-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-5001 JPCERT/CC 2008-12-25 <<< JPCERT/CC REPORT 2008-12-25 >>> ―――――――――――――――――――――――――――――――――――――― ■12/14(日)〜12/20(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】「Microsoft Internet Explorer の XML 解析処理に脆弱性」に関する追加情報 【2】Apple Mac OS X に複数の脆弱性 【3】Mozilla 製品群に複数の脆弱性 【4】PHP にクロスサイトスクリプティングの脆弱性 【5】Opera ブラウザに複数の脆弱性 【6】冬期の長期休暇を控えて 【7】情報セキュリティ総合的普及啓発シンポジウム開催のお知らせ 【今週のひとくちメモ】OpenSSH の実験的機能 VisualHostKey ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr085001.html http://www.jpcert.or.jp/wr/2008/wr085001.xml ============================================================================ 【1】「Microsoft Internet Explorer の XML 解析処理に脆弱性」に関する追加情報 情報源 US-CERT Technical Cyber Security Alert TA08-352A Microsoft Internet Explorer Data Binding Vulnerability http://www.us-cert.gov/cas/techalerts/TA08-352A.html US-CERT Cyber Security Alert SA08-352A Microsoft Internet Explorer Data Binding Vulnerability http://www.us-cert.gov/cas/alerts/SA08-352A.html 概要 JPCERT/CC REPORT 2008-12-17 号【2】で紹介した「Microsoft Internet Explorer の XML 解析処理に脆弱性」に関する追加情報です。 2008年12月18日、Microsoft より本脆弱性を修正する定例外のセキュリ ティ更新プログラムが公開されました。詳細については、Microsoft が 提供する情報を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ情報 MS08-078 - 緊急 Internet Explorer 用のセキュリティ更新プログラム (960714) http://www.microsoft.com/japan/technet/security/bulletin/MS08-078.mspx Japan Vulnerability Notes JVNTA08-352A Microsoft Internet Explorer のデータバインディング処理における脆弱性 http://jvn.jp/cert/JVNTA08-352A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS08-078) http://www.cyberpolice.go.jp/important/2008/20081218_100815.html JPCERT/CC Alert 2008-12-18 Microsoft Internet Explorer の脆弱性 (MS08-078) に関する注意喚起 http://www.jpcert.or.jp/at/2008/at080023.txt JPCERT/CC REPORT 2008-12-17 【2】Microsoft Internet Explorer の XML 解析処理に脆弱性 http://www.jpcert.or.jp/wr/2008/wr084901.html#2 【2】Apple Mac OS X に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA08-350A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA08-350A.html US-CERT Cyber Security Alert SA08-350A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA08-350A.html 概要 Mac OS X および Mac OS X Server には、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨 害 (DoS) 攻撃を行ったり、権限を昇格したりするなどの可能性があり ます。 対象となる製品およびバージョンは以下の通りです。 - Apple Mac OS X 10.4.11 およびそれ以前 - Apple Mac OS X 10.5.5 およびそれ以前 - Apple Mac OS X Server 10.4.11 およびそれ以前 - Apple Mac OS X Server 10.5.5 およびそれ以前 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。 関連文書 (日本語) Apple Support HT3338 セキュリティアップデート 2008-008 / Mac OS X v10.5.6 のセキュリティコンテンツについて https://support.apple.com/kb/HT3338?viewlocale=ja_JP Apple Support HT3194 Mac OS X 10.5.6 アップデートについて http://support.apple.com/kb/HT3194?viewlocale=ja_JP Japan Vulnerability Notes JVNTA08-350A Apple 製品における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA08-350A/index.html 【3】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Mozilla has released Firefox 3.0.5 http://www.us-cert.gov/current/archive/2008/12/19/archive.html#mozilla_has_released_firefox_3 概要 Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が任意のコードを実行したり、 機密情報を取得したり、ユーザのブラウザ上で任意のスクリプトを実行 したりする可能性があります。 対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.5 - Firefox 2.0.0.20 - SeaMonkey 1.1.14 2008年12月24日現在、Thunderbird の修正プログラムは提供されていま せん。なお、2008年12月18日以前にこの問題への対策として公開されて いた Firefox 2.0.0.19 では、Windows 版に一部の修正が含まれていな かったため、その対策として Firefox 2.0.0.20 が公開されました。詳 細については、OS のベンダや配布元が提供する情報を参照してくださ い。 また、Firefox 2 のサポートは、Firefox 2.0.0.20 のリリースが最後 となります。Firefox 2 ユーザは、この機会に Firefox 3 へ移行する ことを強く推奨します。 