-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-3901 JPCERT/CC 2008-10-08 <<< JPCERT/CC REPORT 2008-10-08 >>> ―――――――――――――――――――――――――――――――――――――― ■09/28(日)〜10/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】IPv6 の Neighbor Discovery Protocol (NDP) の実装に脆弱性 【2】EC-CUBE に複数の脆弱性 【3】libpng にバッファオーバーフローの脆弱性 【4】JPCERT/CC メーリングリスト: Gmail への配送遅延について 【今週のひとくちメモ】SMTP の新しい RFC が公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr083901.html http://www.jpcert.or.jp/wr/2008/wr083901.xml ============================================================================ 【1】IPv6 の Neighbor Discovery Protocol (NDP) の実装に脆弱性 情報源 US-CERT Vulnerability Note VU#472363 IPv6 implementations insecurely update Forward Information Base http://www.kb.cert.org/vuls/id/472363 概要 IPv6 Neighbor Discovery Protocol (NDP) の一部の実装には脆弱性が あります。結果として、ローカルセグメント内のユーザが細工したパケッ トを処理させることで、通信を盗聴したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、各ベンダや配布元が提供する修正済みのバージョンに各製 品を更新することで解決します。詳細については、各ベンダや配布元が 提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#472363 IPv6 実装における Forward Information Base のアップデートに関する問題 http://jvn.jp/cert/JVNVU472363/index.html 関連文書 (英語) IETF RFC 4861 Neighbor Discovery for IP version 6 (IPv6) http://tools.ietf.org/html/rfc4861 IETF RFC 3756 IPv6 Neighbor Discovery (ND) Trust Models and Threats http://tools.ietf.org/html/rfc3756 IETF RFC 3177 IAB/IESG Recommendations on IPv6 Address Allocations to Sites http://tools.ietf.org/html/rfc3177 IETF RFC 3971 SEcure Neighbor Discovery (SEND) http://tools.ietf.org/html/rfc3971 The FreeBSD Project Security Advisory FreeBSD-SA-08:10.nd6 IPv6 Neighbor Discovery Protocol routing vulnerability http://security.freebsd.org/advisories/FreeBSD-SA-08:10.nd6.asc 【2】EC-CUBE に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#26621646 EC-CUBE におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN26621646/index.html Japan Vulnerability Notes JVN#36085487 EC-CUBE におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN36085487/index.html Japan Vulnerability Notes JVN#99916563 EC-CUBE におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN99916563/index.html Japan Vulnerability Notes JVN#81111541 EC-CUBE における SQL インジェクションの脆弱性 http://jvn.jp/jp/JVN81111541/index.html 概要 ロックオンが提供する EC-CUBE には、SQL インジェクションおよびク ロスサイトスクリプティングを含む複数の脆弱性があります。結果とし て、遠隔の第三者が EC-CUBE で作成された EC サイトの管理者権限を 取得したり、ユーザのブラウザ上で任意のスクリプトを実行したりする 可能性があります。 対象となるバージョンは以下の通りです。 - EC-CUBE Ver1 正式版 Version 1.4.6 およびそれ以前 - EC-CUBE Ver1 ベータ版 Version 1.5.0-beta およびそれ以前 - EC-CUBE Ver2 正式版 Version 2.1.2a およびそれ以前 - EC-CUBE Ver2 ベータ版(RC版) Version 2.2.0-beta およびそれ以前 - EC-CUBE Ver2 RC版 Version 2.3.0-rc1 およびそれ以前 - EC-CUBEコミュニティ コミュニティ版 1.3.4 およびそれ以前 - EC-CUBEコミュニティ ナイトリービルド版 r17623 およびそれ以前 この問題は、ロックオンが提供する修正済みのバージョンに EC-CUBE を更新することで解決します。 関連文書 (日本語) 株式会社ロックオン SQLインジェクション脆弱性について(2008年10月1日) http://www.ec-cube.net/info/080829/ 独立行政法人 情報処理推進機構 セキュリティセンター 「EC-CUBE」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/security/vuln/documents/2008/200810_EC-CUBE.html 【3】libpng にバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#889484 libpng off-by-one vulnerability http://www.kb.cert.org/vuls/id/889484 概要 libpng には、バッファオーバーフローの脆弱性があります。結果とし て、遠隔の第三者が細工した PNG ファイルを処理させることで、サー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - libpng 1.0.38、1.0.39、1.2.30、1.2.31 および libpng-1.4.0beta この問題は、配布元が提供する修正済みのバージョンに libpng を更新 することで解決します。 関連文書 (英語) libpng.org Libpng 1.2.32 - September 18, 2008 http://www.libpng.org/pub/png/src/libpng-1.2.32-README.txt 【4】JPCERT/CC メーリングリスト: Gmail への配送遅延について 情報源 JPCERT/CC JPCERT/CC メーリングリスト http://www.jpcert.or.jp/announce.html 概要 JPCERT/CC REPORT 及び JPCERT/CC Alert の配信を行っているメーリン グリストにおいて、Gmail への配送に遅延が発生しております。メーリ ングリストに Gmail のアカウントを登録している方は以下の対策を取っ てください。 1) info@jpcert.or.jp を連絡先 (Contacts) に追加してください。こ れによりJPCERT/CC からのメールが spam 扱いされることがなくな ります。 2) 過去のレポートが spam として処理されている場合、メッセージを 開き "迷惑メールを解除 (Not Spam)" ボタンをクリックしてくださ い。 他のメールサービスでも同様に配送の遅延が発生する可能性があります。 JPCERT/CC からの情報をリアルタイムに受け取りたい方は JPCERT/CC RSS の購読も併せてご検討ください。 関連文書 (日本語) JPCERT/CC JPCERT/CC RSS http://www.jpcert.or.jp/rss/ 関連文書 (英語) Gmail Help Legitimate mail is marked as spam http://mail.google.com/support/bin/answer.py?hl=en&answer=9008 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○SMTP の新しい RFC が公開 SMTP を規定する RFC 5321 と Internet Message Format を規定する RFC 5322 が新しく公開されています。これにより、RFC 2821、 RFC 2822 は obsolete となりました。 RFC 5321 では IPv6 への対応や、spam への対応に関する記述が追加さ れています。例えば、MUA からのメール送信に Submission ポートの使 用を推奨しています。またその他、フォーマットやプロトコルに関して より厳格に記述するなどの変更がなされています。 参考文献 (英語) IETF RFC 5321 Simple Mail Transfer Protocol http://tools.ietf.org/html/rfc5321 IETF RFC 5322 Internet Message Format http://tools.ietf.org/html/rfc5322 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSOwOT4x1ay4slNTtAQhe0AP+I+wTsBbui/4Qi0R+haZRbfRTvNZyEHsc Vitd0Xy6q0q0eAGp46IQzdJSGXOjwTRdE+fjzPpXRltwcYt+1gBp6IJJZQisCJjQ KD/+Z9LeCK8h3zwCrOlcS94ax60hQEMep66GoLSWu/yNcjhhb3pbX5d6RxBc5P+a 0IU+nmhoZe0= =Vkmg -----END PGP SIGNATURE-----