JPCERT-WR-2009-0701 2009-02-18 2009-02-08 2009-02-14

US-CERT Technical Cyber Security Alert TA09-041A http://www.us-cert.gov/cas/techalerts/TA09-041A.html US-CERT Cyber Security Alert SA09-041A http://www.us-cert.gov/cas/alerts/SA09-041A.html DOE-CIRC Technical Bulletin T-059 http://www.doecirc.energy.gov/ciac/bulletins/t-059.shtml DOE-CIRC Technical Bulletin T-060 http://www.doecirc.energy.gov/ciac/bulletins/t-060.shtml

Microsoft Windows、Internet Explorer、Exchange Server、SQL Server、Office および関連コンポーネントには、複数の脆弱性があり ます。結果として、遠隔の第三者が任意のコードを実行したり、権限を 昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ ります。 詳細については、Microsoft が提供する情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。なお、JPCERT/CC REPORT 2009-01-07【1】「Microsoft SQL Server に脆弱性」で紹介した問題に 対する修正も含まれます。

2009 年 2 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms09-feb.mspx マイクロソフト セキュリティ情報 MS09-002 - 緊急 http://www.microsoft.com/japan/technet/security/bulletin/ms09-002.mspx マイクロソフト セキュリティ情報 MS09-003 - 緊急 http://www.microsoft.com/japan/technet/security/bulletin/ms09-003.mspx マイクロソフト セキュリティ情報 MS09-004 - 重要 http://www.microsoft.com/japan/technet/security/bulletin/ms09-004.mspx マイクロソフト セキュリティ情報 MS09-005 - 重要 http://www.microsoft.com/japan/technet/security/bulletin/ms09-005.mspx Japan Vulnerability Notes JVNTA09-041A http://jvn.jp/cert/JVNTA09-041A/index.html @police http://www.cyberpolice.go.jp/important/2009/20090211_110342.html JPCERT/CC Alert 2009-02-11 http://www.jpcert.or.jp/at/2009/at090003.txt JPCERT/CC REPORT 2009-01-07 http://www.jpcert.or.jp/wr/2009/wr090101.html#1

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/02/13/archive.html#apple_releases_security_updates2

Mac OS X、Mac OS X Server、Java for Mac OS X、Safari for Windows には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコー ドを実行したり、権限を昇格したり、ユーザのブラウザ上で任意のスク リプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Mac OS X 10.4.11 - Mac OS X Server 10.4.11 - Mac OS X 10.5.6 - Mac OS X Server 10.5.6 - Java for Mac OS X 10.4, Release 7 - Java for Mac OS X 10.5 Update 2 - Safari 3.2.2 for Windows より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。

Apple Support HT3436 http://support.apple.com/kb/HT3436?viewlocale=ja_JP Apple Support HT3437 http://support.apple.com/kb/HT3437?viewlocale=ja_JP Apple Support HT3438 http://support.apple.com/kb/HT3438?viewlocale=ja_JP Apple Support HT3439 http://support.apple.com/kb/HT3439?viewlocale=ja_JP

Japan Vulnerability Notes JVN#29641290 http://jvn.jp/jp/JVN29641290/index.html

Becky! Internet Mail には、メール閲覧時の開封確認処理にバッファ オーバーフローの脆弱性があります。結果として、遠隔の第三者が細工 したメールを送信し、受信者に開封確認を送付させることで任意のコー ドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Becky! Internet Mail Ver.2.48.02 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに Becky! Internet Mail を更新することで解決します。

有限会社リムアーツ http://www.rimarts.co.jp/index-j.html 独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2009/200902_becky.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/02/12/archive.html#hp_releases_firmware_updates_for DOE-CIRC Technical Bulletin T-057 http://www.doecirc.energy.gov/ciac/bulletins/t-057.shtml

HP LaserJet、HP Color LaserJet および HP Digital Senders には、 脆弱性があります。結果として、遠隔の第三者がファイルにアクセスす る可能性があります。 対象となる製品およびバージョンは以下の通りです。 - バージョン 20080819 SPCL112A より前のファームウェアを搭載した 以下の製品 - HP LaserJet 2410 - HP LaserJet 2420 - HP LaserJet 2430 - バージョン 20080819 SPCL015A より前のファームウェアを搭載した 以下の製品 - HP LaserJet 4250 - HP LaserJet 4350 - バージョン 20080819 SPCL110A より前のファームウェアを搭載した 以下の製品 - HP LaserJet 9040 - HP LaserJet 9050 - バージョン 09.120.9 より前のファームウェアを搭載した以下の製品 - HP LaserJet 4345mfp - HP 9200C Digital Sender - バージョン 46.200.9 より前のファームウェアを搭載した以下の製品 - HP Color LaserJet 4730mfp - バージョン 08.110.9 より前のファームウェアを搭載した以下の製品 - HP LaserJet 9040mfp - HP LaserJet 9050mfp - HP Color LaserJet 9500mfp この問題は、HP が提供する修正済みのバージョンに、該当する製品の ファームウェアを更新することで解決します。詳細については HP が提 供する情報を参照してください。

