-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-2801 JPCERT/CC 2008-07-24 <<< JPCERT/CC REPORT 2008-07-24 >>> ―――――――――――――――――――――――――――――――――――――― ■07/13(日)〜07/19(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla 製品群に脆弱性 【2】iPod touch および iPhone に複数の脆弱性 【3】2008年7月 Oracle Critical Patch Update について 【4】BlackBerry Attachment Service の PDF 生成機能に脆弱性 【5】LunarNight Laboratory 製 WebProxy にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】Mozilla Firefox 2.0.0.x のサポート終了予定 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr082801.html http://www.jpcert.or.jp/wr/2008/wr082801.xml ============================================================================ 【1】Mozilla 製品群に脆弱性 情報源 US-CERT Vulnerability Note VU#130923 Mozilla Firefox command line URI handling vulnerability http://www.kb.cert.org/vuls/id/130923 Mozilla Japan Mozilla Foundation セキュリティアドバイザリ http://www.mozilla-japan.org/security/announce/ 概要 Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が任意のコードを実行するなど の可能性があります。 対象となる製品は以下の通りです。 - Firefox - SeaMonkey - Thunderbird その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.1 - Firefox 2.0.0.16 - SeaMonkey 1.1.11 なお、2008年7月23日現在、Thunderbird の修正プログラムは提供され ていません。詳細については、OS のベンダや配布元が提供する情報を 参照してください。 関連文書 (日本語) Mozilla Japan Firefox 2 リリースノート - Firefox 2.0.0.16 の新機能と改良点 http://mozilla.jp/firefox/2.0.0.16/releasenotes/ Mozilla Japan Firefox 3 リリースノート - バージョン 3.0.1 - 2008/07/16 リリース http://mozilla.jp/firefox/3.0.1/releasenotes/ 関連文書 (英語) SeaMonkey Project SeaMonkey 1.1.11 http://www.seamonkey-project.org/releases/seamonkey1.1.11/ Red Hat Security Advisory RHSA-2008:0597-9 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2008-0597.html Red Hat Security Advisory RHSA-2008:0599-7 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2008-0599.html 【2】iPod touch および iPhone に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#88676089 iPod touch および iPhone に搭載されている Safari において証明書が不正に受け入れられる脆弱性 http://jvn.jp/jp/JVN88676089/index.html Apple - サポート HT2351 iPhone v2.0 および iPod Touch v2.0 のセキュリティコンテンツについて http://support.apple.com/kb/HT2351?viewlocale=ja_JP 概要 iPod touch および iPhone には、複数の脆弱性があります。結果とし て、機密情報が漏洩したり、遠隔の第三者が任意のコードを実行したり する可能性があります。 対象となるプラットフォームおよびバージョンは以下の通りです。 - iPod touch v1.1 から v1.1.4 まで - iPhone v1.0 から v1.1.4 まで この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。 なお、iPhone 3G (iPhone v2.0) は本脆弱性の影響を受けません。 関連文書 (英語) Apple security-announce Mailing List APPLE-SA-2008-07-11 iPhone 2.0 and iPod touch 2.0 http://lists.apple.com/archives/security-announce//2008/Jul/msg00001.html 【3】2008年7月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Archive Oracle Releases Critical Patch Update for July 2008 http://www.us-cert.gov/current/archive/2008/07/18/archive.html#oracle_releases_critical_patch_update3 概要 Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。 結果として、遠隔の第三者が認証を回避するなどの可能性があります。 この問題は、Oracle が提供するパッチを該当する製品に適用すること で解決します。詳細については Oracle が提供する情報を参照してくだ さい。 なお、次回の Oracle Critical Patch Update は、2008年10月にリリー スされる予定です。 2008年4月29日、Oracle の BEA Systems, Inc. 買収により、今後 BEA 製品のセキュリティ関連情報は Oracle Critical Patch Update に掲載 されます。 