JPCERT-WR-2010-1301
2010-04-07
2010-03-28
2010-04-03
Internet Explorer に複数の脆弱性
Microsoft Internet Explorer および関連コンポーネントには、複数の
脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書や
Microsoft Office 文書を読み込ませることで、ユーザの権限で任意の
コードを実行する可能性があります。
この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。なお、セキュリティ更新プログラ
ムには、JPCERT/CC WEEKLY REPORT 2010-03-17【2】で紹介した問題に
対する解決策も含まれています。
マイクロソフト セキュリティ情報 MS10-018 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (980182)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-018.mspx
Japan Vulnerability Notes JVNTA10-089A
Internet Explorer に複数の脆弱性
http://jvn.jp/cert/JVNTA10-089A/index.html
独立行政法人 情報処理推進機構 セキュリティセンター
Internet Explorer の脆弱性(MS10-018)について
http://www.ipa.go.jp/security/ciadr/vul/20100331-ms10-018.html
@police
マイクロソフト社のセキュリティ修正プログラムについて(MS10-018)
http://www.npa.go.jp/cyberpolice/topics/?seq=3132
JPCERT/CC Alert 2010-03-31 JPCERT-AT-2010-0007
Microsoft Internet Explorer の脆弱性 (MS10-018) に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100007.txt
JPCERT/CC WEEKLY REPORT 2010-03-17
【2】Internet Explorer に解放済みメモリを使用する脆弱性
https://www.jpcert.or.jp/wr/2010/wr101001.html#2
Oracle Sun Java に複数の脆弱性
Oracle Sun Java には、複数の脆弱性があります。結果として、遠隔の
第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を
おこなったりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- JDK/JRE 6 Update 18 およびそれ以前
- JDK/JRE 5.0 Update 23 およびそれ以前
- SDK/JRE 1.4.2_25 およびそれ以前
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。
なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はす
でにサポートが終了しています。最新の Java SE またはサポートのあ
る製品への移行をお勧めします。
Japan Vulnerability Notes JVNVU#507652
Oracle Sun Java が Java アプレットの署名を正しく検証しない脆弱性
https://jvn.jp/cert/JVNVU507652/index.html
Java SE 6
Update Release Notes
http://java.sun.com/javase/6/webnotes/6u19.html
Oracle
Java for Business - Get It
http://www.sun.com/software/javaforbusiness/getit_download.jsp
Oracle Technology Network
Oracle Java SE and Java for Business Critical Patch Update Advisory - March 2010
http://www.oracle.com/technology/deploy/security/critical-patch-updates/javacpumar2010.html
Red Hat Security Advisory RHSA-2010:0339-1
Important: java-1.6.0-openjdk security update
https://rhn.redhat.com/errata/RHSA-2010-0339.html
Mozilla 製品群に複数の脆弱性
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
対象となるバージョンは以下の通りです。
- Firefox 3.6 系、Firefox 3.5 系、Firefox 3.0 系
- Thunderbird
- SeaMonkey
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。
Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.3 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.3
Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.9 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.9
Firefox 3.0 セキュリティアドバイザリ
Firefox 3.0.19 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.19
Thunderbird 3.0 セキュリティアドバイザリ
Thunderbird 3.0.4 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.4
SeaMonkey 2.0 セキュリティアドバイザリ
