JPCERT-WR-2008-4801 2008-12-10 2008-11-30 2008-12-06

US-CERT Technical Cyber Security Alert TA08-340A http://www.us-cert.gov/cas/techalerts/TA08-340A.html US-CERT Cyber Security Alert SA08-340A http://www.us-cert.gov/cas/alerts/SA08-340A.html

Java Runtime Environment (JRE) には、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行したり、権限を昇格した り、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があり ます。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 10 およびそれ以前 - JDK/JRE 5.0 Update 16 およびそれ以前 - SDK/JRE 1.4.2_18 およびそれ以前 - SDK/JRE 1.3.1_23 およびそれ以前 この問題は、Sun が提供する修正済みのバージョンに、該当する製品を 更新することで解決します。 なお、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー トが終了しています。今後修正プログラムは提供されません。後継のバー ジョンへの対応をおすすめします。

Japan Vulnerability Notes JVNTA08-193A http://jvn.jp/cert/JVNTA08-193A/index.html Sun Alert Notification 244986 http://sunsolve.sun.com/search/document.do?assetkey=1-66-244986-1 Sun Alert Notification 244987 http://sunsolve.sun.com/search/document.do?assetkey=1-66-244987-1 Sun Alert Notification 244988 http://sunsolve.sun.com/search/document.do?assetkey=1-66-244988-1 Sun Alert Notification 244989 http://sunsolve.sun.com/search/document.do?assetkey=1-66-244989-1 Sun Alert Notification 244990 http://sunsolve.sun.com/search/document.do?assetkey=1-66-244990-1 Sun Alert Notification 244991 http://sunsolve.sun.com/search/document.do?assetkey=1-66-244991-1 Sun Alert Notification 245246 http://sunsolve.sun.com/search/document.do?assetkey=1-66-245246-1 Sun Alert Notification 246266 http://sunsolve.sun.com/search/document.do?assetkey=1-66-246266-1 Sun Alert Notification 246286 http://sunsolve.sun.com/search/document.do?assetkey=1-66-246286-1 Sun Alert Notification 246366 http://sunsolve.sun.com/search/document.do?assetkey=1-66-246366-1 Sun Alert Notification 246386 http://sunsolve.sun.com/search/document.do?assetkey=1-66-246386-1 Sun Alert Notification 246387 http://sunsolve.sun.com/search/document.do?assetkey=1-66-246387-1

Japan Vulnerability Notes JVN#02216739 http://jvn.jp/jp/JVN02216739/index.html

Movable Type Enterprise には、管理画面にクロスサイトスクリプティ ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ ザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Movable Type Enterprise 1.5 なお、この脆弱性は、JPCERT/CC REPORT 2008-09-18号【2】および JPCERT/CC REPORT 2008-10-22号【4】とは異なる問題です。 この問題は、シックス・アパートが提供する修正済みのバージョンに Movable Type Enterprise を更新することで解決します。

シックス・アパート http://www.movabletype.jp/blog/_movable_type_423.html シックス・アパート http://www.sixapart.jp/movabletype/news/2008/12/03-1400.html JPCERT/CC REPORT 2008-09-18 http://www.jpcert.or.jp/wr/2008/wr083601.html#2 JPCERT/CC REPORT 2008-10-22 http://www.jpcert.or.jp/wr/2008/wr084101.html#4

US-CERT Vulnerability Note VU#976484 http://www.kb.cert.org/vuls/id/976484

DATAC RealWin には、FC_INFOTAG/SET_CONTROL パケットの処理に起因 するバッファオーバーフローの脆弱性があります。結果として、遠隔の 第三者が細工したパケットを処理させることで任意のコードを実行した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - RealWin 2.x 2008年12月3日現在、この問題に対する修正プログラムは確認されてお りません。回避策としては、信頼できないネットワークから RealWin へのアクセスを禁止するなど適切なアクセス制限を行う方法があります。

Japan Vulnerability Notes JVNVU#976484 http://jvn.jp/cert/JVNVU976484/index.html DATAC Control International Ltd. http://www.dataconline.com/software/realwin.php

US-CERT Vulnerability Note VU#528993 http://www.kb.cert.org/vuls/id/528993 US-CERT Vulnerability Note VU#639345 http://www.kb.cert.org/vuls/id/639345

