JPCERT-WR-2008-4601 2008-11-27 2008-11-16 2008-11-22

Mozilla Japan http://mozilla.jp/thunderbird/2.0.0.18/releasenotes/

JPCERT/CC REPORT 2008-11-19 号【2】で紹介した「Mozilla 製品群に 複数の脆弱性」に関する追加情報です。 Thunderbird の修正済みのバージョン 2.0.0.18 が提供されました。詳 細については、OS のベンダや配布元が提供する情報を参照してくださ い。

JPCERT/CC REPORT 2008-11-19 http://www.jpcert.or.jp/wr/2008/wr084501.html#2

Adobe - Security Advisories http://www.adobe.com/support/security/bulletins/apsb08-23.html US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2008/11/20/archive.html#adobe_releases_update_for_air

Adobe AIR には、脆弱性があります。結果として、遠隔の第三者が細工 したデータを Adobe AIR のアプリケーションに読み込ませることで、 昇格した権限で任意の JavaScript コードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe AIR 1.1 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Adobe AIR を 更新することで解決します。なお、この更新には、Adobe AIR に組み込 まれている Adobe Flash Player の機能に関して JPCERT/CC REPORT 2008-10-22 号【2】で紹介した問題に対する修正も含まれています。

JPCERT/CC REPORT 2008-10-22 http://www.jpcert.or.jp/wr/2008/wr084101.html#2

Japan Vulnerability Notes CPNI-957037 http://jvn.jp/niscc/CPNI-957037/index.html

SSH 通信には、データ漏えいの脆弱性があります。結果として、遠隔の 第三者が細工したパケットを処理させることで暗号化ブロックから平文 の一部を取り出す可能性があります。 対象となる製品は以下の通りです。 - SSH を実装する製品 この問題は、各ベンダが提供する修正済みのバージョンに各製品を更新 することで解決します。なお、OpenSSH など一部の製品では設定の変更 が必要となる場合があります。詳細については、各ベンダが提供する情 報を参照してください。

CPNI Vulnerability Advisory CPNI-957037 http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txt US-CERT Vulnerability Note VU#958563 http://www.kb.cert.org/vuls/id/958563 OpenSSH Security Advisory: cbc.adv http://www.openssh.com/txt/cbc.adv

Japan Vulnerability Notes JVN#86833991 http://jvn.jp/jp/JVN86833991/index.html

CGI RESCUE が提供する簡易BBS2000 には、ディレクトリトラバーサル の脆弱性があります。結果として、遠隔の第三者が簡易BBS2000 が設置 されているサーバ内のファイルを閲覧する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - 簡易BBS2000 v1.02 およびそれ以前 - 簡易BBS2000i v1.02 およびそれ以前 この問題は CGI RESCUE が提供する修正済みのバージョンに、該当する 製品を更新することで解決します。なお、本脆弱性の対策版として公開 していたファイルに誤りがあったと CGI RESCUE より報告されています。 現在ダウンロード可能なバージョン v1.03 は本脆弱性を修正したバー ジョンとなっています。詳しくは CGI RESCUE が提供する情報を参照し てください。

CGI RESCUE http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20081113221811 CGI RESCUE http://www.rescue.ne.jp/cgi/minibbs2000/ CGI RESCUE http://www.rescue.ne.jp/cgi/minibbs2000i/

Japan Vulnerability Notes JVN#47875752 http://jvn.jp/jp/JVN47875752/index.html

ガンホー・オンライン・エンターテイメント株式会社が提供する LoadPrgAx ActiveX コントロールには、任意の Java プログラムが実行 される脆弱性があります。結果として、遠隔の第三者が細工した HTML ドキュメントをユーザに閲覧させることで、ユーザの PC 内にある任意 の Java プログラムを実行する可能性があります。 対象となるバージョンは以下の通りです。 - LoadPrgAx バージョン 1,0,0,6 およびそれ以前 この問題は、ガンホーが提供する修正済みのバージョンに LoadPrgAx を更新することで解決します。なお、この ActiveX コントロールはゲー ム起動時に自動でアップデートの処理が行われます。本件の対策版であ る LoadPrgAx バージョン 1,0,0,7 は 2008年11月5日からガンホーが配 布しています。詳細については、ガンホーが提供する情報を参照してく ださい。

ガンホー・オンライン・エンターテイメント株式会社 http://www.gungho.jp/index.php?module=Page&action=NoticeDetailPage&notice_id=1339

SecurityDay2008 http://securityday.jp/

2008年12月16日(火)、東京 ベルサール八重洲において JPCERT コーディ ネーションセンター (JPCERT/CC)、日本インターネットプロバイダー協 会 (JAIPA)、日本データ通信協会 (Telecom-ISAC Japan)、日本ネット ワークセキュリティ協会 (JNSA)、日本電子認証協議会 (JCAF) 主催の 「SecurityDay2008 〜日本の情報セキュリティのあり方を考える〜」を 開催します。 日時：2008年12月16日(火) 9:50 開始 会場：ベルサール八重洲 2F 東京都中央区八重洲 1-3-7 八重洲ファースト フィナンシャルビル http://www.bellesalle.co.jp/bs_yaesu/images/shikihai.html 費用：5,000円 (税込) SecurityDay2008 への参加には、事前のお申し込みが必要です。参加費 は、当日会場受付での現金精算となりますので、予約完了後にメールで 送られる受講予約票を必ずご持参くださるようお願いいたします。 プログラム、参加申し込み等、詳細は以下の Web ページをご参照くだ さい。

SecurityDay2008 http://securityday.jp/?register JPCERT/CC http://www.jpcert.or.jp/event/sec2008-seminar.html

メールを送る際には、送信先に注意しましょう。例えば、ニュースを知 らせるメールを受け取り他の関係者に転送する際、意図せず元のメール の送信元を一緒に含めてしまうケースがあります。JPCERT/CC REPORT においても、組織内関係者への転送と思われるものが返信されてくるケー スが散見されます。 内容によっては、情報漏曳にもつながりかねない危険があります。メー ルを送信する直前にはもういちど送信先を確認するステップを入れるこ と、また、メーラに誤送信を防ぐための機能がある場合には活用するな ど、誤送信を防ぐための習慣をつけましょう。 Microsoft Office Outlook Tips http://www.microsoft.com/japan/exchange/campaign/ov/tips/default.mspx#09 Thunderbird Add-ons https://addons.mozilla.org/ja/thunderbird/addon/5582