-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-4101 JPCERT/CC 2008-10-22 <<< JPCERT/CC REPORT 2008-10-22 >>> ―――――――――――――――――――――――――――――――――――――― ■10/12(日)〜10/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2008年10月 Microsoft セキュリティ情報について 【2】Adobe Flash Player に複数の脆弱性 【3】2008年10月 Oracle Critical Patch Update について 【4】Movable Type にクロスサイトスクリプティングの脆弱性 【5】MPlayer に複数の脆弱性 【6】hisa_cart に情報漏洩の脆弱性 【今週のひとくちメモ】PDF に電子署名を行う/検証する ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr084101.html http://www.jpcert.or.jp/wr/2008/wr084101.xml ============================================================================ 【1】2008年10月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA08-288A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA08-288A.html US-CERT Cyber Security Alert SA08-288A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA08-288A.html US-CERT Vulnerability Notes Database Search Results [ms08-oct] (全3件・2008年10月21日現在) http://www.kb.cert.org/vuls/byid?searchview&query=ms08-oct CIAC Bulletin T-002 Vulnerability in Host INtegration Server RPC Service http://www.ciac.org/ciac/bulletins/t-002.shtml CIAC Bulletin T-003 Vulnerabilities in Microsoft Excel http://www.ciac.org/ciac/bulletins/t-003.shtml CIAC Bulletin T-004 Cumulative Security Update for Internet Explorer http://www.ciac.org/ciac/bulletins/t-004.shtml CIAC Bulletin T-005 Vulnerability in Active Directory http://www.ciac.org/ciac/bulletins/t-005.shtml CIAC Bulletin T-006 Vulnerabilities in Windows Kernel http://www.ciac.org/ciac/bulletins/t-006.shtml CIAC Bulletin T-007 Vulnerability in Windows Internet Printing Service http://www.ciac.org/ciac/bulletins/t-007.shtml CIAC Bulletin T-008 Vulnerability in Virtual Address Descriptor Manipulation http://www.ciac.org/ciac/bulletins/t-008.shtml CIAC Bulletin T-009 Vulnerability in Message Queuing http://www.ciac.org/ciac/bulletins/t-009.shtml CIAC Bulletin T-010 Vulnerability in the Microsoft Ancillary Function Driver http://www.ciac.org/ciac/bulletins/t-010.shtml 概要 Microsoft Windows、Microsoft Office、Internet Explorer などの製 品には、複数の脆弱性があります。結果として、遠隔の第三者が任意の コードを実行したり、権限を昇格したり、サービス運用妨害 (DoS) 攻 撃を行ったりする可能性があります。 詳細については、Microsoft が提供する情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。 関連文書 (日本語) 2008 年 10 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms08-oct.mspx マイクロソフト セキュリティ情報 MS08-056 - 警告 Microsoft Office の脆弱性により、情報の漏えいが起こる (957699) http://www.microsoft.com/japan/technet/security/bulletin/MS08-056.mspx マイクロソフト セキュリティ情報 MS08-057 - 緊急 Microsoft Excel の脆弱性により、リモートでコードが実行される (956416) http://www.microsoft.com/japan/technet/security/bulletin/MS08-057.mspx マイクロソフト セキュリティ情報 MS08-058 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (956390) http://www.microsoft.com/japan/technet/security/bulletin/MS08-058.mspx マイクロソフト セキュリティ情報 MS08-059 - 緊急 Host Integration Server の RPC サービスの脆弱性により、リモートでコードが実行される (956695) http://www.microsoft.com/japan/technet/security/bulletin/MS08-059.mspx マイクロソフト セキュリティ情報 MS08-060 - 緊急 Active Directory の脆弱性により、リモートでコードが実行される (957280) http://www.microsoft.com/japan/technet/security/bulletin/MS08-060.mspx マイクロソフト セキュリティ情報 MS08-061 - 重要 Windows カーネルの脆弱性により、特権が昇格される (954211) http://www.microsoft.com/japan/technet/security/bulletin/MS08-061.mspx マイクロソフト セキュリティ情報 MS08-062 - 重要 Windows インターネット印刷サービスの脆弱性により、リモートでコードが実行される (953155) http://www.microsoft.com/japan/technet/security/bulletin/MS08-062.mspx マイクロソフト セキュリティ情報 MS08-063 - 重要 SMB の脆弱性により、リモートでコードが実行される (957095) http://www.microsoft.com/japan/technet/security/bulletin/MS08-063.mspx マイクロソフト セキュリティ情報 MS08-064 - 重要 仮想アドレス記述子の処理の脆弱性により、特権が昇格される (956841) http://www.microsoft.com/japan/technet/security/bulletin/MS08-064.mspx マイクロソフト セキュリティ情報 MS08-065 - 重要 メッセージ キューの脆弱性により、リモートでコードが実行される (951071) http://www.microsoft.com/japan/technet/security/bulletin/MS08-065.mspx マイクロソフト セキュリティ情報 MS08-066 - 重要 Microsoft Ancillary Function ドライバーの脆弱性により、特権が昇格される (956803) http://www.microsoft.com/japan/technet/security/bulletin/MS08-066.mspx Japan Vulnerability Notes JVNTA08-288A Microsoft 製品における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA08-288A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS08-056,057,058,059,060,061,062,063,064,065,066) http://www.cyberpolice.go.jp/important/2008/20081015_110510.html JPCERT/CC Alert 2008-10-15 2008年10月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起 http://www.jpcert.or.jp/at/2008/at080017.txt 【2】Adobe Flash Player に複数の脆弱性 情報源 Adobe - Security Advisories APSB08-18: Flash Player update available to address security vulnerabilities http://www.adobe.com/support/security/bulletins/apsb08-18.html 概要 Adobe Flash Player には、複数の脆弱性があります。結果として、遠 隔の第三者が細工した Flash コンテンツにアクセスさせることで、ユー ザが意図しないボタンもしくはリンクをクリックさせる可能性がありま す。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 9.0.124.0 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョン 10.0.12.36 に Flash Player を更新することで解決します。なお、複数のウェブブラ ウザを使用している環境においては、各ウェブブラウザごとに Flash Player を更新する必要があります。詳細については、Adobe が提供す る情報を参照してください。 関連文書 (英語) US-CERT Current Activity Archive Adobe Releases Security Bulletin for Flash Player http://www.us-cert.gov/current/archive/2008/10/16/archive.html#adobe_releases_security_bulletin_for 【3】2008年10月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Archive Oracle Releases Critical Patch Update for October 2008 http://www.us-cert.gov/current/archive/2008/10/16/archive.html#oracle_releases_critical_patch_update4 CIAC Bulletin T-011 Oracle Critical Patch Update Advisory - October 2008 http://www.ciac.org/ciac/bulletins/t-011.shtml 概要 Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。 結果として、遠隔の第三者が認証を回避するなどの可能性があります。 この問題は、Oracle が提供するパッチを該当する製品に適用すること で解決します。詳細については Oracle が提供する情報を参照してくだ さい。 なお、次回の Oracle Critical Patch Update は、2009年1月にリリー スされる予定です。 2008年4月29日、Oracle の BEA Systems, Inc. 買収により、BEA 製品 のセキュリティ関連情報は Oracle Critical Patch Update に掲載され ます。 