-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-1401 JPCERT/CC 2011-04-13 <<< JPCERT/CC WEEKLY REPORT 2011-04-13 >>> ―――――――――――――――――――――――――――――――――――――― ■04/03(日)〜04/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】ISC DHCP クライアントに脆弱性 【2】Oracle Solaris 10 に脆弱性 【3】WordPress に複数の脆弱性 【4】pWhois Layer Four Traceroute に脆弱性 【5】Password Vault Web Access にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】研修向け情報セキュリティマニュアルのご紹介 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr111401.html https://www.jpcert.or.jp/wr/2011/wr111401.xml ============================================================================ 【1】ISC DHCP クライアントに脆弱性 情報源 US-CERT Vulnerability Note VU#107886 ISC dhclient vulnerability http://www.kb.cert.org/vuls/id/107886 概要 ISC DHCP クライアントには、DHCP サーバからの応答の処理に起因する 脆弱性があります。結果として、遠隔の第三者が細工した応答を処理さ せることで任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - ISC DHCP 3.1-ESV-R1 より前のバージョン - ISC DHCP 4.1-ESV-R2 より前のバージョン - ISC DHCP 4.2.1-P1 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに ISC DHCP を更新することで解決します。詳細については ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#107886 ISC DHCP クライアントに任意のコードを実行される脆弱性 https://jvn.jp/cert/JVNVU107886/index.html 関連文書 (英語) ISC dhclient does not strip or escape shell meta-characters https://www.isc.org/software/dhcp/advisories/cve-2011-0997 【2】Oracle Solaris 10 に脆弱性 情報源 US-CERT Vulnerability Note VU#648244 Oracle Solaris 10 password hashes leaked through back-out patch files http://www.kb.cert.org/vuls/id/648244 概要 Oracle Solaris 10 には、パスワードハッシュ情報が漏えいする脆弱性 があります。結果として、パスワードハッシュを取得した第三者が root や一般ユーザアカウントの認証情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Oracle Solaris 10 この問題は、Oracle が提供するパッチを適用することで解決します。 詳細については、Oracle が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#648244 Oracle Solaris 10 に認証情報漏えいの脆弱性 https://jvn.jp/cert/JVNVU648244/index.html 【3】WordPress に複数の脆弱性 情報源 US-CERT Current Activity Archive WordPress Releases Version 3.1.1 http://www.us-cert.gov/current/archive/2011/04/08/archive.html#wordpress_releases_version_3_1 概要 WordPress には、複数の脆弱性があります。結果として遠隔の第三者が、 サービス運用妨害 (DoS) 攻撃を行ったり、ユーザのブラウザ上で任意の スクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 3.1.1 より前のバージョン この問題は、使用している OS ベンダまたは配布元が提供する修正済み のバージョンに WordPress を更新することで解決します。 関連文書 (日本語) WordPress ブログ WordPress 3.1.1 日本語版 http://ja.wordpress.org/2011/04/08/wordpress-3-1-1-ja/ WordPress ブログ WordPress 3.1.1 http://ja.wordpress.org/2011/04/06/wordpress-3-1-1/ 関連文書 (英語) WordPress News WordPress 3.1.1 http://wordpress.org/news/2011/04/wordpress-3-1-1/ 【4】pWhois Layer Four Traceroute に脆弱性 情報源 US-CERT Vulnerability Note VU#946652 pWhois Layer Four Traceroute 3.x vulnerability http://www.kb.cert.org/vuls/id/946652 概要 pWhois Layer Four Traceroute には、コマンドライン引数の解析処理に 起因する脆弱性があります。結果として、Layer Four Traceroute が SETUID root されている場合、ローカルユーザが root 権限を取得する 可能性があります。 対象となるバージョンは以下の通りです。 - Layer Four Traceroute 3.3 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに Layer Four Traceroute を更新することで解決します。詳細については、配布元が提 供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#946652 pWhois Layer Four Traceroute に権限昇格の脆弱性 https://jvn.jp/cert/JVNVU946652/index.html 関連文書 (英語) The Prefix WhoIs Project Layer Four Traceroute (LFT) and WhoB http://pwhois.org/lft/ 【5】Password Vault Web Access にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#11424086 Password Vault Web Access におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN11424086/index.html 概要 Password Vault Web Access (PVWA) には、クロスサイトスクリプティン グの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ 上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - PVWA v6.0 patch #2 およびそれ以前のバージョン - PVWA v5.5 patch #4 およびそれ以前のバージョン - PVWA v5.0 およびそれ以前のバージョン この問題は、ベンダが提供するパッチを適用することで解決します。詳 細については、ベンダが提供をする情報を参照してください。 関連文書 (日本語) DIT Password Vault Web Accessの脆弱性情報について(CA11-01) http://www.dit.co.jp/support/cyber-ark-pim/index.html#02 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○研修向け情報セキュリティマニュアルのご紹介 JPCERT/CC では、情報セキュリティに関する知識を教える際のガイドラ イン、研修資料のベースとなるような情報やトピックをまとめた資料を 公開しています。無料で利用できますので、ぜひご活用ください。 参考文献 (日本語) JPCERT Coordination Center セキュリティ対策講座 「新入社員等研修向け情報セキュリティマニュアル Rev.2」 https://www.jpcert.or.jp/magazine/security/newcomer-rev2_20100415.pdf JPCERT Coordination Center セキュリティ対策講座 「新入社員等研修向け情報セキュリティクイズ」 https://www.jpcert.or.jp/magazine/security/newcomer_Quiz20100415.pdf JPCERT Coordination Center ライブラリ 電子メールソフトのセキュリティ設定について https://www.jpcert.or.jp/magazine/security/mail/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJNpPFTAAoJEDF9l6Rp7OBIl1wH/2V0Si1o53Hu67ZiRgTIDWQr OQzNhoaDEkr8U4tcT0Ni9IZNzF76KIOo80I9dpwRsXsqx6FYx+/cDDi8DJADHMVj x0QOcmRebrpijDSWrQdpB2D2sRfJ+wfdeD8fbGUn3IEHVxc2c1F/J1XjZQ2oMoPg d6ygPTHJ00bP5cQdvb76tFxswvwoMlM8Uri/lYnYA3excGy9ZdIY58NymFPTizpL Xhesd2SQMtYTRSi8+Vu3C/bsrPeJfsxwlOVcY62UyPoafVRBpWW0ifRXH8fiqNQw PnxdqOlk0KDFNi9fw5gShK6jZRR8xaOfHqcidI5L3bQKO/YlX+9vARXQYlY/jCU= =lIFF -----END PGP SIGNATURE-----