-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-1901 JPCERT/CC 2011-05-25 <<< JPCERT/CC WEEKLY REPORT 2011-05-25 >>> ―――――――――――――――――――――――――――――――――――――― ■05/15(日)〜05/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Opera ブラウザに脆弱性 【2】OpenSSL の実装に問題 【3】SmarterTools の Web サーバに複数の脆弱性 【4】RADVISION iVIEW Suite に SQL インジェクションの脆弱性 【5】第9回迷惑メール対策カンファレンス 【今週のひとくちメモ】Windows Vista SP1 サポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr111901.html https://www.jpcert.or.jp/wr/2011/wr111901.xml ============================================================================ 【1】Opera ブラウザに脆弱性 情報源 DOE-CIRC Technical Bulletin T-625 Opera Frameset Handling Memory Corruption Vulnerability http://www.doecirc.energy.gov/bulletins/t-625.shtml 概要 Opera ブラウザには、脆弱性があります。結果として、遠隔の第三者が 細工した Web ページを閲覧させることで任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 11.11 より前のバージョン この問題は、Opera が提供する修正済みのバージョンに Opera ブラウザ を更新することで解決します。 関連文書 (日本語) Opera Japan ブログ Opera 11.11 http://my.opera.com/chooseopera-Japan/blog/2011/05/18/opera-11-11 関連文書 (英語) Opera Software Advisory: Frameset issue allows execution of arbitrary code http://www.opera.com/support/kb/view/992/ Opera Software Opera 11.11 for Windows changelog http://www.opera.com/docs/changelogs/windows/1111/ 【2】OpenSSL の実装に問題 情報源 US-CERT Vulnerability Note VU#536044 OpenSSL leaks ECDSA private key through a remote timing attack http://www.kb.cert.org/vuls/id/536044 概要 OpenSSL を実装した複数の製品には、脆弱性があります。結果として、 遠隔の第三者がタイミング攻撃 (timing attack) を行うことで ECDSA の秘密鍵を取得する可能性があります。 2011年5月24日現在、この問題に対する解決策は提供されていません。 回避策としては、ECDSA による認証方式を使用しないなどの方法があり ます。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#536044 OpenSSL における ECDSA 秘密鍵が漏えいしてしまう問題 https://jvn.jp/cert/JVNVU536044/index.html 関連文書 (英語) OpenSSL Documents, ecdsa(3) http://www.openssl.org/docs/crypto/ecdsa.html 【3】SmarterTools の Web サーバに複数の脆弱性 情報源 US-CERT Vulnerability Note VU#240150 SmarterTools default basic web server vulnerabilities http://www.kb.cert.org/vuls/id/240150 概要 SmarterTools の Web サーバには、複数の脆弱性があります。結果とし て、遠隔の第三者が任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - SmarterTools 製アプリケーションによりインストールされる Web サーバ 2011年5月24日現在、この問題に対する解決策は提供されていません。 SmarterTools によると、運用では Microsoft Internet Information Services (IIS) を使用することを推奨しています。詳細については、 SmarterTools が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#240150 SmarterTools 製ウェブサーバに複数の脆弱性 https://jvn.jp/cert/JVNVU240150/index.html 関連文書 (英語) SmarterTools Set up SmarterMail as an IIS Site (IIS 6.0) http://portal.smartertools.com/KB/a1484/set-up-smartermail-as-an-iis-site-iis-60.aspx SmarterTools Set up SmarterMail as a Site in IIS 7.0 http://portal.smartertools.com/KB/a1485/set-up-smartermail-as-a-site-in-iis-70.aspx 【4】RADVISION iVIEW Suite に SQL インジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#77697803 RADVISION iVIEW Suite における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN77697803/index.html 概要 RADVISION のビデオ会議システム SCOPIA に同梱されているビデオ会議 ネットワーク運用管理ツール iVIEW Suite には、SQL インジェクション の脆弱性があります。結果として、遠隔の第三者が iVIEW Suite で管理 している情報を閲覧したり、変更したりする可能性があります。 対象となる製品は以下の通りです。 - RADVISION iVIEW Suite v7.5 より前のバージョン この問題は、RADIVISION が提供する修正済みのバージョンに RADVISION iVIEW Suite を更新することで解決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター RADVISION製「iVIEW Suite」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/about/press/20110519.html 【5】第9回迷惑メール対策カンファレンス 情報源 財団法人インターネット協会事務局 IAjapan 第9回迷惑メール対策カンファレンス http://www.iajapan.org/anti_spam/event/2011/conf0527/index.html 概要 2011年5月27日、コクヨホールにて「第9回迷惑メール対策カンファレン ス」が開催されます。本カンファレンスでは、迷惑メール対策技術全体 を概観し、送信ドメイン認証技術の国内におけるさらなる普及推進の必 要性や電子署名方式の送信ドメイン認証技術である DKIM (DomainKeys Identified Mail) の普及推進状況も解説します。 JPCERT/CC からは、フィッシング対策協議会事務局を務めるスタッフが、 2010年のフィッシング詐欺への取り組みやフィッシング対策ガイドライ ンについて紹介します。 電話、Web での予約申込は前日 (5月26日) まで、当日はローソンの店頭 端末でのみ申し込みが可能です。皆様のご参加をお待ちしております。 関連文書 (日本語) 財団法人インターネット協会事務局 迷惑メール対策委員会 http://www.iajapan.org/anti_spam/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Windows Vista SP1 サポート終了 2011年7月12日に Microsoft Windows Vista SP1 のサポートが終了する 予定です。サポート終了後はセキュリティ更新は提供されません。現在、 Windows Vista SP1 を使用している場合は、SP2 の適用を至急検討して ください。 参考文献 (日本語) マイクロソフト サポート オンライン プロダクト サポート ライフサイクル - 製品一覧 http://support.microsoft.com/select/?target=lifecycle&ln=ja 参考文献 (英語) Microsoft TechNet Blog Upcoming end of support: Windows Vista SP1 http://blogs.technet.com/b/smallbusiness/archive/2011/05/16/upcoming-end-of-support-windows-vista-sp1.aspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJN3FLEAAoJEDF9l6Rp7OBI+QkH/0nmMOU/U6jC9OPZAmpmWTqK 99xyT1eYmxkaW0W1/GtciZrzQJOBdi9D/r87zxSc+wzHkMq2xnRKUDT+kA5HFrFy iBPRA6nW5XHf5PALOyqoQX1RZPqQBPngCF5M1/Q6KqEbfLikmFslYNs87ur3a0xd eOj9vHUkv2IWO5UtPQab7WhFqu8miBtjOyGxe6eycvu79Rv6vuQQlf7ylFJi7Ukj l7qDIkwmkOV1u+3pZiyioNxNlPAA7JB+w/pcEjso1VUB4T7gF8Ov/njcwixMumic sx8GTACq0TeUfsiLTq+UnE+g5T7m3PAKS4t16Oxq2DBRhgwFonr64mNWMhtJgRw= =gTdU -----END PGP SIGNATURE-----