-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2008-4601
                                                                   JPCERT/CC
                                                                  2008-11-27

                 <<< JPCERT/CC REPORT 2008-11-27 >>>

――――――――――――――――――――――――――――――――――――――
■11/16(日)〜11/22(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】「Mozilla 製品群に複数の脆弱性」に関する追加情報
【2】Adobe AIR に脆弱性
【3】SSH 通信にデータ漏えいの脆弱性
【4】CGI RESCUE の簡易BBS2000 にディレクトリトラバーサルの脆弱性
【5】ガンホーの LoadPrgAx に任意の Java プログラムが実行される脆弱性
【6】SecurityDay2008 のお知らせ (2008年12月16日開催)
【今週のひとくちメモ】メールの送信先に注意

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/2008/wr084601.html
        http://www.jpcert.or.jp/wr/2008/wr084601.xml
============================================================================


【1】「Mozilla 製品群に複数の脆弱性」に関する追加情報

    情報源
      Mozilla Japan
      Thunderbird リリースノート - Thunderbird 2.0.0.18 での変更点
      http://mozilla.jp/thunderbird/2.0.0.18/releasenotes/

    概要
      JPCERT/CC REPORT 2008-11-19 号【2】で紹介した「Mozilla 製品群に
      複数の脆弱性」に関する追加情報です。

      Thunderbird の修正済みのバージョン 2.0.0.18 が提供されました。詳
      細については、OS のベンダや配布元が提供する情報を参照してくださ
      い。

    関連文書 (日本語)
      JPCERT/CC REPORT 2008-11-19
      【2】Mozilla 製品群に複数の脆弱性
      http://www.jpcert.or.jp/wr/2008/wr084501.html#2

【2】Adobe AIR に脆弱性

    情報源
      Adobe - Security Advisories
      APSB08-23: AIR update available to address security vulnerabilities
      http://www.adobe.com/support/security/bulletins/apsb08-23.html

      US-CERT Current Activity Archive
      Adobe Releases Update for AIR
      http://www.us-cert.gov/current/archive/2008/11/20/archive.html#adobe_releases_update_for_air

    概要
      Adobe AIR には、脆弱性があります。結果として、遠隔の第三者が細工
      したデータを Adobe AIR のアプリケーションに読み込ませることで、
      昇格した権限で任意の JavaScript コードを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Adobe AIR 1.1 およびそれ以前

      この問題は、Adobe が提供する修正済みのバージョンに Adobe AIR を
      更新することで解決します。なお、この更新には、Adobe AIR に組み込
      まれている Adobe Flash Player の機能に関して JPCERT/CC REPORT
      2008-10-22 号【2】で紹介した問題に対する修正も含まれています。

    関連文書 (日本語)
      JPCERT/CC REPORT 2008-10-22
      【2】Adobe Flash Player に複数の脆弱性
      http://www.jpcert.or.jp/wr/2008/wr084101.html#2

【3】SSH 通信にデータ漏えいの脆弱性

    情報源
      Japan Vulnerability Notes CPNI-957037
      SSH 通信において一部データが漏えいする可能性
      http://jvn.jp/niscc/CPNI-957037/index.html

    概要
      SSH 通信には、データ漏えいの脆弱性があります。結果として、遠隔の
      第三者が細工したパケットを処理させることで暗号化ブロックから平文
      の一部を取り出す可能性があります。

      対象となる製品は以下の通りです。

      - SSH を実装する製品

      この問題は、各ベンダが提供する修正済みのバージョンに各製品を更新
      することで解決します。なお、OpenSSH など一部の製品では設定の変更
      が必要となる場合があります。詳細については、各ベンダが提供する情
      報を参照してください。

    関連文書 (英語)
      CPNI Vulnerability Advisory CPNI-957037
      Plaintext Recovery Attack Against SSH
      http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txt

      US-CERT Vulnerability Note VU#958563
      SSH CBC vulnerability
      http://www.kb.cert.org/vuls/id/958563

      OpenSSH Security Advisory: cbc.adv
      Regarding the "Plaintext Recovery Attack Against SSH" reported as CPNI-957037[1]
      http://www.openssh.com/txt/cbc.adv

【4】CGI RESCUE の簡易BBS2000 にディレクトリトラバーサルの脆弱性

    情報源
      Japan Vulnerability Notes JVN#86833991
      CGI RESCUE 製簡易BBS2000 におけるディレクトリトラバーサルの脆弱性
      http://jvn.jp/jp/JVN86833991/index.html

    概要
      CGI RESCUE が提供する簡易BBS2000 には、ディレクトリトラバーサル
      の脆弱性があります。結果として、遠隔の第三者が簡易BBS2000 が設置
      されているサーバ内のファイルを閲覧する可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - 簡易BBS2000 v1.02 およびそれ以前
      - 簡易BBS2000i v1.02 およびそれ以前

      この問題は CGI RESCUE が提供する修正済みのバージョンに、該当する
      製品を更新することで解決します。なお、本脆弱性の対策版として公開
      していたファイルに誤りがあったと CGI RESCUE より報告されています。
      現在ダウンロード可能なバージョン v1.03 は本脆弱性を修正したバー
      ジョンとなっています。詳しくは CGI RESCUE が提供する情報を参照し
      てください。

