-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-1801 JPCERT/CC 2009-05-13 <<< JPCERT/CC WEEKLY REPORT 2009-05-13 >>> ―――――――――――――――――――――――――――――――――――――― ■04/26(日)〜05/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Reader および Acrobat に脆弱性 【2】Adobe Flash Media Server に脆弱性 【3】Linux カーネルに複数の脆弱性 【4】CGI RESCUE の複数の製品に脆弱性 【5】Mort Bay Jetty にディレクトリトラバーサルの脆弱性 【6】C/C++ セキュアコーディングセミナー資料公開 【7】第7回迷惑メール対策カンファレンス 【今週のひとくちメモ】クロスサイトスクリプティング ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2009/wr091801.html http://www.jpcert.or.jp/wr/2009/wr091801.xml ============================================================================ 【1】Adobe Reader および Acrobat に脆弱性 情報源 US-CERT Vulnerability Note VU#970180 Adobe Reader and Acrobat customDictionaryOpen() and getAnnots() JavaScript vulnerabilities http://www.kb.cert.org/vuls/id/970180 DOE-CIRC Technical Bulletin T-120 Adobe Reader 'spell.customDictionaryOpen()' JavaScript Function Remote Code Execution Vulnerability http://www.doecirc.energy.gov/bulletins/t-120.shtml 概要 Adobe Reader および Acrobat の JavaScript の処理に脆弱性がありま す。結果として、遠隔の第三者が細工した PDF ファイルをユーザに閲 覧させることで任意のコードを実行する可能性があります。なお、攻撃 コードが公開されていることが確認されています。 対象となる製品およびバージョンは以下のとおりです。 - Adobe Reader および Acrobat (Pro、Pro Extended、および Standard) 9.1 およびそれ以前 - Adobe Reader および Acrobat (Pro、Pro Extended、および Standard) 8.1.4 およびそれ以前 - Adobe Reader および Acrobat (Pro、Pro Extended、および Standard) 7.1.1 およびそれ以前 また、PDF ドキュメントを閲覧するためのプラグインも影響を受ける可 能性があります。 2009年5月12日現在、この問題に対する解決策は提供されていません。 回避策としては、Adobe Reader および Acrobat で JavaScript を無効 化するなどの方法があります。なお、Adobe は 米国時間 2009年5月12 日に対策版の公開を予定しています。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#970180 Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性 http://jvn.jp/cert/JVNVU970180/index.html 関連文書 (英語) Adobe Security bulletin APSA09-02 Buffer overflow issues in Adobe Reader and Acrobat http://www.adobe.com/support/security/advisories/apsa09-02.html Adobe Product Security Incident Response Team (PSIRT) Adobe Reader Issue Update http://blogs.adobe.com/psirt/2009/05/adobe_reader_issue_update.html 【2】Adobe Flash Media Server に脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Security Bulletin for Flash Media Server http://www.us-cert.gov/current/archive/2009/05/08/archive.html#adobe_releases_security_bulletin_for3 DOE-CIRC Technical Bulletin T-128 Adobe Flash Media Server Unspecified RPC Call Privilege Escalation Vulnerability http://www.doecirc.energy.gov/bulletins/t-128.shtml 概要 Adobe Flash Media Server には、脆弱性があります。結果として、遠 隔の第三者がリモートプロシージャを実行する可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - Adobe Flash Media Streaming Server 3.5.1 およびそれ以前 - Adobe Flash Media Interactive Server 3.5.1 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Adobe が提供する情報 を参照してください。 関連文書 (英語) Adobe Security bulletin APSB09-05 Updates available to address Flash Media Server privilege escalation issue http://www.adobe.com/support/security/bulletins/apsb09-05.html 【3】Linux カーネルに複数の脆弱性 情報源 DOE-CIRC Technical Bulletin T-124 Linux Kernel 'FWD-TSN' Chunk Remote Buffer Overflow Vulnerability http://www.doecirc.energy.gov/bulletins/t-124.shtml 概要 Linux カーネルには、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Linux カーネルを更新することで解決します。詳細につ いては、ベンダや配布元が提供する情報を参照してください。 