-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-2601 JPCERT/CC 2010-07-14 <<< JPCERT/CC WEEKLY REPORT 2010-07-14 >>> ―――――――――――――――――――――――――――――――――――――― ■07/04(日)〜07/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chrome に複数の脆弱性 【2】iSCSI ターゲットの複数の実装にバッファオーバーフローの脆弱性 【3】C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 【4】「JPCERT/CC インシデント対応レポート」を公開 【今週のひとくちメモ】ルートゾーンの DNSSEC 正式運用 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr102601.html https://www.jpcert.or.jp/wr/2010/wr102601.xml ============================================================================ 【1】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 5.0.375.99 http://www.us-cert.gov/current/archive/2010/07/09/archive.html#google_releases_chrome_5_03 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Releases Chrome 5.0.375.99 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.com/2010/07/stable-channel-update.html 【2】iSCSI ターゲットの複数の実装にバッファオーバーフローの脆弱性 情報源 DOE-CIRC Technical Bulletin T-393 iSCSI Enterprise Target Multiple Implementations iSNS Message Stack Buffer Overflow Vulnerability http://www.doecirc.energy.gov/bulletins/t-393.shtml 概要 Linux における iSCSI ターゲットの複数の実装には、iSNS メッセージ の処理に起因するバッファオーバーフローの脆弱性があります。結果と して、遠隔の第三者が細工した iSNS メッセージを処理させることで、 任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iSCSI Enterprise Target 1.4.20.1 およびそれ以前 - Generic SCSI Target Subsystem for Linux 1.0.1.1 およびそれ以前 - Linux SCSI target framework 1.0 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。詳細につい ては、各ベンダや配布元が提供する情報を参照してください。 関連文書 (英語) iSCSI Enterprise Target Project iSCSI Enterprise Target http://iscsitarget.sourceforge.net/ iSCSI Enterprise Target Project [Iscsitarget-devel] [patch] fix iSNS bounds checking http://sourceforge.net/mailarchive/forum.php?thread_name=E2BB8074E5500C42984D980D4BD78EF904075006%40MFG-NYC-EXCH2.mfg.prv&forum_name=iscsitarget-devel SCST project Generic SCSI Target Subsystem for Linux http://scst.sourceforge.net/ SCST project SCM Repositories - scst http://scst.svn.sourceforge.net/viewvc/scst?view=revision&revision=1793 tgt project Linux SCSI target framework (tgt) project http://stgt.sourceforge.net/ tgt project [stgt] 1.0.6 released http://lists.wpkg.org/pipermail/stgt/2010-July/003858.html Red Hat Security Advisory RHSA-2010:0518-1 Important: scsi-target-utils security update https://rhn.redhat.com/errata/RHSA-2010-0518.html 【3】C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 8月からは東京を会場に、毎月一回、午後半日のセミナーを開催します。 毎回ひとつのトピックをとりあげ、講義と演習という形で、セキュアコー ディングを学んでいただきます。 第一回 (8月5日) の「文字列」、第二回 (9月15日) の「整数」につい て、参加募集を開始しました。皆様のご参加をお待ちしています。 [日時] part1 <文字列> 2010年8月5日(木) 13:30 - 受付開始 14:00 - 16:00 文字列 16:15 - 18:15 演習 (文字列) part2 <整数> 2010年9月15日(水) 13:00 - 受付開始 13:30 - 16:00 整数 16:15 - 18:15 演習 (整数) [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等 関連文書 (英語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO-application.html 【4】「JPCERT/CC インシデント対応レポート」を公開 情報源 JPCERT/CC インシデント報告対応四半期レポート https://www.jpcert.or.jp/ir/report.html 概要 JPCERT/CC では、インシデント対応の活動結果を四半期ごとに公開して います。これまで 「JPCERT/CC インシデントハンドリング業務報告」 として公開してきたものを「JPCERT/CC インシデント対応レポート」と して改訂し、内容の拡充を行いました。 四半期ごとの統計推移に加えてインシデント動向を分析した内容を追加 しています。また、より具体的にインシデント対応の過程をイメージし ていただくために「インシデント対応事例」や「インシデントの分類」 を追加しています。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ルートゾーンの DNSSEC 正式運用 ルートゾーンへの DNSSEC 導入に向けた作業が昨年 12月より段階的に 進められてきました。2010年7月15日、いよいよルートゾーンの DNSSEC 運用が正式に開始される予定です。 これにより、ルートゾーンからの信頼の連鎖が構築可能となり、DNSSEC の本格的な運用の準備が整います。 参考文献 (日本語) JPCERT/CC Weekly Report 【今週のひとくちメモ】ルートサーバへの DNSSEC 署名データ導入 https://www.jpcert.or.jp/wr/2010/wr101701.html#Memo 参考文献 (英語) Root DNSSEC Status Update, 2010-07-10 http://www.root-dnssec.org/2010/07/10/status-update-2010-07-10/ ICANN DNS Operations http://dns.icann.org/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMPQlAAAoJEDF9l6Rp7OBIhpMH/Auy9UyE2WAwRNMWQIIW7h4z 1GWu6ZLnU5G+3kf1dcywO7dSS+zpP/XSDFTnDmKW67mXoNuxNxTee9tE8HZYy3bc K3cukCr/+3oc0UoEad/nuwwyPm3sr3tU06mqZd9Q1aYnkU+xjvS8i5i2ap1pGimY 1s98tOPVAtWlxe+Tli//TdxBLRbAZnncPIeI9QlGIiazD/5F6KP4q0a+RoVpg4pC MXKnB1zAh8CcoDVGw7L0WBB3h46Fbnnx6HQ/sbkiH0q0/8REprAVe4T8Bwwpb4as TaasIp5tEXEuts9/aS4hG5cDxPH8RmosUM/UMPgC/W0uWVj2qpxmjM2T3IsnvDI= =woxY -----END PGP SIGNATURE-----