Mozilla 製品群に複数の脆弱性

JPCERT-WR-2009-0601 2009-02-12 2009-02-01 2009-02-07

Mozilla 製品群に複数の脆弱性 US-CERT Current Activity Archive Mozilla Releases Firefox Updates http://www.us-cert.gov/current/archive/2009/02/05/archive.html#mozilla_releases_firefox_updates DOE-CIRC Technical Bulletin T-054 Mozilla Firefox/Thunderbird/SeaMonkey Multiple Remote Vulnerabilities Bypass Same-Origin Restrictions http://www.doecirc.energy.gov/ciac/bulletins/t-054.shtml

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書をユーザに閲覧させることで任意のコードを実行したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃やクロスサイトスクリプティング攻撃を行ったりするなどの可能性があります。対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可能性があります。この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに、該当する製品を更新することで解決します。Mozilla からは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.6 なお、2009年2月10日現在、SeaMonkey および Thunderbird の修正プログラムは提供されていません。詳細については、OS のベンダや配布元が提供する情報を参照してください。

Mozilla Japan Firefox 3 リリースノート - バージョン 3.0.6 - 2009/02/03 リリース http://mozilla.jp/firefox/3.0.6/releasenotes/ Mozilla Japan Mozilla Foundation セキュリティアドバイザリ http://www.mozilla-japan.org/security/announce/ Red Hat Security Advisory RHSA-2009:0256-6 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2009-0256.html Red Hat Security Advisory RHSA-2009:0257-4 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2009-0257.html

Cisco のワイヤレス製品群に複数の脆弱性 US-CERT Current Activity Archive Cisco Releases Security Advisory for Cisco Wireless LAN Controllers http://www.us-cert.gov/current/archive/2009/02/05/archive.html#cisco_releases_security_advisory_for7

Cisco のワイヤレス製品群には、複数の脆弱性があります。結果として、遠隔の第三者が細工したリクエストやパケットを処理させることで、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となる製品は以下の通りです。 - 以下のプラットフォームで動作するバージョン 4.1 以降のソフトウェア - 全ての Cisco Wireless LAN Controller - Cisco Catalyst 6500 Series/7600 Series Wireless Services Module - Cisco Catalyst 3750 Series Integrated Wireless LAN Controller この問題は、Cisco が提供する修正済みのバージョンに、該当する製品のソフトウェアを更新することで解決します。詳細については Cisco が提供する情報を参照してください。

Cisco Security Advisory 108336 Multiple Vulnerabilities in Cisco Wireless LAN Controllers http://www.cisco.com/warp/public/707/cisco-sa-20090204-wlc.shtml

Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge の Web インタフェースに複数の脆弱性 US-CERT Vulnerability Note VU#882619 Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge cross-site scripting vulnerability http://www.kb.cert.org/vuls/id/882619 US-CERT Vulnerability Note VU#619499 Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge URL redirection vulnerability http://www.kb.cert.org/vuls/id/619499

Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge の Web インタフェースには、複数の脆弱性があります。結果として、遠隔の第三者が機密情報を取得したり、ユーザのブラウザ上で任意のスクリプトを実行したり、細工した URL でユーザを意図しないサイトに誘導したりする可能性があります。 2009年2月10日現在、この問題に対する解決策は提供されていません。回避策としては、リモートアクセスを許可しないなどの方法があります。なお、Rockwell Automation によれば、修正済みのファームウェアが 2009年7月に提供される予定です。詳細については、Rockwell Automation が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#619499 Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge に URL リダイレクションの脆弱性 http://jvn.jp/cert/JVNVU619499/index.html Japan Vulnerability Notes JVNVU#882619 Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge にクロスサイトスクリプティングの脆弱性 http://jvn.jp/cert/JVNVU882619/index.html Rockwell Automation, Inc. ControlLogix 1756-ENTB/A Ethernet/IP Bridge - Potential Security Vulnerabilities http://rockwellautomation.custhelp.com/cgi-bin/rockwellautomation.cfg/php/enduser/std_adp.php?p_faqid=57729

GoAhead Web サーバに脆弱性 US-CERT Vulnerability Note VU#124059 GoAhead Webserver information disclosure vulnerability http://www.kb.cert.org/vuls/id/124059

GoAhead Web サーバには、脆弱性があります。結果として、遠隔の第三者が細工した URL を処理させることで、Web サーバが設置されているシステム内の任意のファイルを閲覧する可能性があります。なお、 GoAhead Web サーバを組み込んでいる他のベンダの製品も影響を受ける可能性があります。 2009年2月10日現在、この問題に対する解決策は提供されていません。回避策としては、ネットワーク経由でのアクセスを限定するなどの方法があります。また、影響を受ける各社の製品については、各社が提供する情報を参照しくてださい。

Japan Vulnerability Notes JVNVU#124059 GoAhead WebServer に情報漏えいの脆弱性 http://jvn.jp/cert/JVNVU124059/index.html GoAhead Software Inc. GoAhead WebServer Overview http://www.goahead.com/products/webserver/default.aspx GoAhead Software Inc. GoAhead WebServer 2.1.8 Release Notes http://data.goahead.com/Software/Webserver/2.1.8/release.htm#security-features-can-be-bypassed-by-adding-an-extra-slash-in-the-url-bug01518 GoAhead Software Inc. GoAhead WebServer 2.1.8 Release Notes http://data.goahead.com/Software/Webserver/2.1.8/release.htm#bug-with-urls-like-asp

AREVA e-terra habitat に複数の脆弱性 US-CERT Vulnerability Note VU#337569 AREVA e-terrahabitat SCADA systems vulnerabilities http://www.kb.cert.org/vuls/id/337569

AREVA e-terra habitat には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコマンドを実行したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となるバージョンは以下の通りです。 - e-terra habitat 5.7 およびそれ以前のバージョンこの問題は、AREVA が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細については、AREVA が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#337569 AREVA e-terra habitat に複数の脆弱性 http://jvn.jp/cert/JVNVU337569/index.html AREVA T&D http://www.areva-td.com/ AREVA T&D Energy Management Systems http://www.areva-td.com/solutions/US_660_Energy+Management+Systems.html

Windows Service Pack ブロッカーツールキット期限終了 Microsoft は、Windows Service Pack の対応が完了していない業務アプリケーションなどの利用者や管理者のために、Windows Update などの自動更新で Service Pack を適用しないようにする SP ブロッカーツールキットを提供しています。 The Windows Blog において、2009年4月28日に Windows Vista SP1、 2009年5月19日に Windows XP SP3 の SP ブロッカーツールキットの有効期限が切れることがアナウンスされています。この期限を過ぎると、SP ブロッカーツールを使用していても Windows Update 経由で Service Pack が配布されます。 SP ブロッカーツールキットを利用している方は、期限までに Service Pack への対応を行っておくことをおすすめします。 Microsoft ダウンロードセンター Windows Service Pack ブロッカーツールキット http://www.microsoft.com/downloads/details.aspx?familyid=EC662F0F-4167-44E7-BA79-766679892BA2&displaylang=ja The Windows Blog Expiration of Service Pack Blocker Tool for Windows Vista & Windows XP http://windowsteamblog.com/blogs/windowsvista/archive/2009/01/29/expiration-of-service-pack-blocker-tool-for-windows-vista-amp-windows-xp.aspx