-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-4201 JPCERT/CC 2010-11-04 <<< JPCERT/CC WEEKLY REPORT 2010-11-04 >>> ―――――――――――――――――――――――――――――――――――――― ■10/24(日)〜10/30(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla 製品群にバッファオーバーフローの脆弱性 【2】Adobe Flash に脆弱性 【3】glibc に権限昇格の脆弱性 【4】Linux カーネルに権限昇格の脆弱性 【5】「Adobe Shockwave Player に脆弱性」に関する追加情報 【6】Active! mail 6 に HTTP ヘッダインジェクションの脆弱性 【7】Internet Week 2010 のお知らせ 【8】フィッシング対策セミナー開催のお知らせ 【9】C/C++ セキュアコーディングセミナー 2010 @東京 part4 開催せまる 【今週のひとくちメモ】導入済みソフトウエアのアップデートに注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr104201.html https://www.jpcert.or.jp/wr/2010/wr104201.xml ============================================================================ 【1】Mozilla 製品群にバッファオーバーフローの脆弱性 情報源 US-CERT Current Activity Archive Firefox 3.5 and 3.6 Vulnerability http://www.us-cert.gov/current/archive/2010/10/29/archive.html#firefox_3_5_and_3 DOE-CIRC Technical Bulletin T-476 Critical vulnerability in Firefox 3.5 and Firefox 3.6 http://www.doecirc.energy.gov/bulletins/t-476.shtml 概要 Mozilla 製品群には、バッファオーバーフローの脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行する可能性があります。 なお、本脆弱性を使用した攻撃が確認されています。 対象となる製品は以下の通りです。 - Firefox 3.6.11 およびそれ以前 - Firefox 3.5.14 およびそれ以前 - Thunderbird 3.1.5 およびそれ以前 - Thunderbird 3.0.9 およびそれ以前 - SeaMonkey 2.0.9 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 関連文書 (日本語) Mozilla Japan Firefox リリースノート - バージョン 3.6.12 - 2010/10/27 リリース http://mozilla.jp/firefox/3.6.12/releasenotes/ Firefox 3.6 セキュリティアドバイザリ Firefox 3.6.12 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.12 Mozilla Japan Firefox 3.5 リリースノート - バージョン 3.5.15 - 2010/10/27 リリース http://mozilla.jp/firefox/3.5.15/releasenotes/ Firefox 3.5 セキュリティアドバイザリ Firefox 3.5.15 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.15 Mozilla Japan Thunderbird リリースノート - バージョン 3.1.6 - 2010/10/27 リリース http://mozilla.jp/thunderbird/3.1.6/releasenotes/ Thunderbird 3.1 セキュリティアドバイザリ Thunderbird 3.1.6 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.6 Mozilla Japan Thunderbird リリースノート - バージョン 3.0.10 - 2010/10/27 リリース http://mozilla.jp/thunderbird/3.0.10/releasenotes/ Thunderbird 3.0 セキュリティアドバイザリ Thunderbird 3.0.10 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.10 SeaMonkey Project SeaMonkey 2.0.10 http://www.seamonkey.jp/ja/releases/seamonkey2.0.10/ SeaMonkey 2.0 セキュリティアドバイザリ SeaMonkey 2.0.10 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.10 関連文書 (英語) Mozilla Security Blog Critical vulnerability in Firefox 3.5 and Firefox 3.6 http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/ SeaMonkey Project SeaMonkey 2.0.10 http://www.seamonkey-project.org/releases/seamonkey2.0.10/ Red Hat Security Advisory RHSA-2010:0808-1 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2010-0808.html Red Hat Security Advisory RHSA-2010:0810-1 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2010-0810.html Red Hat Security Advisory RHSA-2010:0812-1 Moderate: thunderbird security update https://rhn.redhat.com/errata/RHSA-2010-0812.html 【2】Adobe Flash に脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Security Bulletin for Flash Player, Reader, and Acrobat http://www.us-cert.gov/current/archive/2010/10/29/archive.html#adobe_releases_security_bulletin_for10 US-CERT Vulnerability Note VU#298081 Adobe Flash code execution vulnerability http://www.kb.cert.org/vuls/id/298081 DOE-CIRC Technical Bulletin T-477 Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat http://www.doecirc.energy.gov/bulletins/t-477.shtml 概要 Adobe Flash には、脆弱性があります。