IPv6 の Neighbor Discovery Protocol (NDP) の実装に脆弱性

JPCERT-WR-2008-3901 2008-10-08 2008-09-28 2008-10-04

IPv6 の Neighbor Discovery Protocol (NDP) の実装に脆弱性 US-CERT Vulnerability Note VU#472363 IPv6 implementations insecurely update Forward Information Base http://www.kb.cert.org/vuls/id/472363

IPv6 Neighbor Discovery Protocol (NDP) の一部の実装には脆弱性があります。結果として、ローカルセグメント内のユーザが細工したパケットを処理させることで、通信を盗聴したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。この問題は、各ベンダや配布元が提供する修正済みのバージョンに各製品を更新することで解決します。詳細については、各ベンダや配布元が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#472363 IPv6 実装における Forward Information Base のアップデートに関する問題 http://jvn.jp/cert/JVNVU472363/index.html IETF RFC 4861 Neighbor Discovery for IP version 6 (IPv6) http://tools.ietf.org/html/rfc4861 IETF RFC 3756 IPv6 Neighbor Discovery (ND) Trust Models and Threats http://tools.ietf.org/html/rfc3756 IETF RFC 3177 IAB/IESG Recommendations on IPv6 Address Allocations to Sites http://tools.ietf.org/html/rfc3177 IETF RFC 3971 SEcure Neighbor Discovery (SEND) http://tools.ietf.org/html/rfc3971 The FreeBSD Project Security Advisory FreeBSD-SA-08:10.nd6 IPv6 Neighbor Discovery Protocol routing vulnerability http://security.freebsd.org/advisories/FreeBSD-SA-08:10.nd6.asc

EC-CUBE に複数の脆弱性 Japan Vulnerability Notes JVN#26621646 EC-CUBE におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN26621646/index.html Japan Vulnerability Notes JVN#36085487 EC-CUBE におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN36085487/index.html Japan Vulnerability Notes JVN#99916563 EC-CUBE におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN99916563/index.html Japan Vulnerability Notes JVN#81111541 EC-CUBE における SQL インジェクションの脆弱性 http://jvn.jp/jp/JVN81111541/index.html

ロックオンが提供する EC-CUBE には、SQL インジェクションおよびクロスサイトスクリプティングを含む複数の脆弱性があります。結果として、遠隔の第三者が EC-CUBE で作成された EC サイトの管理者権限を取得したり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性があります。対象となるバージョンは以下の通りです。 - EC-CUBE Ver1 正式版 Version 1.4.6 およびそれ以前 - EC-CUBE Ver1 ベータ版 Version 1.5.0-beta およびそれ以前 - EC-CUBE Ver2 正式版 Version 2.1.2a およびそれ以前 - EC-CUBE Ver2 ベータ版(RC版) Version 2.2.0-beta およびそれ以前 - EC-CUBE Ver2 RC版 Version 2.3.0-rc1 およびそれ以前 - EC-CUBEコミュニティコミュニティ版 1.3.4 およびそれ以前 - EC-CUBEコミュニティナイトリービルド版 r17623 およびそれ以前この問題は、ロックオンが提供する修正済みのバージョンに EC-CUBE を更新することで解決します。

株式会社ロックオン SQLインジェクション脆弱性について(2008年10月1日) http://www.ec-cube.net/info/080829/ 独立行政法人情報処理推進機構セキュリティセンター「EC-CUBE」におけるセキュリティ上の弱点（脆弱性）の注意喚起 http://www.ipa.go.jp/security/vuln/documents/2008/200810_EC-CUBE.html

libpng にバッファオーバーフローの脆弱性 US-CERT Vulnerability Note VU#889484 libpng off-by-one vulnerability http://www.kb.cert.org/vuls/id/889484

libpng には、バッファオーバーフローの脆弱性があります。結果として、遠隔の第三者が細工した PNG ファイルを処理させることで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。対象となるバージョンは以下の通りです。 - libpng 1.0.38、1.0.39、1.2.30、1.2.31 および libpng-1.4.0beta この問題は、配布元が提供する修正済みのバージョンに libpng を更新することで解決します。

libpng.org Libpng 1.2.32 - September 18, 2008 http://www.libpng.org/pub/png/src/libpng-1.2.32-README.txt

JPCERT/CC メーリングリスト: Gmail への配送遅延について JPCERT/CC JPCERT/CC メーリングリスト http://www.jpcert.or.jp/announce.html

JPCERT/CC REPORT 及び JPCERT/CC Alert の配信を行っているメーリングリストにおいて、Gmail への配送に遅延が発生しております。メーリングリストに Gmail のアカウントを登録している方は以下の対策を取ってください。 1) info@jpcert.or.jp を連絡先 (Contacts) に追加してください。これによりJPCERT/CC からのメールが spam 扱いされることがなくなります。 2) 過去のレポートが spam として処理されている場合、メッセージを開き "迷惑メールを解除 (Not Spam)" ボタンをクリックしてください。他のメールサービスでも同様に配送の遅延が発生する可能性があります。 JPCERT/CC からの情報をリアルタイムに受け取りたい方は JPCERT/CC RSS の購読も併せてご検討ください。

JPCERT/CC JPCERT/CC RSS http://www.jpcert.or.jp/rss/ Gmail Help Legitimate mail is marked as spam http://mail.google.com/support/bin/answer.py?hl=en&answer=9008

SMTP の新しい RFC が公開 SMTP を規定する RFC 5321 と Internet Message Format を規定する RFC 5322 が新しく公開されています。これにより、RFC 2821、 RFC 2822 は obsolete となりました。 RFC 5321 では IPv6 への対応や、spam への対応に関する記述が追加されています。例えば、MUA からのメール送信に Submission ポートの使用を推奨しています。またその他、フォーマットやプロトコルに関してより厳格に記述するなどの変更がなされています。 IETF RFC 5321 Simple Mail Transfer Protocol http://tools.ietf.org/html/rfc5321 IETF RFC 5322 Internet Message Format http://tools.ietf.org/html/rfc5322