<<< JPCERT/CC WEEKLY REPORT 2009-07-01 >>>

■06/21(日)〜06/27(土) のセキュリティ関連情報

目　次

【1】Adobe Shockwave Player に脆弱性

【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報

【3】Movable Type に複数の脆弱性

【4】レッツPHP! の複数の製品に脆弱性

【今週のひとくちメモ】JPNIC の lame delegation への取り組み再開のお知らせ

【1】Adobe Shockwave Player に脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Update for Shockwave Player
http://www.us-cert.gov/current/archive/2009/06/26/archive.html#adobe_releases_update_for_shockwave

概要

Adobe Shockwave Player には、脆弱性があります。結果として、遠隔
の第三者が細工したファイルを処理させることで任意のコードを実行す
る可能性があります。

対象となるバージョンは以下のとおりです。

- Adobe Shockwave Player 11.5.0.596 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに Shockwave
Player を更新することで解決します。詳細については、Adobe が提供
する情報を参照してください。

関連文書 (英語)

Adobe Security Bulletin APSB09-08
Security Update available for Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb09-08.html

【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報

情報源

Mozilla Japan
Thunderbird リリースノート - Thunderbird 2.0.0.22 での変更点
http://mozilla.jp/thunderbird/2.0.0.22/releasenotes/

Mozilla
Security Advisories for SeaMonkey 1.1
http://www.mozilla.org/security/known-vulnerabilities/seamonkey11.html#seamonkey1.1.17

概要

JPCERT/CC REPORT 2009-06-17 号【3】で紹介した「Mozilla 製
品群に複数の脆弱性」に関する追加情報です。 
 
Thunderbird の修正済みバージョン 2.0.0.22 および、SeaMonkey の修
正済みバージョン 1.1.17 が提供されました。詳細については、OS の
ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC WEEKLY REPORT 2009-06-17
【3】Mozilla 製品群に複数の脆弱性
https://www.jpcert.or.jp/wr/2009/wr092301.html#3

【3】Movable Type に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#08369659
Movable Type におけるアクセス制限回避の脆弱性
https://jvn.jp/jp/JVN08369659/index.html

Japan Vulnerability Notes JVN#86472161
Movable Type におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN86472161/index.html

概要

Movable Type には、複数の脆弱性があります。結果として、遠隔の第
三者が任意の宛先へ不正にメールを送信したり、ユーザのブラウザ上で
任意のスクリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Movable Type 4.25 Enterprise およびそれ以前
- Movable Type 4.25 (Professional Pack, Community Pack を同梱) 
  およびそれ以前
- Movable Type Commercial 4.25 (Professional Pack を同梱) および
  それ以前
- Movable Type 4.25 (Open Source) およびそれ以前

この問題は、シックス・アパートが提供する修正済みのバージョンに 
Movable Type を更新することで解決します。詳細については、シック
ス・アパートが提供する情報を参照してください。なお、本脆弱性は
4.26 で修正されていますが、2009年6月30日現在、最新版として 4.261
が公開されています。

関連文書 (日本語)

シックス・アパート
Movable Type 4.26 の出荷を開始します
http://www.movabletype.jp/blog/movable_type_426.html

シックス・アパート
Movable Type 4.261 の出荷を開始します
http://www.movabletype.jp/blog/movable_type_4261.html

【4】レッツPHP! の複数の製品に脆弱性

情報源

Japan Vulnerability Notes JVN#93827000
レッツPHP! 製 Tree BBS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN93827000/index.html

Japan Vulnerability Notes JVN#20219071
レッツPHP! 製 PHP-I-BOARD におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN20219071/index.html

Japan Vulnerability Notes JVN#32788272
レッツPHP! 製 PHP-I-BOARD におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN32788272/index.html

概要

レッツPHP! の複数の製品には、脆弱性があります。結果として、遠隔
の第三者がサーバ内にある任意のファイルを閲覧したり、ユーザのブラ
ウザ上で任意のスクリプトを実行したりする可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- Tree BBS 2004/11/23 公開版およびそれ以前
- PHP-I-BOARD v1.2 およびそれ以前

この問題は、レッツPHP! が提供する修正済みのバージョンに、該当す
る製品を更新することで解決します。

関連文書 (日本語)

レッツPHP!
Tree BBS
http://php.s3.to/bbs/bbs6.php

レッツPHP!
PHP-I-BOARD
http://php.s3.to/bbs/bbs8.php

■今週のひとくちメモ

○JPNIC の lame delegation への取り組み再開のお知らせ

JPNIC は、適切に設定されていない (lame delegation) ネームサーバ
の担当者への通知と委任停止の取り組みを 2009年7月7日(火) より再開
するとアナウンスしています。

逆引きネームサーバを適切に設定していない状態が 15日間連続した場
合、JPNIC からネームサーバ管理者へ通知を行い、また適切に設定して
いない状態が 45日間連続した場合、委任を停止するとのことです。

lame delegation 状態はインターネット上に無駄なトラフィックを発生
させ、ネームサーバへの負荷を高めるなどの悪影響を及ぼします。

ネームサーバ管理者は設定を確認するとともに lame delegation に関
する通知を受け取った場合には、速やかに状況の確認と対処を行ってく
ださい。

参考文献 (日本語)

社団法人日本ネットワークインフォメーションセンター
適切に設定されていない逆引きネームサーバの通知と委任停止の取り組み再開のお知らせ
http://www.nic.ad.jp/ja/topics/2009/20090525-01.html

社団法人日本ネットワークインフォメーションセンター
インターネット10分講座：lame delegation
http://www.nic.ad.jp/ja/newsletter/No36/0800.html

■JPCERT/CC からのお願い