-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-3801 JPCERT/CC 2011-10-05 <<< JPCERT/CC WEEKLY REPORT 2011-10-05 >>> ―――――――――――――――――――――――――――――――――――――― ■09/25(日)〜10/01(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Cisco 製品群に複数の脆弱性 【2】Mozilla 製品群に複数の脆弱性 【3】SSL 3.0 と TLS 1.0 の CBC モードに選択平文攻撃の脆弱性 【4】Quagga に複数の脆弱性 【5】Citrix Provisioning Services に脆弱性 【6】ProjectForum にクロスサイトスクリプティングの脆弱性 【7】BaserCMS に複数の脆弱性 【今週のひとくちメモ】National Cyber Security Awareness Month 2011 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr113801.html https://www.jpcert.or.jp/wr/2011/wr113801.xml ============================================================================ 【1】Cisco 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Security Advisory for Cisco IOS Software Smart Install http://www.us-cert.gov/current/archive/2011/09/29/archive.html#cisco_releases_security_advisory_for28 概要 Cisco 製品群には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行したり、認証を回避したりする可能性がありま す。 対象となる製品は以下の通りです。 - Cisco IOS Software - Cisco 10000 - Cisco Unified Communications Manager - Cisco Unified Presence - Jabber XCP および JabberNow アプライアンス この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Cisco が提供する情報 を参照してください。 関連文書 (日本語) Cisco Event Response Semi-Annual Cisco IOS Software Security Advisory Bundled Publication http://www.cisco.com/cisco/web/support/JP/110/1108/1108620_cisco-sa-20110928-bundle-j.html 【2】Mozilla 製品群に複数の脆弱性 情報源 DOE-CIRC Technical Bulletin T-729 Mozilla Code Installation Through Holding Down Enter http://www.doecirc.energy.gov/bulletins/t-729.shtml 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したり、機密情報を取得 したりする可能性があります。 対象となる製品は以下の通りです。 - Firefox 7.0 より前のバージョン - Firefox 3.6.23 より前のバージョン - Thunderbird 7.0 より前のバージョン - Thunderbird 3.1.15 より前のバージョン - SeaMonkey 2.4 より前のバージョン その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。なお、 Firefox 7.0 および、Thuderbird 7.0、SeaMonkey 2.4 は、一部アドオ ンが消えてしまう問題が確認され、対策版がリリースされています。 関連文書 (日本語) Mozilla Japan Firefox リリースノート - バージョン 7.0.1 - 2011/09/29 リリース http://mozilla.jp/firefox/7.0.1/releasenotes/ Firefox セキュリティアドバイザリ Firefox 7 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox7 Mozilla Japan Firefox リリースノート - バージョン 3.6.23 - 2011/09/27 リリース http://mozilla.jp/firefox/3.6.23/releasenotes/ Firefox 3.6 セキュリティアドバイザリ Firefox 3.6.23 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.23 Mozilla Japan Thunderbird リリースノート - バージョン 7.0.1 - 2011/09/30 リリース http://mozilla.jp/thunderbird/7.0.1/releasenotes/ Thunderbird セキュリティアドバイザリ Thunderbird 7 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird7 Mozilla Japan Thunderbird リリースノート - バージョン 3.1.15 - 2011/09/27 リリース http://mozilla.jp/thunderbird/3.1.15/releasenotes/ Thunderbird 3.1 セキュリティアドバイザリ Thunderbird 3.1.15 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.15 関連文書 (英語) Security Advisories for SeaMonkey SeaMonkey 2.4 http://www.mozilla.org/security/known-vulnerabilities/seamonkey.html#seamonkey2.4 The SeaMonkey project SeaMonkey 2.4.1 http://www.seamonkey-project.org/releases/seamonkey2.4/ 【3】SSL 3.0 と TLS 1.0 の CBC モードに選択平文攻撃の脆弱性 情報源 US-CERT Vulnerability Note VU#864643 SSL 3.0 and TLS 1.0 allow chosen plaintext attack in CBC modes http://www.kb.cert.org/vuls/id/864643 概要 HTTPS などで使用される暗号通信プロトコル SSL 3.0 と TLS 1.0 には、 選択平文攻撃を受ける脆弱性があります。結果として、遠隔の第三者が 暗号化した通信を復号する可能性があります。 対策としては、TLS 1.1 や TLS 1.2 を有効にする、RC4 アルゴリズムを 優先して使用するなどの方法があります。各ベンダーはこの問題に対す る対応を順次発表しています。詳細については、各ベンダや配布元が提 供する情報を参照してください。 関連文書 (日本語) Microsoft セキュリティ TechCenter マイクロソフト セキュリティ アドバイザリ (2588513) http://technet.microsoft.com/ja-jp/security/advisory/2588513 マイクロソフト サポート オンライン マイクロソフト セキュリティ アドバイザリ: SSL/TLS の脆弱性により、情報漏えいが起こる http://support.microsoft.com/kb/2588513 Mozilla Japan ブログ TLS 暗号化通信に対する攻撃の Firefox への影響 http://mozilla.jp/blog/entry/7289/ Japan Vulnerability Notes JVNVU#864643 SSL と TLS の CBC モードに選択平文攻撃の脆弱性 https://jvn.jp/cert/JVNVU864643/index.html 関連文書 (英語) Microsoft Security Research & Defense Is SSL broken? - More about Security Advisory 2588513 http://blogs.technet.com/b/srd/archive/2011/09/26/is-ssl-broken-more-about-security-advisory-2588513.aspx OpenSSL Project Security of CBC Ciphersuites in SSL/TLS: Problems and Countermeasures https://www.openssl.org/~bodo/tls-cbc.txt IETF RFC 4346 The Transport Layer Security (TLS) Protocol Version 1.1 http://tools.ietf.org/html/rfc4346 IETF RFC 5246 The Transport Layer Security (TLS) Protocol Version 1.2 http://tools.ietf.org/html/rfc5246 【4】Quagga に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#668534 Multiple Quagga remote component vulnerabilities http://www.kb.cert.org/vuls/id/668534 CERT-FI Reports CERT-FI Advisory on Quagga http://www.cert.fi/en/reports/2011/vulnerability539178.html 概要 ルーティングソフトウェア Quagga には、複数の脆弱性があります。