-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-1101 JPCERT/CC 2011-03-24 <<< JPCERT/CC WEEKLY REPORT 2011-03-24 >>> ―――――――――――――――――――――――――――――――――――――― ■03/13(日)〜03/19(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Flash に脆弱性 【2】MIT Kerberos 5 KDC に double free の脆弱性 【3】e107 にクロスサイトスクリプティングの脆弱性 【4】Windows Vista および 7 における ISATAP ルーター自動発見方式の問題 【今週のひとくちメモ】Cisco 3月定例バンドル公開延期 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr111101.html https://www.jpcert.or.jp/wr/2011/wr111101.xml ============================================================================ 【1】Adobe Flash に脆弱性 情報源 US-CERT Vulnerability Note VU#192052 Adobe Flash Player contains unspecified code execution vulnerability http://www.kb.cert.org/vuls/id/192052 DOE-CIRC Technical Bulletin T-577 Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat http://www.doecirc.energy.gov/bulletins/t-577.shtml 概要 Adobe Flash には、脆弱性があります。結果として、遠隔の第三者が細 工した Flash コンテンツを閲覧させることで任意のコードを実行する可 能性があります。なお、本脆弱性を使用した攻撃活動が確認されていま す。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 10.2.152.33 およびそれ以前の Windows 版、 Macintosh 版、Linux 版、Solaris 版 - Adobe Flash Player 10.2.154.18 およびそれ以前の Google Chrome 版 - Adobe Flash Player 10.1.106.16 およびそれ以前の Android 版 - Adobe Reader X (10.0.1) およびそれ以前の 10.x, 9.x の Windows 版、 Macintosh 版 - Acrobat X (10.0.1) およびそれ以前の 10.x, 9.x の Windows 版、 Macintosh 版 なお、Flash をサポートしている他の Adobe 製品も本脆弱性の影響を受 ける可能性があります。 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。なお、Windows 版の Adobe Reader X の アップデートは、2011年6月14日に公開予定とのことです。 詳細については、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe TechNote APSB11-05 APSB11-05: Adobe Flash Player用セキュリティアップデート公開 http://kb2.adobe.com/jp/cps/895/cpsid_89522.html Adobe TechNote APSB11-06 APSB11-06:Adobe Reader および Acrobat に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/895/cpsid_89579.html Japan Vulnerability Notes JVNVU#192052 Adobe Flash に脆弱性 https://jvn.jp/cert/JVNVU192052/index.html 関連文書 (英語) Google Chrome Releases Stable and Beta Channel Updates http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates_15.html Microsoft Security Research & Defense Blocking Exploit Attempts of the Recent Flash 0-Day http://blogs.technet.com/b/srd/archive/2011/03/17/blocking-exploit-attempts-of-the-recent-flash-0-day.aspx 【2】MIT Kerberos 5 KDC に double free の脆弱性 情報源 US-CERT Vulnerability Note VU#943220 MIT KDC vulnerable to double-free when PKINIT enabled http://www.kb.cert.org/vuls/id/943220 概要 MIT Kerberos 5 KDC には、double free の脆弱性があります。結果と して、遠隔の第三者が KDC daemon をクラッシュさせたり、任意のコー ドを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - krb5-1.9 - krb5-1.8.3 以前の krb5-1.8 系 - krb5-1.7.1 以前の krb5-1.7 系 この問題は、MIT が提供するパッチをソースコードに適用し、コンパイ ルすることで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#943220 MIT Kerberos 5 KDC に double free の脆弱性 https://jvn.jp/cert/JVNVU943220/index.html 関連文書 (英語) MIT krb5 Security Advisory 2011-003 MITKRB5-SA-2011-003 KDC vulnerable to double-free when PKINIT enabled http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2011-003.txt MIT Patch for MITKRB5-SA-2011-003 http://web.mit.edu/kerberos/advisories/2011-003-patch.txt 【3】e107 にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#01635457 e107 におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN01635457/index.html 概要 e107.org のコンテンツ管理システム、e107 には、クロスサイトスクリ プティングの脆弱性があります。結果として、遠隔の第三者がユーザの ブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - e107 v0.7.22 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに e107 を更新す ることで解決します。詳細については、配布元が提供する情報を参照し てください。 関連文書 (英語) e107.org e107 downloads http://e107.org/edownload.php e107.org Welcome to e107.org! http://e107.org/news.php 【4】Windows Vista および 7 における ISATAP ルーター自動発見方式の問題 情報源 JPRS Windows Vista/7 におけるISATAPルーター自動発見方式の脆弱性について http://jprs.jp/tech/notice/2011-03-17-isatap-router-auto-discovery.html 概要 ISATAP とは、IPv6 ノードが IPv4 ネットワーク上で通信するためのト ンネリング技術のひとつです。Windows Vista および 7 の「ISATAP ルー タ」の自動発見機能では DNS を利用して「isatap」という名前のホスト を検索します。この検索によって、本来対象とすべきでないホストが選 択される可能性があります。その結果、IPv6 ノードのアクセスが不適切 な ISATAP ルータに誘導されてしまう問題があります。 JPRS は、この問題の対策として、属性型および地域型 JP ドメイン名 に予約ドメイン名を追加指定しました。 ユーザがサブドメイン名を自由に登録できるような運用を行なっている ドメインでは、適切な対応を検討することをお勧めします。 関連文書 (日本語) JPRS ISATAPルーター自動発見方式の実装における脆弱性の注意喚起と予約ドメイン名の追加指定について http://jprs.jp/info/notice/20110317-isatap-router-auto-discovery.html Microsoft TechNetオンライン グローバルクエリ禁止リストを管理する http://technet.microsoft.com/ja-jp/library/cc794902%28WS.10%29.aspx 関連文書 (英語) IETF RFC5214: Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) http://tools.ietf.org/html/rfc5214 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Cisco 3月定例バンドル公開延期 Cisco は、Cisco IOS ソフトウェアに関する定例バンドル公開を毎年 3 月と 9月に行なっています。2011年3月11日に発生した東北地方太平洋沖 地震の影響により、ユーザが定例公開に対応できない可能性を考慮し、 Cisco は 2011年3月の定例公開を取り止め、9月まで延期すると発表しま した。 今後、リスクの大きな攻撃事例が発生した場合などには、9月より前に定 例サイクル外の公開を行なう可能性もあるとされています。 参考文献 (日本語) Cisco Systems 2011 年 3 月定例バンドル公開延期のお知らせ http://www.cisco.com/web/JP/support/loc/security/index.html 参考文献 (英語) Cisco Systems March 2011 Bundled Publication Deferred http://www.cisco.com/en/US/products/products_security_advisories_listing.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJNipqrAAoJEDF9l6Rp7OBIeI8H/3OBxk0yhXUq7y7M2+VanbQb 2LRxRqjAoPlrbsTACz4fgmdiaXZgC8/r/vMyvNhtEmmgXTMonIu4Rv4XoLhnJcAs vkY9uTFQXRMUupdxJ1MwMDQTSRDQZo9NTS96/0jA2kBHiNW1J2nvywvRHy6l4HYz jELYnY905e+J4R4E/sMRequlIC77emk7J/d19MeLaqYuo/jrzKJTSwXngZH5oYEH xtYt8FhrXjnnKc3HgilaT8BEpsRv2B8BxKYGQD0dUZt8g6+dgjBUQdpNXqNwkU7/ 4u5i53yYDKi/qnt4+x9tS1a6XFSljvZvxvmnIiCz5YH41TrN04DrDkm+TVjNpP4= =j6pm -----END PGP SIGNATURE-----