-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-0401 JPCERT/CC 2010-02-03 <<< JPCERT/CC WEEKLY REPORT 2010-02-03 >>> ―――――――――――――――――――――――――――――――――――――― ■01/24(日)〜01/30(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chrome に複数の脆弱性 【2】Windows カーネルに脆弱性 【3】Cisco Unified MeetingPlace に複数の脆弱性 【4】GNU gzip に複数の脆弱性 【5】Linux カーネルの IPv6 jumbogram 処理に脆弱性 【6】制御システムセキュリティカンファレンス 2010 開催のお知らせ 【今週のひとくちメモ】情報セキュリティ月間 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr100401.html https://www.jpcert.or.jp/wr/2010/wr100401.xml ============================================================================ 【1】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 4.0.249.78 http://www.us-cert.gov/current/archive/2010/01/29/archive.html#google_releases_chrome_4_0 概要 Google Chrome には、複数の脆弱性があります。結果として、遠隔の第 三者が機密情報を取得したり、任意のコードを実行したり、ブラウザを クラッシュさせたりする可能性があります。 対象となるバージョンは以下の通りです。 - Google Chrome 4.0.249.78 よりも前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chromium Security Bugs http://sites.google.com/a/chromium.org/dev/Home/chromium-security/chromium-security-bugs Google Google Chrome Releases http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html 【2】Windows カーネルに脆弱性 情報源 マイクロソフト セキュリティ アドバイザリ (979682) Windows カーネルの脆弱性により、特権が昇格される http://www.microsoft.com/japan/technet/security/advisory/979682.mspx 概要 Windows カーネルには、脆弱性があります。結果として、ローカルユー ザがカーネルモードで任意のコードを実行する可能性があります。 詳細については、マイクロソフトが提供する情報を参照してください。 2010年2月2日現在、この問題に対するセキュリティ更新プログラムは提 供されていません。 回避策として、マイクロソフトは「Fix it」を公開しています。詳細に ついては、下記関連文書を参照してください。なお、回避策を適用する と 16-bit アプリケーションを実行できなくなります。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ Windows カーネルの脆弱性により、特権が昇格される http://support.microsoft.com/kb/979682 【3】Cisco Unified MeetingPlace に複数の脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Security Advisory for Unified MeetingPlace http://www.us-cert.gov/current/archive/2010/01/29/archive.html#cisco_releases_security_advisory_for16 DOE-CIRC Technical Bulletin T-296 Cisco Security Advisory: Multiple Vulnerabilities in Cisco Unified MeetingPlace http://www.doecirc.energy.gov/bulletins/t-296.shtml 概要 Cisco Unified MeetingPlace には、複数の脆弱性があります。結果と して、遠隔の第三者が権限を昇格したり、サービス運用妨害 (DoS) 攻 撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Unified MeetingPlace 5、6、7 この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified MeetingPlace を更新することで解決します。なお、Cisco Unified MeetingPlace 5 は 2009年4月にサポートが終了しています。後継のバー ジョンへ更新することをお勧めします。 関連文書 (英語) Cisco Security Advisory 111013 Multiple Vulnerabilities in Cisco Unified MeetingPlace http://www.cisco.com/warp/public/707/cisco-sa-20100127-mp.shtml 【4】GNU gzip に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#188937 GNU gzip における複数の脆弱性 https://jvn.jp/cert/JVNVU188937/index.html 概要 GNU gzip には複数の脆弱性があります。結果として、遠隔の第三者が 細工した gzip 圧縮ファイルを処理させることで、サービス運用妨害 (DoS) 攻撃を行ったり、ユーザの権限で任意のコードを実行したりする 可能性があります。 対象となるバージョンは以下の通りです。 - GNU gzip 1.3.3 〜 1.3.14 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに GNU gzip を更新することで解決します。