-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-0801 JPCERT/CC 2010-03-03 <<< JPCERT/CC WEEKLY REPORT 2010-03-03 >>> ―――――――――――――――――――――――――――――――――――――― ■02/21(日)〜02/27(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Download Manager に脆弱性 【2】APC Network Management Card の Web インタフェースに複数の脆弱性 【3】tDiary 付属のプラグイン tb-send.rb にクロスサイトスクリプティングの脆弱性 【4】Internet Explorer を対象とする攻撃コード (Aurora) について 【今週のひとくちメモ】PHP 5.2.13 リリース ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr100801.html https://www.jpcert.or.jp/wr/2010/wr100801.xml ============================================================================ 【1】Adobe Download Manager に脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases a Security Update for Download Manager http://www.us-cert.gov/current/archive/2010/02/26/archive.html#adobe_releases_a_security_update DOE-CIRC Technical Bulletin T-312 Adobe Download Manager Unspecified Arbitrary File Download Vulnerability http://www.doecirc.energy.gov/bulletins/t-312.shtml 概要 Adobe Download Manager (DLM) には脆弱性があります。結果として、 遠隔の第三者が任意のプログラムをユーザのコンピュータにインストー ルする可能性があります。 対象となるバージョンは以下の通りです。 - Windows で動作する Adobe Download Manager 1.6.2.60 およびそれ 以前 2010年2月22日以前に Adobe 製品をダウンロードした際に Adobe Download Manager (DLM) をインストールしていた場合は脆弱性 の影響を受ける可能性があります。Adobe が提供する情報にしたがって、 AdobeDownload Manager (DLM) を削除してください。詳細については、 下記関連文書を参照してください。 関連文書 (日本語) Adobe TechNote Adobe Download Managerに見つかった脆弱性の確認方法と対策について http://kb2.adobe.com/jp/cps/826/cpsid_82630.html 関連文書 (英語) Adobe Security Bulletin APSB10-08 Security update available for Adobe Download Manager http://www.adobe.com/support/security/bulletins/apsb10-08.html 【2】APC Network Management Card の Web インタフェースに複数の脆弱性 情報源 US-CERT Vulnerability Note VU#166739 APC Network Management Card web interface vulnerable to cross-site scripting and cross-site request forgery http://www.kb.cert.org/vuls/id/166739 概要 APC Network Management Card の Web インタフェースには、クロスサ イトスクリプティングおよびクロスサイトリクエストフォージェリの脆 弱性があります。結果として、Web インタフェースにログイン中のユー ザに細工した URL を読み込ませることで、遠隔の第三者が意図しない 操作を行う可能性があります。 対象となるバージョンは以下の通りです。 - APC Network Management Card Firmware 3.7.1 - APC Network Management Card Firmware 5.1.0 この問題は、APC が提供する修正済みのバージョンに APC Network Management Card のファームウェアを更新することで解決します。 関連文書 (日本語) American Power Conversion Corp. 製品/技術情報 100208121404YK APCセキュリティ勧告-Network Management CardのWebインタフェースへの不正なアクセスを許す脆弱性について http://sturgeon.apcc.com/kbase.nsf/ForExternal/5B8A819646C0B666492576C40011B57C?OpenDocument American Power Conversion Corp. ダウンロード APC製品 ファームウェアアップグレードモジュール http://sturgeon.apcc.com/Kbase.nsf/ForExternal/0202D3F49461620B492576AB000D3111?OpenDocument Japan Vulnerability Notes JVNVU#166739 APC Network Management Card のウェブインターフェースに複数の脆弱性 https://jvn.jp/cert/JVNVU166739/index.html 