-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2010-2501
                                                                   JPCERT/CC
                                                                  2010-07-07

            <<< JPCERT/CC WEEKLY REPORT 2010-07-07 >>>

――――――――――――――――――――――――――――――――――――――
■06/27(日)〜07/03(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報
【2】libpng に複数の脆弱性
【3】LibTIFF にバッファオーバーフローの脆弱性
【4】Snare Agent の Web インタフェースにクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】Windows 2000 および XP SP2  の延長サポート終了

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2010/wr102501.html
        https://www.jpcert.or.jp/wr/2010/wr102501.xml
============================================================================


【1】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報

    情報源
      US-CERT Current Activity Archive
      Adobe Releases Update for Adobe Reader and Adobe Acrobat
      http://www.us-cert.gov/current/archive/2010/07/02/archive.html#adobe_releases_update_for_adobe1

      DOE-CIRC Technical Bulletin T-390
      Security updates available for Adobe Reader and Acrobat
      http://www.doecirc.energy.gov/bulletins/t-390.shtml

    概要
      JPCERT/CC WEEKLY REPORT 2010-06-09号【1】で紹介した「Adobe Flash 
      Player、Reader および Acrobat に脆弱性」に関する追加情報です。

      Adobe は、Adobe Reader および Acrobat の修正済みのバージョンを
      2010年6月29日に公開しました。詳細については、Adobe が提供する情
      報を参照してください。

    関連文書 (日本語)
      Adobe TechNote APSB10-15
      セキュリティアップデータの公開 APSB10-15：AcrobatおよびAdobe Reader
      http://kb2.adobe.com/jp/cps/852/cpsid_85240.html

      @police
      アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
      https://www.npa.go.jp/cyberpolice/topics/?seq=3986

      JPCERT/CC Alert 2010-06-30 JPCERT-AT-2010-0017
      Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
      https://www.jpcert.or.jp/at/2010/at100017.txt

      JPCERT/CC WEEKLY REPORT 2010-06-16
      【3】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報
      https://www.jpcert.or.jp/wr/2010/wr102201.html#3

      JPCERT/CC WEEKLY REPORT 2010-06-09
      【1】Adobe Flash Player、Reader および Acrobat に脆弱性
      https://www.jpcert.or.jp/wr/2010/wr102101.html#1

    関連文書 (英語)
      Adobe Security Bulletin APSB10-15
      Security updates available for Adobe Reader and Acrobat
      http://www.adobe.com/support/security/bulletins/apsb10-15.html

【2】libpng に複数の脆弱性

    情報源
      US-CERT Vulnerability Note VU#643615
      libpng fails to limit number of rows in header
      http://www.kb.cert.org/vuls/id/643615

      DOE-CIRC Technical Bulletin T-391
      libpng Memory Corruption and Memory Leak Vulnerabilities
      http://www.doecirc.energy.gov/bulletins/t-391.shtml

    概要
      libpng には、PNG 画像の処理に起因する複数の脆弱性があります。結
      果として、遠隔の第三者が細工した PNG 画像を読み込ませることで、
      任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり
      する可能性があります。

      対象となるバージョンは以下の通りです。

      - libpng 1.4.3 より前の 1.4.x 系
      - libpng 1.2.44 より前の 1.2.x 系
      - libpng 1.0.x 系

      この問題は、使用している OS のベンダや配布元が提供する修正済みの
      バージョンに libpng を更新することで解決します。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#643615
      libpng に脆弱性
      https://jvn.jp/cert/JVNVU643615/

    関連文書 (英語)
      libpng.org
      libpng
      http://www.libpng.org/pub/png/libpng.html

      libpng.org
      PNG News from 2010
      http://www.libpng.org/pub/png/png2010.html

【3】LibTIFF にバッファオーバーフローの脆弱性

    情報源
      CERT-FI Reports
      CERT-FI Advisory on LibTIFF
      http://www.cert.fi/en/reports/2010/vulnerability391068.html

      DOE-CIRC Technical Bulletin T-389
      LibTIFF 'TIFFroundup()' Remote Integer Overflow Vulnerability
      http://www.doecirc.energy.gov/bulletins/t-389.shtml

    概要
      LibTIFF には、TIFF 画像の処理に起因するバッファオーバーフローの
      脆弱性があります。結果として、遠隔の第三者が細工した TIFF 画像を
      読み込ませることで任意のコードを実行したり、サービス運用妨害 
      (DoS) 攻撃を行ったりする可能性があります。