    関連文書 (日本語)
      CGI RESCUE
      簡易ＢＢＳ２０００と簡易ＢＢＳ２０００iのダウンロードファイルに誤り
      http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20081113221811

      CGI RESCUE
      簡易ＢＢＳ２０００
      http://www.rescue.ne.jp/cgi/minibbs2000/

      CGI RESCUE
      簡易ＢＢＳ２０００i
      http://www.rescue.ne.jp/cgi/minibbs2000i/

【5】ガンホーの LoadPrgAx に任意の Java プログラムが実行される脆弱性

    情報源
      Japan Vulnerability Notes JVN#47875752
      ガンホー製 LoadPrgAx において任意の Java プログラムが実行される脆弱性
      http://jvn.jp/jp/JVN47875752/index.html

    概要
      ガンホー・オンライン・エンターテイメント株式会社が提供する
      LoadPrgAx ActiveX コントロールには、任意の Java プログラムが実行
      される脆弱性があります。結果として、遠隔の第三者が細工した HTML 
      ドキュメントをユーザに閲覧させることで、ユーザの PC 内にある任意
      の Java プログラムを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - LoadPrgAx バージョン 1,0,0,6 およびそれ以前

      この問題は、ガンホーが提供する修正済みのバージョンに LoadPrgAx 
      を更新することで解決します。なお、この ActiveX コントロールはゲー
      ム起動時に自動でアップデートの処理が行われます。本件の対策版であ
      る LoadPrgAx バージョン 1,0,0,7 は 2008年11月5日からガンホーが配
      布しています。詳細については、ガンホーが提供する情報を参照してく
      ださい。

    関連文書 (日本語)
      ガンホー・オンライン・エンターテイメント株式会社
      ActiveXコントロール(プログラム)更新のお知らせ
      http://www.gungho.jp/index.php?module=Page&action=NoticeDetailPage&notice_id=1339

【6】SecurityDay2008 のお知らせ (2008年12月16日開催)

    情報源
      SecurityDay2008
      http://securityday.jp/

    概要
      2008年12月16日(火)、東京 ベルサール八重洲において JPCERT コーディ
      ネーションセンター (JPCERT/CC)、日本インターネットプロバイダー協
      会 (JAIPA)、日本データ通信協会 (Telecom-ISAC Japan)、日本ネット
      ワークセキュリティ協会 (JNSA)、日本電子認証協議会 (JCAF) 主催の
      「SecurityDay2008 〜日本の情報セキュリティのあり方を考える〜」を
      開催します。

      日時：2008年12月16日(火) 9:50 開始
      会場：ベルサール八重洲 2F
            東京都中央区八重洲 1-3-7 八重洲ファースト フィナンシャルビル
            http://www.bellesalle.co.jp/bs_yaesu/images/shikihai.html
      費用：5,000円 (税込)

      SecurityDay2008 への参加には、事前のお申し込みが必要です。参加費
      は、当日会場受付での現金精算となりますので、予約完了後にメールで
      送られる受講予約票を必ずご持参くださるようお願いいたします。

      プログラム、参加申し込み等、詳細は以下の Web ページをご参照くだ
      さい。

    関連文書 (日本語)
      SecurityDay2008
      参加申し込み方法
      http://securityday.jp/?register

      JPCERT/CC
      SecurityDay2008 開催のお知らせ
      http://www.jpcert.or.jp/event/sec2008-seminar.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○メールの送信先に注意

      メールを送る際には、送信先に注意しましょう。例えば、ニュースを知
      らせるメールを受け取り他の関係者に転送する際、意図せず元のメール
      の送信元を一緒に含めてしまうケースがあります。JPCERT/CC REPORT 
      においても、組織内関係者への転送と思われるものが返信されてくるケー
      スが散見されます。

      内容によっては、情報漏曳にもつながりかねない危険があります。メー
      ルを送信する直前にはもういちど送信先を確認するステップを入れるこ
      と、また、メーラに誤送信を防ぐための機能がある場合には活用するな
      ど、誤送信を防ぐための習慣をつけましょう。

    参考文献 (日本語)
      Microsoft Office Outlook Tips
      メール作成途中の送信を防ぐ方法
      http://www.microsoft.com/japan/exchange/campaign/ov/tips/default.mspx#09

      Thunderbird Add-ons
      Confirm-Address 1.2.1
      https://addons.mozilla.org/ja/thunderbird/addon/5582


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        http://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        http://www.jpcert.or.jp/form/

以上。
__________

2008 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQCVAwUBSS37XYx1ay4slNTtAQinJwP/V0L3+um6IBzPzkisba9mMcU/qvDRSTTP
BnMpCbXP8wjNjSP927INaAAxRj4gf/naC1HobYiHRlNUbWOelJKq6oEPk70o1ejX
M9K4mBzBWp0wZfvjPC7/UZ6xU58VCfOg5m80Bfmf8bpVxXE9oBbKNpy0Hb8S639e
dal1J9BOoQE=
=2klR
-----END PGP SIGNATURE-----