結果として、遠隔の第三者が細 工した Flash コンテンツを埋め込んだ文書を閲覧させることで、任意 のコードを実行する可能性があります。なお、Adobe によると、本脆弱 性を使用した攻撃が確認されています。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 10.1.85.3 およびそれ以前の Windows 版、 Macintosh 版、Linux 版、Solaris 版 - Adobe Flash Player 10.1.95.2 およびそれ以前の Android 版 - Adobe Reader 9.4 およびそれ以前の Windows 版、Macintosh 版、 UNIX 版 - Adobe Acrobat 9.4 およびそれ以前の Windows 版、Macintosh 版 なお、Flash をサポートしている他の Adobe 製品も本脆弱性の影響を 受ける可能性があります。 2010年11月2日現在、この問題に対する解決策は提供されていません。 この問題は、修正済みのバージョンに該当する製品を更新することで解 決します。なお、Adobe Flash Player の修正済みのバージョンは 2010 年11月9日 (米国時間) までに、Adobe Reader および Acrobat の修正 済みのバージョンは 2010年11月15日の週に公開される予定です。対象 製品の回避策などの詳細については、Adobe が提供する情報を参照して ください。 関連文書 (日本語) Adobe TechNote APSA10-05 Flash Player、Adobe Reader および Acrobat に関するセキュリティ情報 http://kb2.adobe.com/jp/cps/877/cpsid_87720.html Japan Vulnerability Notes JVNVU#298081 Adobe Flash に脆弱性 https://jvn.jp/cert/JVNVU298081/index.html 関連文書 (英語) Adobe Security Bulletin APSA10-05 Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat http://www.adobe.com/support/security/advisories/apsa10-05.html 【3】glibc に権限昇格の脆弱性 情報源 US-CERT Vulnerability Note VU#537223 GNU C library dynamic linker expands $ORIGIN in setuid library search path http://www.kb.cert.org/vuls/id/537223 概要 glibc には、権限昇格の脆弱性があります。結果として、ローカルユー ザが root 権限を取得する可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに glibc を更新することで解決します。詳細については、 各ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#537223 glibc に権限昇格の脆弱性 https://jvn.jp/cert/JVNVU537223/index.html Debian セキュリティ勧告 DSA-2122-1 glibc -- 入力のサニタイズ漏れ http://www.debian.org/security/2010/dsa-2122.ja.html 関連文書 (英語) Red Hat Security Advisory RHSA-2010:0793-1 Important: glibc security update https://rhn.redhat.com/errata/RHSA-2010-0793.html 【4】Linux カーネルに権限昇格の脆弱性 情報源 US-CERT Vulnerability Note VU#362983 Linux kernel RDS protocol vulnerability http://www.kb.cert.org/vuls/id/362983 概要 Linux カーネルの RDS プロトコルの実装には、権限昇格の脆弱性があ ります。結果として、ローカルユーザが root 権限を取得する可能性が あります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Linux カーネルを更新することで解決します。詳細につ いては、各ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#362983 Linux カーネルにおける RDS プロトコルの実装に脆弱性 https://jvn.jp/cert/JVNVU362983/index.html 関連文書 (英語) Red Hat Security Advisory RHSA-2010:0792-1 Important: kernel security update https://rhn.redhat.com/errata/RHSA-2010-0792.html 【5】「Adobe Shockwave Player に脆弱性」に関する追加情報 情報源 US-CERT Current Activity Archive Adobe Releases Security Update for Shockwave Player http://www.us-cert.gov/current/archive/2010/10/29/archive.html#adobe_releases_security_update_for3 概要 JPCERT/CC WEEKLY REPORT 2010-10-27 号【5】で紹介した「Adobe Shockwave Player に脆弱性」に関する追加情報です。 Adobe は解決策としてセキュリティアップデートを公開しました。詳細 については Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe TechNote APSB10-25 Shockwave Player 用セキュリティアップデート公開 http://kb2.adobe.com/jp/cps/877/cpsid_87721.html JPCERT/CC WEEKLY REPORT 2010-10-27 号 【5】Adobe Shockwave Player に脆弱性 https://www.jpcert.or.jp/wr/2010/wr104101.html#5 関連文書 (英語) Adobe Security Bulletin APSB10-25 Security update available for Shockwave Player http://www.adobe.com/support/security/bulletins/apsb10-25.html Adobe Product Security Incident Response Team (PSIRT) Blog Security update available for Adobe Shockwave Player http://blogs.adobe.com/psirt/2010/10/security-update-available-for-adobe-shockwave-player.html 【6】Active! mail 6 に HTTP ヘッダインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#72541530 Active! mail 6 における HTTP ヘッダインジェクションの脆弱性 https://jvn.jp/jp/JVN72541530/index.html 概要 トランスウエアの Web メール Active! mail 6 には、HTTP ヘッダイン ジェクションの脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で偽の情報を表示したり、任意のスクリプトを実行したり する可能性があります。 