詳細については、 ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Debian セキュリティ勧告 DSA-1974-1 gzip -- 複数の脆弱性 http://www.debian.org/security/2010/dsa-1974.ja.html 関連文書 (英語) Free Software Foundation GNU gzip - News: gzip-1.4 released (stable/security) http://savannah.gnu.org/forum/forum.php?forum_id=6153 Red Hat Security Advisory RHSA-2010:0061-1 Moderate: gzip security update https://rhn.redhat.com/errata/RHSA-2010-0061.html CERT-FI Reports CERT-FI Advisory on GNU gzip http://www.cert.fi/en/reports/2010/vulnerability216853.html 【5】Linux カーネルの IPv6 jumbogram 処理に脆弱性 情報源 Japan Vulnerability Notes JVNVU#571860 Linux カーネルの IPv6 jumbogram 処理に脆弱性 https://jvn.jp/cert/JVNVU571860/index.html 概要 Linux カーネルには、IPv6 jumbogram の処理に脆弱性があります。結 果として、遠隔の第三者が細工した IPv6 jumbogram を処理させること でサービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、 network namespace を有効にしている Linux カーネルのみ本脆弱性の 影響を受けます。 対象となる製品は以下の通りです。 - 2008-10-8 以降の Linux カーネル - 2.6.31 以降をベースにした Linux カーネル この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Linux カーネルを更新することで解決します。詳細につ いては、ベンダや配布元が提供する情報を参照してください。 関連文書 (英語) The Linux Kernel Archives ipv6: skb_dst() can be NULL in ipv6_hop_jumbo(). http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=2570a4f5428bcdb1077622342181755741e7fa60 CERT-FI Reports CERT-FI Advisory on Linux IPv6 Jumbogram handling http://www.cert.fi/en/reports/2010/vulnerability341748.html 【6】制御システムセキュリティカンファレンス 2010 開催のお知らせ 情報源 JPCERT/CC イベント情報 制御システムセキュリティカンファレンス 2010 https://www.jpcert.or.jp/ics/conference2010.html 概要 ご好評をいただいた昨年度に続いて今年度も制御システムセキュリティ カンファレンスを開催いたします。 2010年2月に開催するカンファレンスでは、制御システム関係者それぞ れが果たすべき役割を明らかにする事で国内における制御システムの情 報セキュリティ対策の実効的推進に資することを目的に掲げています。 そして ICT の脅威から制御システムを守り、この安全かつ安心な構築・ 運用に貢献したいと考えています。 日時および場所: 2010年2月9日 (火) 09:30 - 16:30 (受付開始 09:00) 都市センターホテル オリオン (東京都千代田区平河町2-4-1) 参加費: 無料 (ただし、事前に参加申込みが必要です) 定 員: 100名 (定員になり次第締め切りとなります) 申込方法: お申し込み用のフォームをお使いの上、申込先メールアドレスまで、 ご連絡ください。 詳細については、関連文書のカンファレンスの URL をご参照ください。 関連文書 (日本語) 制御システムセキュリティカンファレンス 2010 https://www.jpcert.or.jp/ics/conference2010.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○情報セキュリティ月間 平成18年10月に開催された情報セキュリティ政策会議によって、毎年 2月2日が「情報セキュリティの日」に定められました。以降この時期に は、経済産業省による『CHECK PC!』キャンペーンや情報セキュリティ 対策推進コミュニティによる「みんなで情報セキュリティ強化宣言!」 などの活動が行われてきました。 さらに、今年度から 2月を「情報セキュリティ月間」と定める政府の発 表があり、様々な情報セキュリティに関する普及啓発強化のための活動 が企画されています。 情報セキュリティの普及啓発の一助として、この機会をご活用ください。 経済産業省 CHECK PC! http://www.checkpc.go.jp/ 情報セキュリティ対策推進コミュニティ みんなで「情報セキュリティ」強化宣言! http://www.netanzen.jp/ 参考文献 (日本語) 内閣官房情報セキュリティセンター 情報セキュリティ月間 http://www.nisc.go.jp/ism/ 内閣官房情報セキュリティセンター 情報セキュリティの日 http://www.nisc.go.jp/isd/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJbGON+AAoJEDF9l6Rp7OBIYNQH/R6ETumO6RmwEmCoShgoZcjH QJIJEY3QoGaabfBIeDyivlRbtBRfG+pCfl5TWo73+WxjeDgajrz7CpLhTFNVv4+w PyUD6JyO+03HUkwzgfRKTQj/juw6qbiPP3Q97GO5sDHVl3aFEFLVpOTPFQ7KqLfN ByQn13hZeQ1WUWEP3Sh068f5qszMx1IFr0gX41tEOE5imgrqt1l2aWXrv4ptrL+8 lY8XVYNu8Th/yDAFZGpN6l5HLPjrcA13bSGSSQYAK3LomQuyeqgnvJ6d8tiZfv66 X+6pdcys8ERgNac3k1y9QtMzGwfjme72dFQUOfSx5SQW5qStxWJZhSKzGeXsk7U= =/LoX -----END PGP SIGNATURE-----