-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2011-4301
                                                                   JPCERT/CC
                                                                  2011-11-09

            <<< JPCERT/CC WEEKLY REPORT 2011-11-09 >>>

――――――――――――――――――――――――――――――――――――――
■10/30(日)〜11/05(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】マイクロソフトの TrueType フォント解析エンジンに脆弱性
【2】NJStar Communicator にバッファオーバーフローの脆弱性
【3】複数のスカイアークシステム製品に脆弱性
【4】CSWorks の LiveData Service に脆弱性
【5】ものづくりNEXT↑2011 のお知らせ
【6】Internet Week 2011 のお知らせ
【今週のひとくちメモ】JP ゾーン DNSSEC 署名開始一年

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2011/wr114301.html
        https://www.jpcert.or.jp/wr/2011/wr114301.xml
============================================================================


【1】マイクロソフトの TrueType フォント解析エンジンに脆弱性

    情報源
      US-CERT Vulnerability Note VU#316553
      Microsoft Windows TrueType font parsing vulnerability
      http://www.kb.cert.org/vuls/id/316553

    概要
      マイクロソフトの TrueType フォント解析エンジンには、脆弱性があり
      ます。結果として、遠隔の第三者が任意のコードを実行する可能性があ
      ります。なお、マイクロソフトによれば、本脆弱性を使用した攻撃の報
      告があるとのことです。

      2011年11月8日現在、この問題に対する解決策は提供されていません。回
      避策として、マイクロソフトは「Fix it」を公開しています。詳細につ
      いては、マイクロソフトが提供する情報を参照してください。
      		

    関連文書 (日本語)
      マイクロソフト セキュリティ アドバイザリ (2639658)
      TrueType フォント解析の脆弱性により、特権が昇格される
      http://technet.microsoft.com/ja-jp/security/advisory/2639658

      Microsoft Security Advisory 2639658
      TrueType フォント解析の脆弱性により、特権が昇格される
      http://support.microsoft.com/kb/2639658/ja

      Japan Vulnerability Notes JVNVU#316553
      Microsoft Windows の TrueType フォント解析処理に脆弱性
      https://jvn.jp/cert/JVNVU316553/index.html

【2】NJStar Communicator にバッファオーバーフローの脆弱性

    情報源
      US-CERT Vulnerability Note VU#819630
      NJStar Communicator MiniSmtp packet processing buffer overflow vulnerability
      http://www.kb.cert.org/vuls/id/819630

    概要
      NJStar Communicator の MiniSmtp server には、TCP パケットの処理に
      起因するバッファオーバーフローの脆弱性があります。結果として、遠
      隔の第三者が管理者権限でアクセスする可能性があります。なお、
      MiniSmtp server は、デフォルトでは無効になっています。また、本脆
      弱性を使用した攻撃コードが公開されています。

      対象となる製品は以下の通りです。

      - NJStar Communicator

      2011年11月8日現在、この問題に対する解決策は提供されていません。回
      避策としては、NJStar Communicator の MiniSmtp server へのアクセス
      を制限するなどの方法があります。
      		

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#819630
      NJStar Communicator にバッファオーバーフローの脆弱性
      https://jvn.jp/cert/JVNVU819630/index.html

    関連文書 (英語)
      NJStar Software Company
      NJStar Communicator Version 3.00
      http://www.njstar.com/cms/njstar-communicator

【3】複数のスカイアークシステム製品に脆弱性

    情報源
      Japan Vulnerability Notes JVN#56667137
      複数のスカイアークシステム製品におけるクロスサイトリクエストフォージェリの脆弱性
      https://jvn.jp/jp/JVN56667137/index.html

      Japan Vulnerability Notes JVN#41032068
      複数のスカイアークシステム製品におけるアクセス制限不備の脆弱性
      https://jvn.jp/jp/JVN41032068/index.html

    概要
      複数のスカイアークシステム製品には、脆弱性があります。結果として、
      遠隔の第三者が情報を改ざんしたり、設定を変更したりする可能性があ
      ります。

      対象となる製品およびバージョンは以下の通りです。

      - MTCMS version 5.251 およびそれ以前
      - MTCMS Enterprise version 5.251 およびそれ以前
      - MTCMS Smart version 5.251 およびそれ以前

      また、以下の Movable Type プラグインも本脆弱性の影響を受けます。

      - MultiFileuploader version 0.44 およびそれ以前
      - MailPack version 1.741 およびそれ以前
      - EntryImExporter version 1.41 およびそれ以前
      - AutoTagging version 0.08 およびそれ以前
      - AuthorEffective version 1.03 およびそれ以前
      - DuplicateEntry version 1.2 およびそれ以前

      この問題は、スカイアークシステムが提供する修正済みのバージョンに、
      該当する製品を更新することで解決します。詳細については、スカイアー
      クシステムが提供する情報を参照してください。
      		

    関連文書 (日本語)
      スカイアークシステム
      [重要]MTCMS 5.252のリリースおよびセキュリティアップデートの提供を開始
      http://www.mtcms.jp/news/product/201110131921.html

      スカイアークシステム
      MultiFileUploader等、プラグインのセキュリティアップデートの提供を開始しました
      http://www.skyarc.co.jp/engineerblog/entry/post_30.html

