JPCERT-WR-2009-1801 2009-05-13 2009-04-26 2009-05-09

US-CERT Vulnerability Note VU#970180 http://www.kb.cert.org/vuls/id/970180 DOE-CIRC Technical Bulletin T-120 http://www.doecirc.energy.gov/bulletins/t-120.shtml

Adobe Reader および Acrobat の JavaScript の処理に脆弱性がありま す。結果として、遠隔の第三者が細工した PDF ファイルをユーザに閲 覧させることで任意のコードを実行する可能性があります。なお、攻撃 コードが公開されていることが確認されています。 対象となる製品およびバージョンは以下のとおりです。 - Adobe Reader および Acrobat (Pro、Pro Extended、および Standard) 9.1 およびそれ以前 - Adobe Reader および Acrobat (Pro、Pro Extended、および Standard) 8.1.4 およびそれ以前 - Adobe Reader および Acrobat (Pro、Pro Extended、および Standard) 7.1.1 およびそれ以前 また、PDF ドキュメントを閲覧するためのプラグインも影響を受ける可 能性があります。 2009年5月12日現在、この問題に対する解決策は提供されていません。 回避策としては、Adobe Reader および Acrobat で JavaScript を無効 化するなどの方法があります。なお、Adobe は 米国時間 2009年5月12 日に対策版の公開を予定しています。

Japan Vulnerability Notes JVNVU#970180 http://jvn.jp/cert/JVNVU970180/index.html Adobe Security bulletin APSA09-02 http://www.adobe.com/support/security/advisories/apsa09-02.html Adobe Product Security Incident Response Team (PSIRT) http://blogs.adobe.com/psirt/2009/05/adobe_reader_issue_update.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/05/08/archive.html#adobe_releases_security_bulletin_for3 DOE-CIRC Technical Bulletin T-128 http://www.doecirc.energy.gov/bulletins/t-128.shtml

Adobe Flash Media Server には、脆弱性があります。結果として、遠 隔の第三者がリモートプロシージャを実行する可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - Adobe Flash Media Streaming Server 3.5.1 およびそれ以前 - Adobe Flash Media Interactive Server 3.5.1 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Adobe が提供する情報 を参照してください。

Adobe Security bulletin APSB09-05 http://www.adobe.com/support/security/bulletins/apsb09-05.html

DOE-CIRC Technical Bulletin T-124 http://www.doecirc.energy.gov/bulletins/t-124.shtml

Linux カーネルには、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Linux カーネルを更新することで解決します。詳細につ いては、ベンダや配布元が提供する情報を参照してください。

Red Hat Security Advisory RHSA-2009:0451-2 https://rhn.redhat.com/errata/RHSA-2009-0451.html Red Hat Security Advisory RHSA-2009:0473-1 https://rhn.redhat.com/errata/RHSA-2009-0473.html DSA-1794-1 http://www.debian.org/security/2009/dsa-1794

Japan Vulnerability Notes JVN#36982346 http://jvn.jp/jp/JVN36982346/index.html Japan Vulnerability Notes JVN#11396739 http://jvn.jp/jp/JVN11396739/index.html Japan Vulnerability Notes JVN#76370393 http://jvn.jp/jp/JVN76370393/index.html Japan Vulnerability Notes JVN#28020230 http://jvn.jp/jp/JVN28020230/index.html

CGI RESCUE の複数の製品には、脆弱性があります。結果として、遠隔 の第三者が任意の宛先へ不正にメールを送信したり、ユーザのブラウザ 上で任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - 簡易BBS22 v.1.00 - 簡易BBS v10系 10.31 およびそれ以前のバージョン - 簡易BBS v9系 9.07 およびそれ以前のバージョン - 簡易BBS v8系 8.94 およびそれ以前のバージョン - 簡易BBS v8t系 8.93t およびそれ以前のバージョン - フォームメール v.1.41 およびそれ以前 - Webメーラー v1.03 およびそれ以前 この問題は CGI RESCUE が提供する修正済みのバージョンに、該当する 製品を更新することで解決します。

CGI RESCUE http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20081213132937 CGI RESCUE http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20090209180123

US-CERT Vulnerability Note VU#402580 http://www.kb.cert.org/vuls/id/402580

Java ベースの Web サーバ Jetty には、ディレクトリトラバーサルの 脆弱性があります。結果として、遠隔の第三者が細工した URL を処理 させることで、機密情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Jetty 6.1.16 およびそれ以前 - Jetty 7.0.0.M2 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに Jetty を更新 することで解決します。

Mort Bay Consulting http://jetty.mortbay.org/jetty/ Mort Bay Consulting http://jira.codehaus.org/browse/JETTY-1004

JPCERT/CC https://www.jpcert.or.jp/research/materials.html

2008年度に「C/C++ セキュアコーディング トワイライトセミナー」お よび「C/C++ セキュアコーディング ハーフデイキャンプ」と題して開 催した C/C++ セキュアコーディングセミナーの講義資料 (2008年度版) を公開しました。 全7回 (文字列、整数、動的メモリ管理、File I/O part1、File I/O part2、File I/O part3、書式指定文字列) の資料を各回ごとにまとめ たものです。 書籍「C/C++ セキュアコーディング」とともに、セキュアコーディング の自習や社内セミナーの資料としてご活用ください。

JPCERT/CC https://www.jpcert.or.jp/securecoding_book.html

財団法人インターネット協会事務局 http://www.iajapan.org/anti_spam/event/2009/conf0519/

5/19 コクヨホールにて「第７回迷惑メール対策カンファレンス」が開 催されます。今回のカンファレンスでは、前回 11月のカンファレンス での主題だった昨年 12月の改正法施行以降の最新の状況や、送信ドメ イン認証技術に関する話題がとりあげられます。 皆さまのご参加をお待ちしております。

財団法人インターネット協会事務局 http://www.iajapan.org/anti_spam/index.html

クロスサイトスクリプティングは、攻撃者がスクリプトをウェブページ に埋め込むこと等により、そのウェブ管理者の意図しない動作をユーザ のウェブブラウザ上で実行させる手法のひとつです。 攻撃者は、外部からスクリプトを埋め込むことのできるウェブページを 踏み台として使用することで、ユーザのウェブブラウザ上で悪意あるス クリプトを実行させることが可能になります。結果として、ユーザの認 証情報や入力内容を第三者のサイトに送信してしまうなどの可能性があ ります。 ウェブ管理者は、自身が管理するコンテンツにクロスサイトスクリプティ ングの脆弱性が潜んでいないか注意し、新しいコンテンツを公開する際 には事前にチェックしましょう。 独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/websecurity.html 財団法人 地方自治情報センター (LASDEC) http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html JPCERT/CC https://www.jpcert.or.jp/vh/vuln_website_guide.pdf JPCERT/CC https://www.jpcert.or.jp/ed/2008/ed080002_1104.pdf