関連文書 (英語) Red Hat Security Advisory RHSA-2009:0451-2 Important: kernel-rt security and bug fix update https://rhn.redhat.com/errata/RHSA-2009-0451.html Red Hat Security Advisory RHSA-2009:0473-1 Important: kernel security and bug fix update https://rhn.redhat.com/errata/RHSA-2009-0473.html DSA-1794-1 linux-2.6 -- denial of service/privilege escalation/information leak http://www.debian.org/security/2009/dsa-1794 【4】CGI RESCUE の複数の製品に脆弱性 情報源 Japan Vulnerability Notes JVN#36982346 CGI RESCUE 製簡易BBS22 におけるメールの不正送信が可能な脆弱性 http://jvn.jp/jp/JVN36982346/index.html Japan Vulnerability Notes JVN#11396739 CGI RESCUE 製簡易BBS におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN11396739/index.html Japan Vulnerability Notes JVN#76370393 CGI RESCUE 製フォームメールにおけるメールの不正送信が可能な脆弱性 http://jvn.jp/jp/JVN76370393/index.html Japan Vulnerability Notes JVN#28020230 CGI RESCUE 製 Webメーラーにおける HTTP ヘッダインジェクションの脆弱性 http://jvn.jp/jp/JVN28020230/index.html 概要 CGI RESCUE の複数の製品には、脆弱性があります。結果として、遠隔 の第三者が任意の宛先へ不正にメールを送信したり、ユーザのブラウザ 上で任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - 簡易BBS22 v.1.00 - 簡易BBS v10系 10.31 およびそれ以前のバージョン - 簡易BBS v9系 9.07 およびそれ以前のバージョン - 簡易BBS v8系 8.94 およびそれ以前のバージョン - 簡易BBS v8t系 8.93t およびそれ以前のバージョン - フォームメール v.1.41 およびそれ以前 - Webメーラー v1.03 およびそれ以前 この問題は CGI RESCUE が提供する修正済みのバージョンに、該当する 製品を更新することで解決します。 関連文書 (日本語) CGI RESCUE フォームメール、簡易BBS22、簡易BBS(普及版)の脆弱性情報 http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20081213132937 CGI RESCUE Webメーラー v1.04 セキュリティ修正版 http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20090209180123 【5】Mort Bay Jetty にディレクトリトラバーサルの脆弱性 情報源 US-CERT Vulnerability Note VU#402580 Jetty HTTP server directory traversal vulnerability http://www.kb.cert.org/vuls/id/402580 概要 Java ベースの Web サーバ Jetty には、ディレクトリトラバーサルの 脆弱性があります。結果として、遠隔の第三者が細工した URL を処理 させることで、機密情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Jetty 6.1.16 およびそれ以前 - Jetty 7.0.0.M2 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに Jetty を更新 することで解決します。 関連文書 (英語) Mort Bay Consulting Jetty http://jetty.mortbay.org/jetty/ Mort Bay Consulting Vulnerability in ResourceHandler and DefaultServlet with aliases http://jira.codehaus.org/browse/JETTY-1004 【6】C/C++ セキュアコーディングセミナー資料公開 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー資料 https://www.jpcert.or.jp/research/materials.html 概要 2008年度に「C/C++ セキュアコーディング トワイライトセミナー」お よび「C/C++ セキュアコーディング ハーフデイキャンプ」と題して開 催した C/C++ セキュアコーディングセミナーの講義資料 (2008年度版) を公開しました。 全7回 (文字列、整数、動的メモリ管理、File I/O part1、File I/O part2、File I/O part3、書式指定文字列) の資料を各回ごとにまとめ たものです。 書籍「C/C++ セキュアコーディング」とともに、セキュアコーディング の自習や社内セミナーの資料としてご活用ください。 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディング https://www.jpcert.or.jp/securecoding_book.html 【7】第7回迷惑メール対策カンファレンス 情報源 財団法人インターネット協会事務局 IAjapan 第7回迷惑メール対策カンファレンス http://www.iajapan.org/anti_spam/event/2009/conf0519/ 概要 5/19 コクヨホールにて「第7回迷惑メール対策カンファレンス」が開 催されます。今回のカンファレンスでは、前回 11月のカンファレンス での主題だった昨年 12月の改正法施行以降の最新の状況や、送信ドメ イン認証技術に関する話題がとりあげられます。 皆さまのご参加をお待ちしております。 関連文書 (日本語) 財団法人インターネット協会事務局 迷惑メール対策委員会 http://www.iajapan.org/anti_spam/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○クロスサイトスクリプティング クロスサイトスクリプティングは、攻撃者がスクリプトをウェブページ に埋め込むこと等により、そのウェブ管理者の意図しない動作をユーザ のウェブブラウザ上で実行させる手法のひとつです。 攻撃者は、外部からスクリプトを埋め込むことのできるウェブページを 踏み台として使用することで、ユーザのウェブブラウザ上で悪意あるス クリプトを実行させることが可能になります。結果として、ユーザの認 証情報や入力内容を第三者のサイトに送信してしまうなどの可能性があ ります。 ウェブ管理者は、自身が管理するコンテンツにクロスサイトスクリプティ ングの脆弱性が潜んでいないか注意し、新しいコンテンツを公開する際 には事前にチェックしましょう。 参考文献 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター 「安全なウェブサイトの作り方 改訂第3版」を公開 http://www.ipa.go.jp/security/vuln/websecurity.html 財団法人 地方自治情報センター (LASDEC) ウェブ健康診断 http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html JPCERT/CC ウェブサイト運営者のための脆弱性対応ガイド 付録6抜粋編 https://www.jpcert.or.jp/vh/vuln_website_guide.pdf JPCERT/CC 技術メモ - 安全な Web ブラウザの使い方 https://www.jpcert.or.jp/ed/2008/ed080002_1104.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSgodxYx1ay4slNTtAQiMjQP/R5eGe4tt9gqWsTqsAjAqplz0JqRDxsss 4UhbQtrYAILqEo2KTMSTl+A6tWNUB6oxcXGE/2OPEOU+quFf6lNDdJ1a4bGCI/XP WIIsZvi/jSLhM9htB6iy10cXDtvBYrJeoZfj6V45g8Mxe91KMXX6OtiL08J0vIh5 6miEB+VnHp0= =vKqO -----END PGP SIGNATURE-----