【4】CSWorks の LiveData Service に脆弱性

    情報源
      Japan Vulnerability Notes JVN#98649286
      CSWorks の LiveData Service におけるサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/jp/JVN98649286/index.html

    概要
      CSWorks の LiveData Service には、TCP パケットの処理に起因する脆
      弱性があります。結果として、遠隔の第三者が細工したパケットを処理
      させることでサービス運用 (DoS) 攻撃を行う可能性があります。

      対象となるバージョンは以下の通りです。

      - CSWorks 2.0.4115.0 およびそれ以前

      この問題は、配布元が提供する修正済みのバージョンに CSWorks を更新
      することで解決します。詳細については、配布元が提供する情報を参照
      してください。
      		

    関連文書 (英語)
      CSWorks
      Important: CSWorks security release 2.0.4115.1
      http://www.controlsystemworks.com/blogengine/post/CSWorks-2041151-security-release.aspx

      CSWorks
      Release History
      http://www.controlsystemworks.com/ProductHistory.aspx

【5】ものづくりNEXT↑2011 のお知らせ

    情報源
      ものづくりNEXT↑2011
      http://www.jma.or.jp/next/

    概要
      2011年11月16日(水)から18日(金)まで、東京ビッグサイト東5・6ホール
      において「ものづくりNEXT↑2011」が開催されます。JPCERT/CC はプロ
      グラムの企画に協力し、特別企画トータル危機管理コーナーに出展する
      とともに、講演会に参加します。

      11月16日 特別企画トータル危機管理コーナー
        http://www.jma.or.jp/next/visitor/seminar01.html
        JPCERT/CC 講演「制御システムセキュリティの新たなる脅威について」
      		

    関連文書 (日本語)
      ものづくりNEXT2011-来場事前登録について
      https://jma.smktg.jp/public/seminar/view/13?lang=ja

【6】Internet Week 2011 のお知らせ

    情報源
      Internet Week 2011
      https://internetweek.jp/

    概要
      2011年11月30日(水)から12月2日(金)まで、富士ソフトアキバプラザにお
      いて JPNIC 主催の Internet Week 2011 が開催されます。JPCERT/CC は
      プログラムの企画・運営に協力、後援をしています。

      12月1日のプログラム「S10 スマートフォンセキュリティ」では、スマー
      トフォンセキュリティに関する様々なトピックを取り扱います。
      JPCERT/CC からも「スマートフォンとセキュリティ脅威」と題した講演を
      行います。

      また、12月2日のプログラム「T6 始めようCSIRT」では、社内の情報セキュ
      リティ対応体制の見直しや改善を検討している皆様向けに、CSIRT とはど
      のようなものか、また、CSIRT 構築に関する具体的なノウハウを紹介する
      予定です。こちらもぜひご参加ください。

      12月1日のプログラム: 
        S10 スマートフォンセキュリティ
        https://internetweek.jp/program/s10/

      12月2日のプログラム: 
        T6 始めよう CSIRT 〜事例から学ぶインシデント・レスポンス〜
      　https://internetweek.jp/program/t6/
      		

    関連文書 (日本語)
      Internet Week 2011 - 参加申込
      https://internetweek.jp/apply/

      Internet Week 2011
      S10 スマートフォンセキュリティ
      https://internetweek.jp/program/s10/

      Internet Week 2011
      T6 始めようCSIRT 〜事例から学ぶインシデント・レスポンス〜
      https://internetweek.jp/program/t6/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JP ゾーン DNSSEC 署名開始一年

      2011年10月、JP ゾーン DNSSEC 署名開始から一年経過しました。

      JPRS は、予定通り 2011年10月6日に新しい鍵を生成する .jp DNSSEC キー
      セレモニーを実施し、2011年11月4日には、旧公開鍵の公開を停止し、
      KSK ロールオーバーがスケジュール通り完了したと発表しています。

    参考文献 (日本語)
      JPRS
      第2回「.jp DNSSECキーセレモニー」の実施について
      http://jprs.jp/info/notice/20111006-keyceremony.html

      JPRS
      .jpゾーンにおけるKSKロールオーバーの完了について
      http://jprs.jp/tech/notice/2011-11-04-jp-ksk-rollover.html

      JPCERT/CC WEEKLY REPORT 2010-10-20
      【今週のひとくちメモ】JP ゾーンの DNSSEC 署名開始
      http://www.jpcert.or.jp/wr/2010/wr104001.html#Memo


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2011 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJOuc/UAAoJEDF9l6Rp7OBIoY4IAJa/U/Yrl/lAVnVyhjA1e1ED
ztGKE2TGnWb1hl1mGnvlW8jgqsGwuJKYo2Sjyymgd+yaqVgpdYX4lN1cIcQtosv/
2b1nLjpYXvf1Bl+Ng516p2IutrHMms153+/68bF9FMNZz66mu1eUxT0SS+Ql3gum
hRIw2sqzIeSFSCfv8nf7FlENj2ODf8QfuVfvhmd+oQNsO1p5sKLQo8GHV7qz8Edi
x0zP7jumEvKZ4YALCZdK0OWMiaj+HlJsXToYAjOdlzyyTwKY7kCEqyntfH7Lhs8Z
5gVGUjRnHKr0FoQz0ylichJ0mmdtRpWRiQ6wVK2sE3oy01fwspyvBxbY8MVRqQA=
=5gHD
-----END PGP SIGNATURE-----