関連文書 (日本語) Mozilla Japan Firefox 2 リリースノート - Firefox 2.0.0.20 の新機能と改良点 http://mozilla.jp/firefox/2.0.0.20/releasenotes/ Mozilla Japan Firefox 3 リリースノート - バージョン 3.0.5 - 2008/12/16 リリース http://mozilla.jp/firefox/3.0.5/releasenotes/ Mozilla Japan Mozilla Foundation セキュリティアドバイザリ http://www.mozilla-japan.org/security/announce/ 関連文書 (英語) SeaMonkey Project SeaMonkey 1.1.14 http://www.seamonkey-project.org/releases/seamonkey1.1.14/ Red Hat Security Advisory RHSA-2008:1036-7 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2008-1036.html Red Hat Security Advisory RHSA-2008:1037-7 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2008-1037.html 【4】PHP にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#50327700 PHP におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN50327700/index.html 概要 PHP には、クロスサイトスクリプティングの脆弱性があります。結果と して、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - PHP 5.2.7 およびそれ以前 なお、PHP の設定で display_errors=off である場合は、この問題の影 響を受けません。また、PHP 5.3.0alpha は、本脆弱性の影響を受けま せん。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに PHP を更新することで解決します。詳細については、ベ ンダや配布元が提供する情報を参照してください。 なお、配布元によると、PHP 4.X は、2007年12月31日をもってサポート 終了とされています。PHP 4.X を使用している場合は、PHP 5.2.X へアッ プグレードすることを推奨します。 関連文書 (英語) PHP PHP 5.2.8 Released! http://www.php.net/archive/2008.php#id2008-12-08-1 PHP PHP 5.2.8 Release Announcement http://www.php.net/releases/5_2_8.php 【5】Opera ブラウザに複数の脆弱性 情報源 US-CERT Current Activity Archive Opera Software releases Opera Version 9.63 http://www.us-cert.gov/current/archive/2008/12/19/archive.html#opera_software_releases_opera_version 概要 Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、ユーザのブラウザ上で任意のスクリ プトを実行したり、機密情報を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 9.63 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Opera ブラウザを更新することで解決します。 関連文書 (日本語) Opera Software Opera ブラウザ http://jp.opera.com/ Opera Software Opera 9.63 for Windows 更新履歴 http://jp.opera.com/docs/changelogs/windows/963/ 関連文書 (英語) Opera Software - Knowledge Base Advisory: Manipulating text input contents can allow execution of arbitrary code http://www.opera.com/support/kb/view/920/ Opera Software - Knowledge Base Advisory: HTML parsing flaw can cause Opera to execute arbitrary code http://www.opera.com/support/kb/view/921/ Opera Software - Knowledge Base Advisory: Long hostnames in file: URLs can cause execution of arbitrary code http://www.opera.com/support/kb/view/922/ Opera Software - Knowledge Base Advisory: Script injection in feed preview can reveal contents of unrelated news feeds http://www.opera.com/support/kb/view/923/ Opera Software - Knowledge Base Advisory: Built-in XSLT templates can allow cross-site scripting http://www.opera.com/support/kb/view/924/ 【6】冬期の長期休暇を控えて 情報源 JPCERT/CC 冬期の長期休暇を控えて http://www.jpcert.or.jp/pr/2008/pr080007.txt 概要 JPCERT/CC は 2008年12月22日、「冬期の長期休暇を控えて」を公開し ました。 冬期の長期休暇期間中におけるコンピュータセキュリティインシデント 発生の予防および緊急時の対応に関して、セキュリティ対策実施状況な らびに緊急時の連絡体制を事前に再確認していただきますようお願い致 します。 【7】情報セキュリティ総合的普及啓発シンポジウム開催のお知らせ 情報源 日本情報処理開発協会(JIPDEC) 情報セキュリティ総合的普及啓発シンポジウム開催概要 http://www.isms.jipdec.jp/seminar/fukyu-sympo09.html 概要 2009年1月28日、29日の両日に、財団法人日本情報処理開発協会主催の 「情報セキュリティ総合的普及啓発シンポジウム」が開催されます。今 回は「事業継続マネジメントの新たなる出発」を主要テーマとして取り 上げ、事業継続マネジメント専門家の方々の講演が予定されています。 日時: 1月28日(水) 午前10時00分〜午後5時10分 1月29日(木) 午前9時30分〜午後5時20分 場所: 日経ホール (日本経済新聞社内8F) 参加費: \10,000  詳細については上記情報源のページをご参照ください。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○OpenSSH の実験的機能 VisualHostKey OpenSSH v5.1 から、SSH サーバホスト鍵のフィンガープリントをより 人間が判別しやすいアスキーアートとして表示される機能が実験的に加 えられました。 初めて SSH サーバに接続する際には、SSH サーバホスト鍵のフィンガー プリントを確認し、自分が接続すべきサーバと通信を行っていることを 確認することが重要です。 VisualHostKey=yes というオプションを利用してホストに接続すると以 下のようなアスキーアートが表示されます。 user[~]: ssh -o VisualHostKey=yes host1 Host key fingerprint is df:f1:91:2d:fb:7e:f3:0a:38:71:20:91:e9:3c:ee:60 +--[ RSA 1024]----+ | ... . | | . +.B . | | . O.X o | | + B.O | | S o.= | | .E | | . | | | | | +-----------------+ 本機能はランダムな文字列を可視化し、人間にとって覚えやすい形で提 示することを目指したユニークな機能です。 参考文献 (英語) OpenSSH OpenSSH 5.1/5.1p1 http://www.openssh.com/txt/release-5.1 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSVLfwIx1ay4slNTtAQhOmAP/dkxBojh2ubgqPw6tRb7JF440+K13h3to Oo0CufSJDnuY/9xHlPuY+3TV6OP4SM5syKHfXI5skX3VSslXB57jtMkyqUySKCCU 6uxrm2bf3b5fReYm6ZGO0gdoCdS6NLO7M3p+EaES0FpL9Ohupb6yO5Dvsr95uADI yarMBsudWdg= =h/EL -----END PGP SIGNATURE-----