      対象となるバージョンは以下の通りです。

      - LibTIFF 3.9.3 より前のバージョン

      この問題は、使用している OS のベンダや配布元が提供する修正済みの
      バージョンに LibTIFF を更新することで解決します。詳細については、
      ベンダや配布元が提供する情報を参照してください。

    関連文書 (英語)
      RemoteSensing.org
      LibTIFF - TIFF Library and Utilities
      http://www.remotesensing.org/libtiff/

      RemoteSensing.org
      TIFF CHANGE INFORMATION
      http://www.remotesensing.org/libtiff/v3.9.3.html

【4】Snare Agent の Web インタフェースにクロスサイトリクエストフォージェリの脆弱性

    情報源
      US-CERT Vulnerability Note VU#173009
      Snare Agent web interface cross-site request forgery vulnerabilities
      http://www.kb.cert.org/vuls/id/173009

    概要
      Snare Agent の Web インタフェースには、クロスサイトリクエスト
      フォージェリの脆弱性があります。結果として、遠隔の第三者が細工し
      た Web ページを読み込ませることで Snare Agent の設定を変更する可
      能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Snare for Solaris 3.2.3 およびそれ以前
      - Snare for Windows 3.1.7 およびそれ以前
      - Snare for Linux 1.5.0 およびそれ以前
      - Snare for AIX 1.5.0 およびそれ以前
      - Snare for Irix 1.4 およびそれ以前
      - Epilog for Windows 1.5.3 およびそれ以前
      - Epilog for Unix 1.2 およびそれ以前

      この問題は、配布元が提供する修正済みのバージョンに、該当する製品
      を更新することで解決します。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#173009
      Snare Agent のウェブインターフェースにクロスサイトリクエストフォージェリの脆弱性
      https://jvn.jp/cert/JVNVU173009/index.html

    関連文書 (英語)
      InterSect Alliance
      Snare - Audit Log and EventLog analysis
      http://www.intersectalliance.com/projects/index.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Windows 2000 および XP SP2  の延長サポート終了

      来週 7月13日に、Windows 2000 (Server および Professional) の延長
      サポート期間が終了します。Microsoft は、Windows 2000 Server から
      の移行支援情報などを提供する「Windows 2000 Server 延長サポート終
      了までのカウントダウン」ページを公開しています。

      また、Windows XP SP2 も 7月13日に延長サポート期間が終了します。
      Windows XP の利用を続ける場合には SP3 を適用してください。
      Windows XP SP3 は 2014年4月8日までサポートされる予定です。

    参考文献 (日本語)
      マイクロソフト
      Windows 2000 Server 延長サポート終了までのカウントダウン
      http://www.microsoft.com/japan/windowsserver2008/r2/w2k-migration.mspx

      マイクロソフト
      Windows 2000 エンド・オブ・サポート ソリューションセンター
      http://support.microsoft.com/ph/1131/ja

      マイクロソフト
      Windows XP Service Pack 2 (SP2)をお使いのお客様へ
      http://www.microsoft.com/japan/windows/products/windowsxp/future/sp2.mspx

      独立行政法人 情報処理推進機構
      サポートが終了するWindowsを利用しているシステム管理者への注意喚起
      http://www.ipa.go.jp/about/press/20100705.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2010 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJMM9REAAoJEDF9l6Rp7OBId9YIAJFwDrcxRtfY6yHtW2IuQY6k
GILr7qFG+3E0NvbewCbDN4HNG6dX9MD4YWm/85BdkqabhXMnVyruWeRkFPJRDQiw
Cvd3NgVa3ohHW1+eDCrGSYlgs7u0xK/j0luW6/uTb5ysmnjekV3xwOxnCsKP/Fb6
3f4nBppjEnAyJ5GvaCTK38v4fYOJPVCOdKxe56ARw8cUoqE/qZDXymUkO/xiNbP8
4/8gYBrBzkATUL2Am6qoSSbek/xTVb7gfze0sWvGYBvPqWZoLpVJPIj4rIjV3V4c
Tun9+V0dkg3ZehpL0fdgLBD2S26FpNhvGER/228PBTEV8GOKUV80JiAh+xtiVRg=
=XrPO
-----END PGP SIGNATURE-----