関連文書 (英語) American Power Conversion Corp. Knowledge Base 10887 Cross Site Scripting & Forgery Issue (XSS/CSRF) in NMC-Based Products http://nam-en.apc.com/cgi-bin/nam_en.cfg/php/enduser/std_adp.php?p_faqid=10887&p_created=1261587018&p_topview=1 【3】tDiary 付属のプラグイン tb-send.rb にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#73331060 tDiary 付属のプラグイン tb-send.rb におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN73331060/index.html 概要 Web 日記支援ソフト tDiary 付属のプラグイン tb-send.rb には、クロ スサイトスクリプティングの脆弱性があります。結果として、遠隔の第 三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - tDiary 2.2.2 (フルセット) およびそれ以前 - tDiary 2.2.2 (プラグイン集) およびそれ以前 なお、開発者によると tDiary 2.3.x はこの問題の影響を受けません。 この問題は、配布元が提供する修正済みのバージョンに tDiary を更新 することで解決します。詳細については、配布元が提供する情報を参照 してください。 関連文書 (日本語) tDiary.org tDiaryの脆弱性に関する報告(2010-02-25) http://www.tdiary.org/20100225.html tDiary.org tDiary 2.2.3リリース http://www.tdiary.org/20100224.html 【4】Internet Explorer を対象とする攻撃コード (Aurora) について 情報源 US-CERT Technical Cyber Security Alert TA10-055A Malicious Activity Associated with "Aurora" Internet Explorer Exploit http://www.us-cert.gov/cas/techalerts/TA10-055A.html 概要 昨年12月半ばに、米国の様々な企業に対する攻撃活動が多数観測されま した。調査の結果、多数のユーザの電子メールアカウントが第三者によっ て悪用されていることが明らかになったとして、US-CERT は、この問題 に関して注意を喚起しています。 この攻撃活動で使われた攻撃コードの一部は、Internet Explorer の脆 弱性を悪用しており、細工した HTML 文書または Microsoft Office 文 書をユーザが閲覧することで、任意のコードが実行される可能性があり ます。 マイクロソフトが公開した MS10-002 を適用することで、上記のコード による攻撃を防ぐことができます。詳細については、下記関連文書を参 照してください。 関連文書 (日本語) マイクロソフト セキュリティ情報 MS10-002 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (978207) http://www.microsoft.com/japan/technet/security/bulletin/ms10-002.mspx JPCERT/CC WEEKLY REPORT 2010-02-17 【1】2010年2月 Microsoft セキュリティ情報について https://www.jpcert.or.jp/wr/2010/wr100601.html#1 JVNTA10-021A Internet Explorer に複数の脆弱性 https://jvn.jp/cert/JVNTA10-021A/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○PHP 5.2.13 リリース PHP 5.2.13 が、2010年2月25日にリリースされました。セキュリティの 問題を含む多くの修正が行われています。PHP 5.2 系の利用者は 5.2.13 へバージョンアップすることをおすすめします。 また、より新しい系列へ移行するための移行ガイドが公開されています。 お使いの PHP のバージョンを確認するとともに、今後のバージョンアッ プへの対応について検討しておくことをおすすめします。 参考文献 (日本語) PHP PHP 5.1.x から PHP 5.2.x への移行 http://www.php.net/manual/ja/migration52.php 参考文献 (英語) PHP PHP 5.2.13 Released! http://www.php.net/archive/2010.php#id2010-02-25-1 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJLjbaoAAoJEDF9l6Rp7OBIbxsH/0TKWv5uY7EvWWkJPhBLg4/n bsenZ9RGSxATljwGgYLj84wMrE8asuojFmR81lxexHltukGN4OkOnUuue7xWwj56 y29fwxPkknI0oJ5FXaxUl72F8mv7eDyS96KSoHmdFth9v52sb/xQNlO/wtntZ4tx E4qp9NFdOXhQ81/iYGExNhcbAfmMg8WPNJ2vB/KgOwAucOg3jQxif1MmVeIXi/Z+ wxDKG9aHluEonDSibdCglcYBx4r1Jr6aJT9WVBIZutYB7Z7kx9Svm6o49hgKM2cP vs5DrUE8P8FDc9R+eWwiz8qC/G4+EqbakB63lX+0G76gzdTF85SsldUAGgYFItg= =HYhF -----END PGP SIGNATURE-----