cache Poisoning Issue http://www.isc.org/index.pl?/sw/bind/forgery-resilience.php Red Hat Security Advisory RHSA-2008:0533-3 Important: bind security update https://rhn.redhat.com/errata/RHSA-2008-0533.html Cisco Security Advisory cisco-sa-20080708-dns Multiple Cisco Products Vulnerable to DNS Cache Poisoning Attacks http://www.cisco.com/en/US/products/products_security_advisory09186a00809c2168.shtml

Java Runtime Environment (JRE) に複数の脆弱性 US-CERT Technical Cyber Security Alert TA08-193A Sun Java Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA08-193A.html US-CERT Cyber Security Alert SA08-193A Sun Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA08-193A.html

Java Runtime Environment (JRE) には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 6 およびそれ以前 - JDK/JRE 5.0 Update 15 およびそれ以前 - SDK/JRE 1.4.2_17 およびそれ以前 - SDK/JRE 1.3.1_22 およびそれ以前この問題は、Sun が提供する修正済みのバージョンに、該当する製品を更新することで解決します。

Japan Vulnerability Notes JVNTA08-193A Java における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA08-193A/index.html Sun Alert Notification 238628 Security Vulnerabilities in the Java Runtime Environment related to the processing of XML Data http://sunsolve.sun.com/search/document.do?assetkey=1-66-238628-1 Sun Alert Notification 238666 A Security Vulnerability with the processing of fonts in the Java Runtime Environment may allow Elevation of Privileges http://sunsolve.sun.com/search/document.do?assetkey=1-66-238666-1 Sun Alert Notification 238687 Security Vulnerabilities in the Java Runtime Environment Scripting Language Support http://sunsolve.sun.com/search/document.do?assetkey=1-66-238687-1 Sun Alert Notification 238905 Multiple Security Vulnerabilities in Java Web Start may allow Privileges to be Elevated http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1 Sun Alert Notification 238965 Security Vulnerability in Java Management Extensions (JMX) http://sunsolve.sun.com/search/document.do?assetkey=1-66-238965-1 Sun Alert Notification 238966 Security Vulnerability in JDK/JRE Secure Static Versioning http://sunsolve.sun.com/search/document.do?assetkey=1-66-238966-1 Sun Alert Notification 238967 Security Vulnerability in the Java Runtime Environment Virtual Machine may allow an untrusted Application or Applet to Elevate Privileges http://sunsolve.sun.com/search/document.do?assetkey=1-66-238967-1 Sun Alert Notification 238968 Security Vulnerabilities in the Java Runtime Environment may allow Same Origin Policy to be Bypassed http://sunsolve.sun.com/search/document.do?assetkey=1-66-238968-1

Microsoft Office Snapshot Viewer ActiveX コントロールに脆弱性 US-CERT Technical Cyber Security Alert TA08-189A Microsoft Office Snapshot Viewer ActiveX Vulnerability http://www.us-cert.gov/cas/techalerts/TA08-189A.html US-CERT Vulnerability Note VU#837785 Microsoft Office Snapshot Viewer ActiveX control race condition http://www.kb.cert.org/vuls/id/837785 CIAC Bulletin S-337 Vulnerability in the ActiveX Control for the Snapshot Viewer for Microsoft Access http://www.ciac.org/ciac/bulletins/s-337.shtml

Microsoft Office Snapshot Viewer ActiveX コントロールには脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させることで、そのユーザの権限で任意のコードを実行する可能性があります。なお、本脆弱性に対する攻撃活動が行われていると報告されています。対象となる製品は以下の通りです。 - Microsoft Office Access 2000 - Microsoft Office Access XP - Microsoft Office Access 2003 - Microsoft Office Snapshot Viewer 2008年7月15日現在、この問題に対するセキュリティ更新プログラムは確認されていません。回避策としては、kill bit を設定する、インターネットゾーンにおける Active X コントロールの実行を無効にするなどの方法があります。

マイクロソフトセキュリティアドバイザリ (955179) Microsoft Access Snapshot Viewer の ActiveX コントロールの脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/955179.mspx マイクロソフトサポートオンライン Internet Explorer で ActiveX コントロールの動作を停止する方法 http://support.microsoft.com/kb/240797/ja Japan Vulnerability Notes JVNTA08-189A Microsoft Office Snapshot Viewer ActiveX コントロールに脆弱性 http://jvn.jp/cert/JVNTA08-189A/index.html

PCRE にバッファオーバーフローの脆弱性 CIAC Bulletin S-336 PCRE3 Vulnerability http://www.ciac.org/ciac/bulletins/s-336.shtml

Perl 互換の正規表現ライブラリ PCRE には、バッファオーバーフローの脆弱性があります。結果として、遠隔の第三者が細工した正規表現を処理させることでサービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性があります。対象となるバージョンは以下の通りです。 - PCRE 7.7 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに PCRE ライブラリを更新することで解決します。

Debian セキュリティ勧告 DSA-1602-1 pcre3 -- バッファオーバフロー http://www.debian.org/security/2008/dsa-1602.ja.html pcre.org PCRE - Perl Compatible Regular Expressions http://www.pcre.org/

Redmine にクロスサイトスクリプティングの脆弱性 Japan Vulnerability Notes JVN#00945448 Redmine におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN00945448/index.html

オープンソースのプロジェクト管理ソフトウェア Redmine には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となるバージョンは以下の通りです。 - Redmine 0.7.2 およびそれ以前この問題は、配布元が提供する修正済みのバージョンに Redmine を更新することで解決します。

Redmine Redmine 0.7.3 released http://www.redmine.org/news/show/17 Redmine Changelog - v0.7.3 (2008-07-06) http://www.redmine.org/wiki/redmine/Changelog

J2SE 5.0 サポート終了移行期間について Sun は J2SE 5.0 のサポートを 2009年10月30日までと発表しており、 2008年4月8日から 2009年10月30日の期間をサポート終了移行期間 (End of Life transition period) としています。 J2SE 5.0 を使用したサービス提供者や開発者は、サポート終了日までに移行完了するように移行計画を立てることを推奨します。また、現在の最新バージョンである Java SE 6 についてもおおまかなサポート終了移行期間がすでに提示されています。将来の Java SE 6 からの移行についても可能なかぎり考慮しておくことをお勧めします。 JPCERT/CC REPORT 2008-04-16 【今週のひとくちメモ】J2SE 1.4.2 サポート終了 http://www.jpcert.or.jp/wr/2008/wr081501.html#Memo Sun Products and Technologies Technical Topics Java SE 6 の互換性 http://java.sun.com/javase/ja/6/webnotes/compatibility.html Sun Developer Network Java SE & Java SE for Business Support Road Map http://java.sun.com/products/archive/eol.policy.html