SeaMonkey 2.0.4 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.4
VMware 製品群に複数の脆弱性
VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が認証を回避したり、任意のコードを実行したり、ユーザのブラウ
ザ上で任意のスクリプトを実行したりする可能性があります。
この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。2010年4月6日現在、一部の問題につい
ては修正版が提供されていません。詳細については、VMware が提供す
る情報を参照してください。
VMware Security Advisories (VMSAs)
VMSA-2010-0005 VMware products address vulnerabilities in WebAccess
http://www.vmware.com/security/advisories/VMSA-2010-0005.html
VMware Security Advisories (VMSAs)
VMSA-2010-0006 ESX Service Console updates for samba and acpid
http://www.vmware.com/security/advisories/VMSA-2010-0006.html
Foxit Reader に脆弱性
Foxit Software の Foxit Reader には、脆弱性があります。結果とし
て、遠隔の第三者が細工した PDF 文書を閲覧させることで、任意のコー
ドを実行する可能性があります。
対象となるバージョンは以下のとおりです。
- Foxit Reader 3.2.0.0303
この問題は、Foxit Software が提供する修正済みのバージョンに Foxit
Reader を更新することで解決します。
Japan Vulnerability Notes JVNVU#570177
Foxit Reader に任意のコード実行が可能な脆弱性
https://jvn.jp/cert/JVNVU570177/index.html
Foxit Software
Authorization Bypass When Executing An Embedded Executable
http://www.foxitsoftware.com/pdf/reader/security.htm#0401
Compiere に複数のクロスサイトスクリプティングの脆弱性
アルマスの ERP/CRM ソフトウエア Compiere には、複数のクロスサイ
トスクリプティングの脆弱性があります。結果として、遠隔の第三者が
ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Compiere J300_A02 およびそれ以前
この問題は、アルマスが提供するパッチを Compiere に適用するか、修
正済みのバージョンに Compiere を更新することで解決します。詳細に
ついては、アルマスが提供する情報を参照してください。
株式会社アルマス
Compiere_J300_A02バージョンのセキュリティ脆弱性対応パッチ
http://www.compiere-japan.com/products/release/patch.html
PrettyFormMail にクロスサイトスクリプティングの脆弱性
フォームに入力された内容を電子メールで送信する PrettyFormMail に
は、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。
対象となる製品は以下の通りです。
- PrettyFormMail
この問題に対する解決策の提供は予定されていないため、
PrettyFormMail の使用を停止し、同等の機能が実装された他製品に切
り替えることをお勧めします。
PrettyBook
<cgi配布停止のお知らせ>
http://www.prettybook.com/index3.html
HL-SiteManager に SQL インジェクションの脆弱性
Heartlogic のコンテンツ管理システム HL-SiteManager には、SQL イ
ンジェクションの脆弱性があります。結果として、遠隔の第三者が、当
該製品で管理している情報を閲覧したり、変更したりする可能性があり
ます。
対象となる製品は以下の通りです。
- HL-SiteManager
この問題に対する解決策の提供は予定されていないため、
HL-SiteManager の使用を停止し、同等の機能が実装された他製品に切
り替えることをお勧めします。
Heartlogic
HL-SiteManagerの脆弱性と公開停止のお知らせ
http://www.heartlogic.jp/docs/free_cgi/hl-sitemanager.html
DNS-CERT の設立提案
DNS は、インターネット通信を行うアプリケーションで必要となる名前
解決を行うインターネットの基幹技術です。
一方、DNS サーバに対する DoS 攻撃や、キャッシュポイズニングの問
題など、社会に大きな影響を及ぼすインシデントも発生しています。
DNS に関係する問題の解決や安定運用には、DNS ソフトウエア開発者や
DNS サーバ運用者、さらにはドメイン名を管理するレジストリなど、様々
な組織が協調して活動することが重要です。
ICANN では、DNS の継続した発展と安定運用を目指し、今後の活動計画
として、DNS に関する脅威分析・危機管理計画の検討・インシデント対
応の演習を検討・実現していくことを提案しています。また、あわせて
様々な関係組織間の調整を行うDNS-CERT の設立を提案しています。
ICANN
Proposed Strategic Initiatives for Improved DNS Security, Stability and Resiliency (SSR)
http://www.icann.org/en/topics/ssr/strategic-ssr-initiatives-09feb10-en.pdf
ICANN
Global DNS-CERT Business Case
http://www.icann.org/en/topics/ssr/dns-cert-business-case-19mar10-en.pdf