JPCERT-WR-2010-1301 2010-04-07 2010-03-28 2010-04-03

US-CERT Technical Cyber Security Alert TA10-089A http://www.us-cert.gov/cas/techalerts/TA10-089A.html US-CERT Cyber Security Alert SA10-089A http://www.us-cert.gov/cas/alerts/SA10-089A.html

Microsoft Internet Explorer および関連コンポーネントには、複数の 脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書や Microsoft Office 文書を読み込ませることで、ユーザの権限で任意の コードを実行する可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。なお、セキュリティ更新プログラ ムには、JPCERT/CC WEEKLY REPORT 2010-03-17【2】で紹介した問題に 対する解決策も含まれています。

マイクロソフト セキュリティ情報 MS10-018 - 緊急 http://www.microsoft.com/japan/technet/security/bulletin/ms10-018.mspx Japan Vulnerability Notes JVNTA10-089A http://jvn.jp/cert/JVNTA10-089A/index.html 独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/ciadr/vul/20100331-ms10-018.html @police http://www.npa.go.jp/cyberpolice/topics/?seq=3132 JPCERT/CC Alert 2010-03-31 JPCERT-AT-2010-0007 https://www.jpcert.or.jp/at/2010/at100007.txt JPCERT/CC WEEKLY REPORT 2010-03-17 https://www.jpcert.or.jp/wr/2010/wr101001.html#2

US-CERT Vulnerability Note VU#507652 http://www.kb.cert.org/vuls/id/507652 US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/04/02/archive.html#oracle_releases_critical_patch_update10

Oracle Sun Java には、複数の脆弱性があります。結果として、遠隔の 第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を おこなったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 18 およびそれ以前 - JDK/JRE 5.0 Update 23 およびそれ以前 - SDK/JRE 1.4.2_25 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はす でにサポートが終了しています。最新の Java SE またはサポートのあ る製品への移行をお勧めします。

Japan Vulnerability Notes JVNVU#507652 https://jvn.jp/cert/JVNVU507652/index.html Java SE 6 http://java.sun.com/javase/6/webnotes/6u19.html Oracle http://www.sun.com/software/javaforbusiness/getit_download.jsp Oracle Technology Network http://www.oracle.com/technology/deploy/security/critical-patch-updates/javacpumar2010.html Red Hat Security Advisory RHSA-2010:0339-1 https://rhn.redhat.com/errata/RHSA-2010-0339.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/04/02/archive.html#mozilla_releases_firefox_3_61 DOE-CIRC Technical Bulletin T-339 http://www.doecirc.energy.gov/bulletins/t-339.shtml

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 3.6 系、Firefox 3.5 系、Firefox 3.0 系 - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。

Firefox 3.6 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.3 Firefox 3.5 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.9 Firefox 3.0 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.19 Thunderbird 3.0 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.4 SeaMonkey 2.0 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.4

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/04/02/archive.html#vmware_releases_security_advisory_for

VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が認証を回避したり、任意のコードを実行したり、ユーザのブラウ ザ上で任意のスクリプトを実行したりする可能性があります。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。2010年4月6日現在、一部の問題につい ては修正版が提供されていません。詳細については、VMware が提供す る情報を参照してください。

VMware Security Advisories (VMSAs) http://www.vmware.com/security/advisories/VMSA-2010-0005.html VMware Security Advisories (VMSAs) http://www.vmware.com/security/advisories/VMSA-2010-0006.html

US-CERT Vulnerability Note VU#570177 http://www.kb.cert.org/vuls/id/570177

Foxit Software の Foxit Reader には、脆弱性があります。結果とし て、遠隔の第三者が細工した PDF 文書を閲覧させることで、任意のコー ドを実行する可能性があります。 対象となるバージョンは以下のとおりです。 - Foxit Reader 3.2.0.0303 この問題は、Foxit Software が提供する修正済みのバージョンに Foxit Reader を更新することで解決します。

Japan Vulnerability Notes JVNVU#570177 https://jvn.jp/cert/JVNVU570177/index.html Foxit Software http://www.foxitsoftware.com/pdf/reader/security.htm#0401

Japan Vulnerability Notes JVN#57963254 https://jvn.jp/jp/JVN57963254/index.html Japan Vulnerability Notes JVN#38687002 https://jvn.jp/jp/JVN38687002/index.html

アルマスの ERP/CRM ソフトウエア Compiere には、複数のクロスサイ トスクリプティングの脆弱性があります。結果として、遠隔の第三者が ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Compiere J300_A02 およびそれ以前 この問題は、アルマスが提供するパッチを Compiere に適用するか、修 正済みのバージョンに Compiere を更新することで解決します。詳細に ついては、アルマスが提供する情報を参照してください。

株式会社アルマス http://www.compiere-japan.com/products/release/patch.html

Japan Vulnerability Notes JVN#41842181 https://jvn.jp/jp/JVN41842181/index.html

フォームに入力された内容を電子メールで送信する PrettyFormMail に は、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となる製品は以下の通りです。 - PrettyFormMail この問題に対する解決策の提供は予定されていないため、 PrettyFormMail の使用を停止し、同等の機能が実装された他製品に切 り替えることをお勧めします。

PrettyBook http://www.prettybook.com/index3.html

Japan Vulnerability Notes JVN#60969543 https://jvn.jp/jp/JVN60969543/index.html

Heartlogic のコンテンツ管理システム HL-SiteManager には、SQL イ ンジェクションの脆弱性があります。結果として、遠隔の第三者が、当 該製品で管理している情報を閲覧したり、変更したりする可能性があり ます。 対象となる製品は以下の通りです。 - HL-SiteManager この問題に対する解決策の提供は予定されていないため、 HL-SiteManager の使用を停止し、同等の機能が実装された他製品に切 り替えることをお勧めします。

Heartlogic http://www.heartlogic.jp/docs/free_cgi/hl-sitemanager.html

DNS は、インターネット通信を行うアプリケーションで必要となる名前 解決を行うインターネットの基幹技術です。 一方、DNS サーバに対する DoS 攻撃や、キャッシュポイズニングの問 題など、社会に大きな影響を及ぼすインシデントも発生しています。 DNS に関係する問題の解決や安定運用には、DNS ソフトウエア開発者や DNS サーバ運用者、さらにはドメイン名を管理するレジストリなど、様々 な組織が協調して活動することが重要です。 ICANN では、DNS の継続した発展と安定運用を目指し、今後の活動計画 として、DNS に関する脅威分析・危機管理計画の検討・インシデント対 応の演習を検討・実現していくことを提案しています。また、あわせて 様々な関係組織間の調整を行うDNS-CERT の設立を提案しています。 ICANN http://www.icann.org/en/topics/ssr/strategic-ssr-initiatives-09feb10-en.pdf ICANN http://www.icann.org/en/topics/ssr/dns-cert-business-case-19mar10-en.pdf