関連文書 (日本語) Oracle internet Support Center [CPUJul2008] Critical Patch Update - July 2008 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=128507 Oracle Technology Network Critical Patch Update - July 2008 http://www.oracle.com/technology/global/jp/security/080718_83/top.html Japan Vulnerability Notes JVN#81667751 WebLogic Server および WebLogic Express に付属するプラグインにおけるディレクトリトラバーサルの脆弱性 http://jvn.jp/jp/JVN81667751/index.html 関連文書 (英語) Oracle Technology Network Oracle Critical Patch Update Advisory - July 2008 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2008.html HP Support document c00727143 HPSBMA02133 SSRT061201 rev.9 - HP Oracle for OpenView (OfO) Critical Patch Update http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00727143 【4】BlackBerry Attachment Service の PDF 生成機能に脆弱性 情報源 US-CERT Vulnerability Note VU#289235 BlackBerry Attachment Service PDF distiller vulnerable to arbitrary code execution http://www.kb.cert.org/vuls/id/289235 概要 BlackBerry Attachment Service の PDF 生成機能には、脆弱性があり ます。結果として、遠隔の第三者が細工した PDF ファイルを閲覧させ ることで、Attachment Service を実行するサーバ上で任意のコードを 実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - BlackBerry Enterprise Server 4.1 Service Pack 3 (4.1.3) から 4.1 Service Pack 5 (4.1.5) - BlackBerry Professional Software 4.1 Service Pack 4 (4.1.4) - BlackBerry Unite! 1.0 Service Pack 1 (1.0.1) bundle 36 より前 のバージョン この問題は、Research in Motion が提供する修正済みのバージョンに、 該当する製品を更新することで解決します。詳細については、Research in Motion が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#289235 BlackBerry Attachment Service の PDF 生成機能に任意のコードが実行可能な脆弱性 http://jvn.jp/cert/JVNVU289235/index.html 関連文書 (英語) Research in Motion - Security Advisory KB15766 Vulnerability in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server http://www.blackberry.com/btsc/articles/660/KB15766_f.SAL_Public.html Research in Motion - Security Advisory KB15770 Vulnerability in the PDF distiller of the BlackBerry Attachment Service for BlackBerry Unite http://www.blackberry.com/btsc/articles/635/KB15770_f.SAL_Public.html 【5】LunarNight Laboratory 製 WebProxy にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#49704543 LunarNight Laboratory 製 WebProxy におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN49704543/index.html 概要 LunarNight Laboratory が提供する WebProxy には、クロスサイトスク リプティングの脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - WebProxy Ver1.7.8 およびそれ以前 この問題は、LunarNight Laboratory が提供する修正済みのバージョン に WebProxy を更新することで解決します。 関連文書 (日本語) LunarNight Laboratory WebProxy http://www.ln-lab.net/lunar-night.lab/page-dl_webproxy/design-white ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Mozilla Firefox 2.0.0.x のサポート終了予定 Mozilla Firefox の 2.0.0.x 系に対するセキュリティおよび安定性に 関する更新の提供は 2008年12月中旬まで、という予定が表明されてい ます。 Firefox 3 系へ移行していないユーザは、使用するアドオンの対応状況 や他アプリケーションとの連携など、Firefox 3 系への移行に向けて確 認作業を行うことをお勧めします。 参考文献 (日本語) Mozilla Firefox Firefox 2 のダウンロード http://mozilla.jp/firefox/all-older Firefox サポート ナレッジベース - Firefox 2 と Firefox 3 の併用 http://mozilla.jp/support/firefox/kb/002774 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSIfYLox1ay4slNTtAQjhrAP/XESbcJreZMyxr9Sa6IcjOhZEOpVyyvun iWoF/ZiWk3hS0cR7+dFOi/QK46XUnn/fROQ3Yg3sYgqRFgTIjBEr+uQ9pjwLGFbl Komtx15x+Fu6zhh373r5qRxeF+uSMm988s5+0ZYab7Nb2BnFuFj5bl9lA1EoQ8Bu fzeGEYWcfJQ= =V4FK -----END PGP SIGNATURE-----