HP Support document c01623905 http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01623905

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/02/12/archive.html#hp_releases_security_bulletin_for

HP OpenView Network Node Manager (OV NNM) には、脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - HP-UX、Linux、Solaris および Windows 上で動作する以下のバージョ ン - HP OpenView Network Node Manager v7.01、v7.51、v7.53 この問題は、HP が提供するパッチを HP OpenView Network Node Manager に適用することで解決します。詳細については、HP が提供す る情報を参照してください。

HP Support document c01661610 http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01661610

US-CERT Vulnerability Note VU#310355 http://www.kb.cert.org/vuls/id/310355

GE Fanuc の iFIX には、複数の脆弱性があります。結果として、遠隔 の第三者が認証情報を含んだファイルにアクセスしたり、ネットワーク トラフィックを傍受したりするなどの可能性があります。 対象となるバージョンは以下の通りです。 - HMI/SCADA - iFIX 5.0 およびそれ以前 2009年2月17日現在、この問題に対する解決策は提供されていません。 詳細については、GE Fanuc が提供する情報を参照してください。

GEファナック・インテリジェント・プラットフォームス株式会社 http://www.gefanucautomation.co.jp/ifix-ta.html GEファナック・インテリジェント・プラットフォームス株式会社 http://www.gefanucautomation.co.jp/support.html Japan Vulnerability Notes JVNVU#310355 http://jvn.jp/cert/JVNVU310355/index.html General Electric Company http://support.gefanuc.com/support/index?page=kbchannel&id=S:KB13253&actp=search

Japan Vulnerability Notes JVN#45184501 http://jvn.jp/jp/JVN45184501/index.html

Microsoft の検索プラットフォーム FAST ESP の管理画面には、クロス サイトスクリプティングの脆弱性があります。結果として、遠隔の第三 者がユーザのブラウザ上で任意のスクリプトを実行する可能性がありま す。 対象となるバージョンは以下の通りです。 - FAST ESP 5.1.5 およびそれ以前 この問題は、ベンダが提供する修正済みのバージョンに FAST ESP を更 新することで解決します。

FAST http://www.fastsearch.co.jp/product/list.html#l1 FAST http://www.fastsearch.com/l3a.aspx?m=991

JPCERT/CC https://www.jpcert.or.jp/event/half-day_Camp-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を作り込 まない安全なプログラムをコーディングする具体的なテクニックとノウ ハウを学んでいただくためのセミナー「C/C++ セキュアコーディング ハーフデイキャンプ」を 1月、2月、3月の三回にわたり開催しています。 参加費は無料です。 ご好評につき多数のご応募をいただき、第2回セミナーの空席も残りわ ずかとなりました。参加ご希望の方は、お早めにお申し込み下さい。 日時: part2 ＜File I/O part1,part2,part3＞ 2009年2月26日 (木) 13:00〜18:00 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ　大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 受講料: 無料 定員: 80名

「サイバー犯罪に関する条約 (略称: サイバー犯罪条約)」は、サイバー 犯罪から社会を保護することを目的として、コンピュータ・システムに 対する違法なアクセス等一定の行為の犯罪化、コンピュータ・データの 迅速な保全等に係る刑事手続の整備、犯罪人引渡し等に関する国際協力 等につき規定するものです。 2001年11月8日に欧州評議会で採択され、2004年7月1日に発効しました。 現在、23の国が条約加盟国となっており、さらに23の国が同条約に署名 し、加盟手続き中となっています。 日本は、欧州評議会メンバー国ではありませんが、本条約の制定作業に 参加したことから、メンバー国と同様に本条約に署名することを許され、 2001年11月23日に署名を行いました。 その後、本条約については、2004年4月21日に国会承認されましたが、 この条約への対応のための国内法として 2005年10月4日に国会に提出さ れた「犯罪の国際化及び組織化並びに情報処理の高度化に対処するため の刑法等の一部を改正する法律案」が未だ継続審議中の扱いとされてい ることから、今だ加盟には至っていません。 外務省 http://www.mofa.go.jp/mofaj/gaiko/treaty/treaty159_4.html 経済産業省 http://www.meti.go.jp/kohosys/press/0002626/0/020418cyber.htm 法務省 http://www.moj.go.jp/HOUAN/KEIHO5/refer02.html 日本弁護士連合会 http://www.nichibenren.or.jp/ja/committee/list/kokusai_keiji/kokusai_keiji_a.html Council Europe http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=7&DF=2/17/2009&CL=ENG