Linksys が提供するワイヤレスネットワークビデオカメラ WVC54GC お よびその ActiveX コントロールには、複数の脆弱性があります。結果 として、遠隔の第三者が細工したパケットを当該製品に送信することで 機密情報を取得したり、細工した HTML 文書を閲覧させることで該当す る ActiveX コントロールを使用しているユーザの権限で任意のコード を実行したりする可能性があります。 この問題は、Linksys が提供する修正済みのバージョンに、WVC54GC の ファームウェアを更新することで解決します。なお、該当する ActiveX コントロールがインストールされている場合には、ファームウェアを更 新した製品に接続して ActiveX コントロールを更新する必要があります。 詳細については、Linksys が提供する情報を参照してください。

Linksys http://www.linksys.com/servlet/Satellite?c=L_Product_C2&childpagename=US%2FLayout&cid=1175239651656&pagename=Linksys%2FCommon%2FVisitorWrapper&lid=5165686883B0 Linksys http://www.linksys.com/servlet/Satellite?blobcol=urldata&blobheadername1=Content-Type&blobheadername2=Content-Disposition&blobheadervalue1=text%2Fplain&blobheadervalue2=inline%3B+filename%3DWVC54GC-V1.0_non-RoHS-v1.25_fw_ver.txt&blobkey=id&blobtable=MungoBlobs&blobwhere=1193776031728&ssbinary=true&lid=8104724130B17

JPCERT/CC https://www.jpcert.or.jp/event/half-day_Camp-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただくためのセミナーを「C/C++ セキュアコーディング ト ワイライトセミナー」と題して 2008年6月4日から 12月3日まで全7回に 渡り開催しました。 ソフトウエア等の脆弱性対策に関する事業の一環として開催したこのセ ミナーを一人でも多くのプログラム開発者の方々に受講していただける よう、トワイライトセミナーでお送りした内容を全3回に再編成し、 「C/C++ セキュアコーディング ハーフデイキャンプ」と題して開催い たします。トワイライトセミナーと同じく参加費は無料です。 第1回は 2009年1月29日開催予定です。 日時: part1 ＜文字列・整数＞ 2009年1月29日 (木) 13:00〜18:00 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ　大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 受講料: 無料 定員: 80名

SecurityDay2008 http://securityday.jp/

2008年12月16日(火)、東京 ベルサール八重洲において JPCERT コーディ ネーションセンター (JPCERT/CC)、日本インターネットプロバイダー協 会 (JAIPA)、日本データ通信協会 (Telecom-ISAC Japan)、日本ネット ワークセキュリティ協会 (JNSA)、日本電子認証協議会 (JCAF) 主催の 「SecurityDay2008 〜日本の情報セキュリティのあり方を考える〜」を 開催します。 日時：2008年12月16日(火) 9:50 開始 会場：ベルサール八重洲 2F 東京都中央区八重洲 1-3-7 八重洲ファースト フィナンシャルビル http://www.bellesalle.co.jp/bs_yaesu/images/shikihai.html 費用：5,000円 (税込) SecurityDay2008 への参加には、事前のお申し込みが必要です。参加費 は、当日会場受付での現金精算となりますので、予約完了後にメールで 送られる受講予約票を必ずご持参くださるようお願いいたします。 プログラム、参加申し込み等、詳細は以下の Web ページをご参照くだ さい。

SecurityDay2008 http://securityday.jp/?register JPCERT/CC http://www.jpcert.or.jp/event/sec2008-seminar.html

