Apache HTTP Server の mod_proxy_ftp にクロスサイトスクリプティングの脆弱性

JPCERT-WR-2008-3101 2008-08-13 2008-08-03 2008-08-09

Apache HTTP Server の mod_proxy_ftp にクロスサイトスクリプティングの脆弱性 US-CERT Vulnerability Note VU#663763 Apache mod_proxy_ftp XSS vulnerability http://www.kb.cert.org/vuls/id/663763

Apache HTTP Server の mod_proxy_ftp には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となるバージョンは以下のとおりです。 - Apache HTTP Server 2.2.9 およびそれ以前 - Apache HTTP Server 2.0.63 およびそれ以前この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに Apache HTTP Server を更新することで解決します。詳細については、各ベンダや配布元が提供する情報を参照してください。

The Apache Software Foundation Apache SVN - Revision 682868 http://svn.apache.org/viewvc?view=rev&revision=682868 The Apache Software Foundation Apache SVN - Revision 682870 http://svn.apache.org/viewvc?view=rev&revision=682870 The Apache Software Foundation Apache SVN - Revision 682871 http://svn.apache.org/viewvc?view=rev&revision=682871

ISDAS 日本語ページにポート別グラフ追加 JPCERT/CC インターネット定点観測システム Internet Scan Data Acquisition System (ISDAS) http://www.jpcert.or.jp/isdas/

ISDAS は、インターネット上でのスキャン活動の短期的ならびに長期的な傾向を通じて、セキュリティ強化対策の参考としていただくために JPCERT/CC が運用しているインターネット定点観測システムです。今回、サービスを運用している方々向けに、より有効に活用していただけるよう、従来の Top 5 のグラフに加えて、各サービスに関連するポートへのスキャン傾向を示すポート別グラフを追加しました。

「標的型攻撃対策手法に関する調査報告書」の公開 JPCERT/CC 標的型攻撃対策手法に関する調査報告書 http://www.jpcert.or.jp/research/index.html#targeted2

JPCERT/CC では、昨年度にアンケート調査を行ない、標的型攻撃に関する調査報告「標的型攻撃について」を公開しています。今回新たに、公開文献や組織へのヒアリングを通じて標的型攻撃の実態を調査し、効果的な対策手法についての考察をまとめました。また、数社の協力を得て、対策手法のなかから「予防接種」という疑似標的型攻撃によるセキュリティ意識向上のアプローチを試行しました。本報告書ではその結果についてもまとめています。

JPCERT/CC 標的型攻撃についての調査 http://www.jpcert.or.jp/research/index.html#targeted

「ソースコード解析ツールを活用した CERT セキュアコーディングルールの有効性評価 (日本語版)」公開 JPCERT/CC ソースコード解析ツールを活用した CERT セキュアコーディングルールの有効性評価 http://www.jpcert.or.jp/research/index.html#Analysistools

CERT/CC は、ソフトウエアの品質向上のための取り組みの一環として、 C や C++ に対するセキュアコーディングルールセットを構築しています。CERT/CC と JPCERT/CC は共同で、これらルールセットをソースコード解析ツールに実装しその有効性を評価するプロジェクトを行いました。本報告書はこのプロジェクトについてまとめたものです。なお、英語版は 6月20日に公開しています。

CERT/CC Secure Coding http://www.cert.org/secure-coding/

アドオン機能なしで Internet Explorer 7 を起動する Internet Explorer では、ActiveX コントロールやブラウザヘルパーオブジェクトなどのアドオンによって様々な機能を追加することができます。一方で、マルウェアの中にはアドオン機能を使用したものも存在しており、注意が必要です。導入したアドオンに問題があった場合、一時的にアドオンを読み込まない状態で Internet Explorer を立ち上げて、問題のあるアドオンを削除することができます。スタート -> すべてのプログラム -> アクセサリ -> システムツール -> Internet Explorer (アドオンなし) この状態では、ツール -> アドオンの管理が使えなくなっていますが、ツール -> インターネットオプション -> プログラム -> アドオンの管理と辿ると、アドオンの管理機能を使うことができ、問題となるアドオンを無効にすることができます。なお、これらの設定はアドオンだけを無効化し、JavaScript など他の動的コンテンツの機能については無効にはなりません。信頼できないサイトを閲覧する際にはこの方法だけでは不十分ですので、注意してください。 Windows Vista ヘルプ Internet Explorer のアドオン : よく寄せられる質問 http://windowshelp.microsoft.com/Windows/ja-JP/help/e85a03aa-c7c6-428e-9891-67ea76df9b7e1041.mspx