JPCERT-WR-2008-2801
2008-07-24
2008-07-13
2008-07-19
Mozilla 製品群に脆弱性
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が任意のコードを実行するなど
の可能性があります。
対象となる製品は以下の通りです。
- Firefox
- SeaMonkey
- Thunderbird
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。
- Firefox 3.0.1
- Firefox 2.0.0.16
- SeaMonkey 1.1.11
なお、2008年7月23日現在、Thunderbird の修正プログラムは提供され
ていません。詳細については、OS のベンダや配布元が提供する情報を
参照してください。
Mozilla Japan
Firefox 2 リリースノート - Firefox 2.0.0.16 の新機能と改良点
http://mozilla.jp/firefox/2.0.0.16/releasenotes/
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.1 - 2008/07/16 リリース
http://mozilla.jp/firefox/3.0.1/releasenotes/
SeaMonkey Project
SeaMonkey 1.1.11
http://www.seamonkey-project.org/releases/seamonkey1.1.11/
Red Hat Security Advisory RHSA-2008:0597-9
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2008-0597.html
Red Hat Security Advisory RHSA-2008:0599-7
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2008-0599.html
iPod touch および iPhone に複数の脆弱性
iPod touch および iPhone には、複数の脆弱性があります。結果とし
て、機密情報が漏洩したり、遠隔の第三者が任意のコードを実行したり
する可能性があります。
対象となるプラットフォームおよびバージョンは以下の通りです。
- iPod touch v1.1 から v1.1.4 まで
- iPhone v1.0 から v1.1.4 まで
この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。
なお、iPhone 3G (iPhone v2.0) は本脆弱性の影響を受けません。
Apple security-announce Mailing List
APPLE-SA-2008-07-11 iPhone 2.0 and iPod touch 2.0
http://lists.apple.com/archives/security-announce//2008/Jul/msg00001.html
2008年7月 Oracle Critical Patch Update について
Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。
結果として、遠隔の第三者が認証を回避するなどの可能性があります。
この問題は、Oracle が提供するパッチを該当する製品に適用すること
で解決します。詳細については Oracle が提供する情報を参照してくだ
さい。
なお、次回の Oracle Critical Patch Update は、2008年10月にリリー
スされる予定です。
2008年4月29日、Oracle の BEA Systems, Inc. 買収により、今後 BEA
製品のセキュリティ関連情報は Oracle Critical Patch Update に掲載
されます。
Oracle internet Support Center
[CPUJul2008] Critical Patch Update - July 2008
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=128507
Oracle Technology Network
Critical Patch Update - July 2008
http://www.oracle.com/technology/global/jp/security/080718_83/top.html
Japan Vulnerability Notes JVN#81667751
WebLogic Server および WebLogic Express に付属するプラグインにおけるディレクトリトラバーサルの脆弱性
http://jvn.jp/jp/JVN81667751/index.html
Oracle Technology Network
Oracle Critical Patch Update Advisory - July 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2008.html
HP Support document c00727143
HPSBMA02133 SSRT061201 rev.9 - HP Oracle for OpenView (OfO) Critical Patch Update
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00727143
BlackBerry Attachment Service の PDF 生成機能に脆弱性
BlackBerry Attachment Service の PDF 生成機能には、脆弱性があり
ます。結果として、遠隔の第三者が細工した PDF ファイルを閲覧させ
ることで、Attachment Service を実行するサーバ上で任意のコードを
実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- BlackBerry Enterprise Server 4.1 Service Pack 3 (4.1.3) から
4.1 Service Pack 5 (4.1.5)
- BlackBerry Professional Software 4.1 Service Pack 4 (4.1.4)
- BlackBerry Unite! 1.0 Service Pack 1 (1.0.1) bundle 36 より前
のバージョン
この問題は、Research in Motion が提供する修正済みのバージョンに、
該当する製品を更新することで解決します。詳細については、Research
in Motion が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#289235
BlackBerry Attachment Service の PDF 生成機能に任意のコードが実行可能な脆弱性
http://jvn.jp/cert/JVNVU289235/index.html
Research in Motion - Security Advisory KB15766
Vulnerability in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
http://www.blackberry.com/btsc/articles/660/KB15766_f.SAL_Public.html
Research in Motion - Security Advisory KB15770
Vulnerability in the PDF distiller of the BlackBerry Attachment Service for BlackBerry Unite
http://www.blackberry.com/btsc/articles/635/KB15770_f.SAL_Public.html
LunarNight Laboratory 製 WebProxy にクロスサイトスクリプティングの脆弱性
LunarNight Laboratory が提供する WebProxy には、クロスサイトスク
リプティングの脆弱性があります。結果として、遠隔の第三者がユーザ
のブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- WebProxy Ver1.7.8 およびそれ以前
この問題は、LunarNight Laboratory が提供する修正済みのバージョン
に WebProxy を更新することで解決します。
LunarNight Laboratory
WebProxy
http://www.ln-lab.net/lunar-night.lab/page-dl_webproxy/design-white
Mozilla Firefox 2.0.0.x のサポート終了予定
Mozilla Firefox の 2.0.0.x 系に対するセキュリティおよび安定性に
関する更新の提供は 2008年12月中旬まで、という予定が表明されてい
ます。
Firefox 3 系へ移行していないユーザは、使用するアドオンの対応状況
や他アプリケーションとの連携など、Firefox 3 系への移行に向けて確
認作業を行うことをお勧めします。
Mozilla Firefox
Firefox 2 のダウンロード
http://mozilla.jp/firefox/all-older
Firefox サポート
ナレッジベース - Firefox 2 と Firefox 3 の併用
http://mozilla.jp/support/firefox/kb/002774