2008年もいよいよ残り少なくなって参りました。今年もこの場をお借り して、担当者が選んだコンピュータセキュリティにおける 2008年の重 大ニュースをご紹介いたします。 - DNS キャッシュポイズニング 2008年7月 DNS キャッシュサーバの脆弱性に関する問題が大きな話題 となりました。米国のセキュリティ研究者が効率的に DNS キャッシュ ポイズニングを行う手法を公開しました。同時に DNS サーバソフト ウエアのベンダーは対策版を公開し、DNS サーバ管理者は対策に追わ れることになりました。 [続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2008/at080014.txt - 大規模 SQL インジェクションと手法の進化 SQL インジェクションにより、正規のコンテンツに悪意あるサイトへ のリンクが埋め込まれるという事例が多発しました。IIS と SQL server の組み合わせに対する攻撃を行うツールやクッキーに SQL を 埋め込んで攻撃する手法などが確認されています。 SQL インジェクションによる Web サイト改ざんに関する注意喚起 http://www.jpcert.or.jp/at/2008/at080005.txt - Debian GNU/Linux の OpenSSL パッケージ問題 2008年5月 Debian の OpenSSL ライブラリで生成される乱数が推測さ れやすい事が発覚しました。問題は 2006年5月の修正によって起こり、 その後発見されないまま、放置されていました。「オープンソースの ソフトウエアでは多くの人によってコードをレビューされているため 安全」という神話が崩れ去りました。 OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等） http://www.debian.or.jp/blog/openssl_package_and_its_vulnerability.html - スパムメールが一時的に減少 2008年11月 多くの C&C サーバをホスティングしていた McColo 社が上流 ISP によりインターネット接続を遮断されました。専門家 の調査では、この直後にスパムメールの量が最大 75%減少しました。 シリコンバレー スパム発信元疑惑の組織解体で世界のスパム送信量が 75％減少 http://www.sophos.co.jp/pressoffice/news/articles/2008/11/slb-1112-McColo.html - 迷惑メール対策 2法の改正 2008年12月 特定電子メール法、特定商取引法が改正施行され、広告 などのメールを送る事業者は、受信者の事前同意が必要となりました。 これにより、事前に同意を得ていないユーザに広告宣伝メールを送信 することは認められなくなりました。 迷惑メール対策 http://www.soumu.go.jp/joho_tsusin/d_syohi/m_mail.html http://www.meti.go.jp/policy/economy/consumer/consumer/tokutei/meiwaku/index.html - Google ストリートビューのサービス開始 2008年8月 Google マップのストリートビューのサービスが日本で開 始されました。便利なサービスとして評価される一方で、新たなプラ イバシー問題として議論を呼びました。また Google マイマップのデ フォルトの公開設定や、登録地点の管理方法などについても問題とな りました。 Googleストリートビュー，面白いけど目的は何？ http://itpro.nikkeibp.co.jp/article/OPINION/20080905/314188/?ST=cloud&P=1 - 無線 LAN の暗号解読 無線 LAN で使用されている WEP について、以前より短時間で解読で きる手法が公開されました。2008年11月には WPA に対しても解読が 可能という発表がありました。今後、無線 LAN を導入する場合は、 WPA2 対応の機器を選定することをおすすめします。 無線LANセキュリティ規格「WPA」突破――その対策は？ http://www.itmedia.co.jp/news/articles/0811/11/news083.html - USB メモリを介したウイルス感染 USB メモリを介したウイルス感染が大きな話題になりました。USB メ モリだけでなく、携帯音楽プレーヤやデジタルフォトフレームなども 同様の感染経路となります。 USB メモリを経由して感染するマルウェア http://www.jpcert.or.jp/wr/2008/wr080401.html#Memo - 原田ウイルス作者逮捕 2008年1月 主にファイル共有ソフト経由で流通する原田ウイルスの作 者が逮捕され、著作権法違反と名誉毀損の罪で刑事告訴されました。 現行の法制度ではウイルスを作成することを直接取り締まることがで きないという問題点が改めて浮き彫りになりました。 ウイルス作者逮捕、「放流神」を騙る http://www.yomiuri.co.jp/net/security/goshinjyutsu/20080125nt0d.htm - 標的型攻撃の増加と対策手法の強化 JPCERT/CC や IPA などの調査によると標的型攻撃は今も増加してい ます。対策の一つとして、攻撃を模した無害なメールと添付ファイル を従業員に送信する「IT セキュリティ予防接種」などの訓練手法に 注目が集まっています。 標的型攻撃対策手法に関する調査報告書 http://www.jpcert.or.jp/research/2008/inoculation_200808.pdf 今年一年 JPCERT/CC REPORT のご愛読、誠にありがとうございました。 年内の JPCERT/CC REPORT 発行はあと 2回です。 2009年も JPCERT/CC REPORT をよろしくお願いいたします。