JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2009 > Weekly Report 2009-04-15号

最終更新: 2009-04-15

Weekly Report 2009-04-15号


JPCERT-WR-2009-1501
JPCERT/CC
2009-04-15

<<< JPCERT/CC WEEKLY REPORT 2009-04-15 >>>

■04/05(日)〜04/11(土) のセキュリティ関連情報

目 次

【1】Cisco PIX および ASA に複数の脆弱性

【2】一太郎シリーズにバッファオーバーフローの脆弱性

【3】複数の VMware 製品に脆弱性

【4】地方自治情報センターがウェブ健康診断の仕様資料を公開

【5】第21回 FIRST Annual Conference 京都のご案内

【今週のひとくちメモ】担当ノート: 21st FIRST Annual Conference Kyoto

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr091501.txt
https://www.jpcert.or.jp/wr/2009/wr091501.xml

【1】Cisco PIX および ASA に複数の脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Security Advisory for ASA Adaptive Security Appliance and PIX Security Appliances
http://www.us-cert.gov/current/archive/2009/04/09/archive.html#cisco_releases_security_advisory_for9

DOE-CIRC Technical Bulletin T-098
Multiple Vulnerabilities in Cisco ASA Adaptive Security Appliance and Cisco PIX Security Appliances
http://www.doecirc.energy.gov/ciac/bulletins/t-098.shtml

概要

Cisco PIX Series Security Appliance (PIX) および Cisco 5500
Series Adaptive Security Appliance (ASA) には、複数の脆弱性があ
ります。結果として、遠隔の第三者が VPN の認証を回避したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

この問題は、Cisco が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Cisco が提供する情報
を参照してください。

関連文書 (英語)

Cisco Security Advisory 109974
Multiple Vulnerabilities in Cisco ASA Adaptive Security Appliance and Cisco PIX Security Appliances
http://www.cisco.com/warp/public/707/cisco-sa-20090408-asa.shtml

【2】一太郎シリーズにバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#33846134
一太郎シリーズにおけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN33846134/index.html

概要

ジャストシステムの一太郎シリーズには、バッファオーバーフローの脆
弱性があります。結果として、遠隔の第三者が細工したファイルをユー
ザに開かせることで、ユーザの権限で任意のコードを実行する可能性が
あります。

対象となる製品は以下の通りです。

- 一太郎2009
- 一太郎ガバメント2009
- 一太郎2009 体験版
- 一太郎2008
- 一太郎ガバメント2008
- 一太郎2007
- 一太郎ガバメント2007
- 一太郎2006
- 一太郎ガバメント2006
- 一太郎2005
- 一太郎文藝
- 一太郎2004
- 一太郎13
- 一太郎ビューア2009 バージョン 19.0.1.0 およびそれ以前 

この問題は、ジャストシステムが提供するアップデートモジュールを該
当する製品に適用することで解決します。詳細についてはジャストシス
テムが提供する情報を参照してください。

関連文書 (日本語)

ジャストシステム セキュリティ情報 JS09002
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js09002.html

独立行政法人 情報処理推進機構 セキュリティセンター
「一太郎シリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200904_ichitaro.html

@police
ジャストシステム社ワープロソフト一太郎の脆弱性について (4/8)
http://www.cyberpolice.go.jp/important/2009/20090408_100923.html

【3】複数の VMware 製品に脆弱性

情報源

VMware Security Advisories (VMSAs)
VMSA-2009-0006
http://www.vmware.com/security/advisories/VMSA-2009-0006.html

概要

複数の VMware 製品には脆弱性があります。結果として、ゲスト OS 上
のユーザが、ホスト OS 上で任意のコードを実行する可能性があります。

対象となる製品は以下の通りです。

- VMware Workstation 6.5.1 およびそれ以前
- VMware Player 2.5.1 およびそれ以前
- VMware ACE 2.5.1 およびそれ以前
- VMware Server 2.0
- VMware Server 1.0.8 およびそれ以前
- VMware Fusion 2.0.3 およびそれ以前
- VMware ESXi 3.5 without patch ESXe350-200904201-O-SG
- VMware ESX 3.5 without patch ESX350-200904201-SG
- VMware ESX 3.0.3 without patch ESX303-200904403-SG
- VMware ESX 3.0.2 without patch ESX-1008421

この問題は、VMware が提供する修正済みのバージョンに該当する製品
を更新することで解決します。詳細については VMware が提供する情報
を参照してください。

【4】地方自治情報センターがウェブ健康診断の仕様資料を公開

情報源

財団法人 地方自治情報センター (LASDEC)
ウェブ健康診断
http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html