結 果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、任 意のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Quagga 0.99.19 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Quagga を更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#668534 Quagga に複数の脆弱性 https://jvn.jp/cert/JVNVU668534/index.html 関連文書 (英語) quagga.net 2011-09-29: Quagga 0.99.20 Released http://www.quagga.net/news2.php?y=2011&m=9&d=29#id1285765920 【5】Citrix Provisioning Services に脆弱性 情報源 DOE-CIRC Technical Bulletin T-730 Vulnerability in Citrix Provisioning Services could result in Arbitrary Code Execution http://www.doecirc.energy.gov/bulletins/t-730.shtml 概要 Citrix Provisioning Services には、脆弱性があります。結果として、 遠隔の第三者が Citrix Provisioning Services を実行している権限で 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Citrix Provisioning Services 5.6 Service Pack 1 およびそれ以前 この問題は、Citrix が提供する修正済みのバージョンに Citrix Provisioning Services を更新することで解決します。詳細については、 Citrix が提供する情報を参照してください。 関連文書 (英語) Citrix Knowledge Center CTX130846 Vulnerability in Citrix Provisioning Services could result in Arbitrary Code Execution http://support.citrix.com/article/CTX130846 【6】ProjectForum にクロスサイトスクリプティングの脆弱性 情報源 US-CERT Vulnerability Note VU#901251 ProjectForum XSS vulnerability http://www.kb.cert.org/vuls/id/901251 概要 ProjectForum には、クロスサイトスクリプティングの脆弱性がありま す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ トを実行する可能性があります。 対象となるバージョンは以下の通りです。 - ProjectForum 7.0.1.3038 およびそれ以前 2011年10月4日現在、この問題に対する解決策は提供されていません。 回避策としては、信頼できるホストやネットワークに接続を限定するな どの方法があります。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#901251 ProjectForum におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/cert/JVNVU901251/index.html 関連文書 (英語) CourseForum Technologies ProjectForum http://www.courseforum.com/pf/ 【7】BaserCMS に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#09789751 BaserCMS におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN09789751/index.html Japan Vulnerability Notes JVN#16617002 BaserCMS におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN16617002/index.html 概要 オープンソースのコンテンツ管理システム BaserCMS には、複数の脆弱 性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意 のスクリプトを実行したり、管理者権限のないユーザが管理者のユーザ 情報を変更したりする可能性があります。 対象となるバージョンは以下の通りです。 - BaserCMS 1.6.13.1 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに BaserCMS を更 新することで解決します。詳細については、配布元が提供する情報を参 照してください。 関連文書 (日本語) BaserCMS JVN09789751 / JVN16617002 に対応する改善ファイル一覧 http://basercms.net/patch/JVN09789751 BaserCMS BaserCMS ダウンロード http://basercms.net/download/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○National Cyber Security Awareness Month 2011 米国では、毎年10月を "National Cyber Security Awareness Month" として、情報セキュリティに関する啓発活動を展開しています。この活 動には、米国国土安全保障省、NCSA (National Cyber Security Alliance)、Multi-State ISAC、各種非営利団体、IT 系企業などが参加 しており、様々なユーザ層に向けた活動が行われています。 参考文献 (英語) National Cyber Security Alliance National Cyber Security Awareness Month (NCSAM) http://www.staysafeonline.org/ncsam 米国国土安全保障省 (DHS) National Cybersecurity Awareness Month http://www.dhs.gov/files/programs/gc_1158611596104.shtm SANS Internet Storm Center ISC Diary Cyber Securyt Month Day 1/2 - Schedule http://isc.sans.edu/diary.html?storyid=11710 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJOi64NAAoJEDF9l6Rp7OBI6RwH/2XtD8OnaSQ1yFc0xY+ll85R uDw4EO+TXTKtKzJvUP7S0bO3dPHXeNUsAPyxSWzF94ZWv/NXhZrL2cRcXt9bSVFR qQ7HbRxcCQunNiEIW9gy3m7fjGmXZa6xZWgEqF1/ynzb/n7AjtGtozwkL4XaNJL9 Q314QRASkQKsUGWTh0wKkgisqbHKpjBJm17oK5zTnP2c4i97EKhe8aRUqp9YvMPQ O1WAU5q5C8jOPzAYEG/qwf4WIqh6pfHFjlN+NK9XBbfLdzPxxq6jiDu2vOSBm6qD KisyxUGN5jMqRZ9eHBZKY1qxD/EPsGTVZc9SdXFPQVC1JEdg7SolFM61wSn7YHA= =x2i5 -----END PGP SIGNATURE-----