JPCERT-WR-2011-1001
2011-03-16
2011-03-06
2011-03-12
2011年3月 Microsoft セキュリティ情報について
Microsoft Windows、Office などの製品および関連コンポーネントには
複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨
害 (DoS) 攻撃を行ったり、ファイルやシステムに対して不正にアクセ
スしたりする可能性があります。
この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。詳細についてはマイクロソフトが
提供する情報を参照してください。
2011 年 3 月のセキュリティ情報
https://www.microsoft.com/japan/technet/security/bulletin/ms11-mar.mspx
Japan Vulnerability Notes JVNTA11-067A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA11-067A/index.html
@police
マイクロソフト社のセキュリティ修正プログラムについて(MS11-015,016,017)
https://www.npa.go.jp/cyberpolice/topics/?seq=5927
JPCERT/CC Alert 2011-03-09 JPCERT-AT-2011-0006
2011年3月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110006.txt
Apple 製品群に複数の脆弱性
Apple の製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Java for Mac OS X 10.6 Update 4 より前のバージョン
- Java for Mac OS X 10.5 Update 9 より前のバージョン
- iOS 4.3 より前のバージョン
- Apple Safari 5.0.4 より前のバージョン
- Apple TV 4.2 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Apple が提供する情報
を参照してください。
Apple Download
Java for Mac OS X 10.5 アップデート 9
http://support.apple.com/kb/DL1359?viewlocale=ja_JP
Apple Download
Java for Mac OS X 10.6 アップデート 4
http://support.apple.com/kb/DL1360?viewlocale=ja_JP
Apple Download
Safari 5.0.4
http://support.apple.com/kb/DL1070?viewlocale=ja_JP
Japan Vulnerability Notes JVNVU#584356
Java for Mac OS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU584356/index.html
Japan Vulnerability Notes JVNVU#867452
Apple iOS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU867452/index.html
Japan Vulnerability Notes JVNVU#643615
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU643615/index.html
Japan Vulnerability Notes JVNVU#574588
Apple TV における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU574588/index.html
Apple
Apple security updates
http://support.apple.com/kb/HT1222?viewlocale=en_US
複数の STARTTLS 実装に脆弱性
複数の STARTTLS の実装には、暗号文通信への切り替えがアプリケー
ションより下位の層で行われていることに起因する脆弱性があります。
結果として、遠隔の第三者が中間者攻撃 (man-in-the-middle attack)
によって、コマンドを挿入する可能性があります。なお、本脆弱性は、
証明書の検証を行っている実装のみが関連しています。
対象となる製品については、上記情報源を参照してください。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。
Japan Vulnerability Notes JVNVU#555316
複数の STARTTLS 実装に脆弱性
https://jvn.jp/cert/JVNVU555316/index.html
Google Chrome に複数の脆弱性
Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。
- Google Chrome 10.0.648.133 より前のバージョン
この問題は、Google が提供する修正済みのバージョンに、Google
Chrome を更新することで解決します。
Google Chrome Releases
Chrome Stable Release
http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates.html
「IBM の複数の製品に脆弱性」に関する追加情報
JPCERT/CC WEEKLY REPORT 2011-03-09 号【3】で紹介した「IBM の複数
の製品に脆弱性」に関する追加情報です。
IBM は、IBM Tivoli 製品に対する情報および解決策をリリースしました。
詳細については、下記関連文書を参照してください。
IBM
【重要情報】Tivoli製品におけるJRE/JDKの脆弱性について
http://www-06.ibm.com/jp/domino01/mkt/cnpages2.nsf/page/default-000B7AFF
IBM
IBMソフトウェア製品におけるJava脆弱性に関するお知らせ
http://www.ibm.com/software/jp/java-cve20104476/index.html
JPCERT/CC WEEKLY REPORT 2011-03-09 号
【3】IBM の複数の製品に脆弱性
https://www.jpcert.or.jp/wr/2011/wr110901.html#3
OTRS に OS コマンドインジェクションの脆弱性
OTRS プロジェクトが提供する OTRS には、OS コマンドインジェクショ
ンの脆弱性があります。結果として、遠隔の第三者が OTRS の実行権限
で任意の OS コマンドを実行する可能性があります。
OTRS: Open Source Help Desk and IT Service Management Solution
Download OTRS 3.0
http://otrs.org/downloads/
東北地方太平洋沖地震
2011年3月11日東北地方太平洋沖地震が発生しました。被害に遭われた
皆様には心よりお見舞いを申しあげます。
今もまだ不明となっている皆様方の無事、そして一刻も早い捜索と救助
の進展を願っております。また、厳しい寒さの中、被災地において救助
活動に従事されている方々に、心から敬意を表したいと思います。
なお、今回の震災を受け、世界各国の関係機関の方々から、たくさんの
温かいメッセージをいただいております。
このような支援に応えるべく、我々もしっかりと職責を果たし、このよ
うな事態に乗じた攻撃や不正行為に対処して参ります。
関係各位のご協力を引き続きよろしくお願いいたします。