関連文書 (日本語) Oracle internet Support Center [CPUOct2008] Oracle Critical Patch Update Advisory - October 2008 日本語翻訳版 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=129194 Oracle Technology Network Critical Patch Update - October 2008 http://www.oracle.com/technology/global/jp/security/081017_84/top.html 関連文書 (英語) Oracle Technology Network Oracle Critical Patch Update Advisory - October 2008 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2008.html 【4】Movable Type にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#81490697 Movable Type におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN81490697/index.html 概要 Movable Type には、管理画面にクロスサイトスクリプティングの脆弱 性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意 のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Movable Type 4 (4.21 およびそれ以前のバージョン) - Movable Type Enterprise 4 (4.21 およびそれ以前のバージョン) - Movable Type Community Solution 4 (4.21 およびそれ以前のバー ジョン) - Movable Type 4 (Open Source) (4.21 およびそれ以前のバージョン) この問題は、シックス・アパートが提供する修正済みのバージョンに Movable Type を更新することで解決します。 関連文書 (日本語) シックス・アパート セキュリティアップデート Movable Type 4.22 の提供を開始 http://www.sixapart.jp/movabletype/news/2008/10/15-1400.html 【5】MPlayer に複数の脆弱性 情報源 CIAC Bulletin T-012 MPlayer Vulnerability http://www.ciac.org/ciac/bulletins/t-012.shtml 概要 MPlayer には、複数の脆弱性があります。結果として、遠隔の第三者が 細工したビデオファイルを処理させることで、ユーザの権限で任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となるバージョンは以下の通りです。 - MPlayer 1.0rc2 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに MPlayer を更新することで解決します。詳細については、 ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Debian セキュリティ勧告 DSA-1644-1 mplayer -- 整数オーバフロー http://www.debian.org/security/2008/dsa-1644.ja.html 関連文書 (英語) MPlayer News http://www.mplayerhq.hu/design7/news.html oCERT Advisories #2008-013 MPlayer Real demuxer heap overflow http://www.ocert.org/advisories/ocert-2008-013.html 【6】hisa_cart に情報漏洩の脆弱性 情報源 Japan Vulnerability Notes JVN#67334580 hisa_cart における情報漏洩の脆弱性 http://jvn.jp/jp/JVN67334580/index.html 概要 久長電機が提供する XOOPS 用のショッピングカートモジュール hisa_cart には、情報漏洩の脆弱性があります。結果として、遠隔の第 三者が登録ユーザ情報などを取得する可能性があります。 対象となるバージョンは以下の通りです。 - hisa_cart v1.29 およびそれ以前 この問題は、久長電機が提供する修正済みのバージョンに hisa_cart を更新することで解決します。 関連文書 (日本語) 株式会社久長電機 セキュリティ情報のご案内 http://hisacart.chushokigyo.net/modules/info/index.php/intro/url.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○PDF に電子署名を行う/検証する 1. 電子署名を行う PDF ファイルに電子署名を行うためには、署名に使う証明書/秘密鍵を 用意する必要があります。Adobe Acrobat では、認証局から発行された 証明書/秘密鍵を使用する方法と、独自に自己署名証明書を生成して使 用する方法があります。 Adobe Acrobat では電子署名として「承認用署名」と「証明用署名」の 2種類があります。これは、ISO32000-1 仕様における document signature (承認用署名) と MDP signature (証明用署名) に対応する ものです。 2. 電子署名を検証する Adobe Acrobat や Adobe Reader では証明書リポジトリを独自に持って おり、電子署名の検証に使う証明書については、Windows の証明書スト アや LDAP サーバなどを参照することもできます。 適切な証明書を取り込んであり、取り込んだ証明書に対する信頼度の設 定も適切に行われているにも関わらず検証結果が無効と出る場合には、 PDF ファイルが改竄されている可能性が高いと判断することができます。 参考文献 (日本語) JPCERT/CC REPORT 2008-10-16 【今週のひとくちメモ】PDF (Portable Document Format) における電子署名 http://www.jpcert.or.jp/wr/2008/wr084001.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSP6DFYx1ay4slNTtAQiMBwQA1G6AqN80YTUWFfnOjn5zt9ICAb0Xn68W jtifDTkiZHPun/TMGjXXgG1h2EJblrEekFqc4fvFbX9ivvYhxTY2rNyRONi8LalB u6eAFw0jwz2soltO1viB67Rf7eiN9VzdBP3mDgqywSeap/Cro5E5gGsSPuOWopHY l1G/SccyYpQ= =KqQD -----END PGP SIGNATURE-----