対象となるバージョンは以下の通りです。 - Active! mail 6 Build 6.40.010047750 およびそれ以前 この問題は、トランスウエアが提供する修正済みのバージョンに、 Active! mail 6 を更新することで解決します。 関連文書 (日本語) トランスウエア Active! mail 6 におけるHTTP ヘッダ・インジェクションの危険性について http://www.transware.co.jp/security/am0610001.html 【7】Internet Week 2010 のお知らせ 情報源 Internet Week 2010 https://internetweek.jp/ 概要 2010年11月24日(水)より26日(金)まで、富士ソフトアキバプラザにて JPNIC 主催の Internet Week 2010 が開催されます。JPCERT/CC は後援 団体に加わるとともに、プログラムの企画・運営に協力しています。 参加登録については、以下の「参加申込」ページをご参照ください。割 引料金でご参加いただける事前登録の受付は 11月12日(金) 18:00 まで となっています。 3日目には IP Meeting 2010 が開催されます。例年のとおり、インター ネットをめぐるこの一年の動向を、様々な観点から振り返ります。 JPCERT/CC からは、「2010年セキュリティ事件簿」と題し、インターネッ トセキュリティの問題について今年を象徴するトピックをご紹介します。 関連文書 (日本語) Internet Week 2010 - 参加申込 https://internetweek.jp/apply/ Internet Week 2010 D3: IP Meeting 2010 https://internetweek.jp/program/d3/ JPCERT コーディネーションセンター イベント情報 Internet Week 2010 https://www.jpcert.or.jp/event/internetweek2010.html 【8】フィッシング対策セミナー開催のお知らせ 情報源 フィッシング対策協議会 フィッシング対策セミナー http://www.antiphishing.jp/news/event/post_34.html 概要 日本においてもフィッシング詐欺事例の増加が報告されてきており、顧 客保護の観点からインターネット関連事業者、金融機関は、自社の顧客 に対するフィッシング行為が行われていないか、十分に注意を払う必要 があります。フィッシング対策協議会では、フィッシングの危険性や対 策について広く周知する事で、被害の抑制や対策の実施に繋げる事を目 的とした、フィッシング対策セミナーを東京・大阪・福岡の 3会場で開 催する事となりました。 日時および場所: 東京会場 2010年11月17日(水)13:30-17:00 (開場13:00) TKP大手町カンファレンスセンター WESTホールA http://tkpotemachi.net/access/ 大阪会場 2010年11月18日(木)13:30-17:00 (開場13:00) TKP新大阪会議室 Room1 http://www.kashikaigishitsu.net/search/map/15/ 福岡(博多)会場 2010年11月19日(金)13:30-17:00 (開場13:00) アーバンプレムコンファレンス コンファレンス ルームA http://www.ohi-kaigi.com/urbanprem_accessmap.html 【お申込に関して】 参加費 :無料(ただし、事前に参加申込みが必要) 受付締切 :2010年11月15日(月)(満席になり次第受付終了) 参加申込先 :E-mail:ap-seminar@mri.co.jp 参加申込方法:参加を希望される会場(東京/大阪/福岡)、会社名、所属、役 職、氏名をメールにてご連絡ください。 関連文書 (日本語) フィッシング対策協議会 http://www.antiphishing.jp/ 【9】C/C++ セキュアコーディングセミナー 2010 @東京 part4 開催せまる 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナー part4「動的メモリ管理」の開催まで残り一 週間となりました。ひきつづき参加申し込みを受け付けております。皆 様奮ってご参加ください。 [日時] part4 <動的メモリ管理> 2010年11月10日(水) 13:00 - 受付開始 13:30 - 16:00 動的メモリ管理 - 講義 16:00 - 18:15 動的メモリ管理 - 演習 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○導入済みソフトウエアのアップデートに注意 JPCERT/CC には、Web 経由での攻撃の情報が多数寄せられています。こ れまでのように攻撃者によって誘導される怪しい Web サイト経由の攻 撃だけではなく、ニュースサイトや一般企業の正規サイトを経由してマ ルウエアを配布する攻撃も発生しています。 これらの攻撃では、ブラウザのアドオンが更新されていないことや、古 いバージョンの Java がインストールされたまま放置されているなど、 管理が行き届かない PC の既知の脆弱性を使用してマルウエアの感染活 動が行われています。 セキュリティ製品を導入するだけでなく、利用する PC のソフトウエア を最新のものにしておくことが重要です。Java、Flash Player、Adobe Reader などのアップデートは頻繁に行われています。あらためて確認 することをおすすめします。 参考文献 (日本語) java.com 全オペレーティングシステムの Java のダウンロード一覧 http://java.com/ja/download/manual.jsp Adobe Adobe Flash Player http://get.adobe.com/jp/flashplayer/ Adobe Adobe Readerの最新バージョンおよび旧バージョンのダウンロード http://get.adobe.com/jp/reader/otherversions/ 参考文献 (英語) Microsoft Malware Protection Center Have you checked the Java? http://blogs.technet.com/b/mmpc/archive/2010/10/18/have-you-checked-the-java.aspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJM0gSeAAoJEDF9l6Rp7OBIbrsH/ibjt/tjPA5p4DVCwVTS6BSq c/OrWZwh7fGC9qQLpc287otLN4W2vDZy0//z9wdJ5MuS02nV8+X6sRixp1YxnI90 1xJCUJ/MLWBneTqxn1h2/73bzVhexjoyQW6kwBRB0FqMDEQZ0X5i71hasfQUCR4l eLOD0euLZp+inB5+Y1E3sFFTVNs8Q4oewB9tcTpNz1XN+41FE4crbFz4pJGYlq7g 8Q4Inui6lRjLiGg1J8dkgy8yrqY6wOArzGOr2YvGYP/zUtT/hLKQt1TNlP1hARTT dWOvBpo1/T9ljkIfnhglHD8rltuouhQOc/tr7tcXHhXenAhcr4l9x++dg2KiAlA= =Jma/ -----END PGP SIGNATURE-----