概要

2009年4月6日、財団法人地方自治情報センターはウェブ健康診断事業 
(地方公共団体が運営する Web アプリケーションのセキュリティ状況を
診断する事業) の診断仕様を公開しました。地方公共団体向け Webアプ
リケーションの開発・運用・検査及び利用に関わるすべての方々のため
の参考資料として提供しています。

内容は、地方公共団体向けだけに限らず、一般的な Web アプリケーショ
ンにも役に立つ内容になっています。自サイトのセキュリティ状況の認
識の第一歩、きっかけの一つとしてご活用されてはいかがでしょうか。

【5】第21回 FIRST Annual Conference 京都のご案内

情報源

FIRST
21st Annual FIRST Conference Kyoto
http://conference.first.org/

概要

− 災害復旧・事業継続性・セキュリティ情報の共有 −

日本で初めて開催される、本カンファレンスは「余波:インシデント復
旧の技術と教訓」をテーマに、世界各国から集結する専門家やセキュリ
ティ対応チームが、災害復旧から学ぶインシデント対応などについて議
論を深めます。基調講演では、JR西日本 代表取締役副社長兼執行役員
佐々木隆之氏に、阪神・淡路大震災 (1995年) の復興、震災が鉄道シス
テムに与えた影響と復旧作業、そこで得た教訓をどのように対策に反映
したかについてお話しいただくほか、山口英氏や、ブルース・シュナイ
ヤー氏といった、著名なセキュリティ専門家による基調講演も予定され
ています。

また、その他セッションでは、有害サイトやマルウェアの動向、攻撃者
の手口、ネットワーク監視の方法、リスクマネジメント、インシデント
対応のベストプラクティスといった、エンジニア、セキュリティ担当者、
経営者等の様々な層に向けた幅広い展開になっています。

日本において、世界各地域におけるサイバーインシデントや脅威、対策
の傾向を把握し、各国のインシデント対応関係者とのネットワークを構
築することのできる絶好の機会となります。

本カンファレンスは、FIRST メンバ以外の方々もご参加いただけますの
で、この機会に是非、ご参加いただけますようお願いいたします。

開催日時:2009年6月28日(日)〜7月3日(金)

会場:ホテルグランヴィア京都 (京都駅、京都市)
      http://www.granvia-kyoto.co.jp/index.html
費用:早期参加登録料 (4月25日 18:00 GMT まで) $1900 USD
      FIRST メンバ早期参加登録料 (4月25日18:00 GMT まで) $1500 USD
      一日参加登録料 $800 USD

申込み方法:ウェブからの事前申し込み登録が必要です。
      https://reg.first.org/conference/

申込み及びお問い合わせ先:日本語対応・国内開催実行委員会事務局
      first-2009-office@e-side.co.jp

関連文書 (日本語)

JPCERT/CC
第21回 FIRST 年次会合を京都で開催することが決定
https://www.jpcert.or.jp/press/2008/PRL080715_FIRST.pdf

■今週のひとくちメモ

○担当ノート: 21st FIRST Annual Conference Kyoto

上記でも紹介している FIRST Conference 2009 ですが、アジアで開催
されるのはこれで 2回めとなります。はじめてアジア地域で開催された
のは、2005年シンガポールでのことでした。

FIRST カンファレンスの構成は、参加登録すれば誰でも参加できる一般
セッションと、FIRST 加盟チームのメンバのみとされる AGM (Annual
General Meeting) からなります。この他、FIRST には SIG (Special
Interest Group) という仕組みがあって、SIG の会合では、FIRST 加盟
チームでなくとも、SIG の許可があれば参加できます。

FIRST カンファレンスは、日曜日夜の Ice Breaker レセプションから
始まります。互いの状況を報告しあうグループがいたり、共通の知人を
通じて初めて顔を合せてこれからもよろしくと握手する姿が見られます。

カンファレンスでは、セッションの合間の休憩時間も貴重な情報交換の
場です。セッションの合間の休憩時間やランチタイムが長めに設定され
ているのは、このような時間を使ってたっぷり情報交換してくださいと
いう意図なのです。

興味深いトピックを提供してくれたスピーカに話しかけてみたり、日頃
気になっていたチームと顔合わせしたり、またランチタイムには、同じ
テーブルについた同士で互いの自己紹介をするなど、他チームとの情報
交換のチャンスが多数あります。

今回は、海外出張の費用をかけずに参加するまたとないチャンスです。
ぜひ参加をご検討ください。

参考文献 (日本語)

JPCERT/CC REPORT ひとくちメモコンテンツ(キーワード別)
FIRST (Forum of Incident Response and Security Teams) とは
https://www.jpcert.or.jp/wr/keyword_c.html#key_c155

参考文献 (英語)

FIRST
21st Annual FIRST Conference Kyoto
http://conference.first.org/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english