-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2013-1401
                                                                   JPCERT/CC
                                                                  2013-04-10

            <<< JPCERT/CC WEEKLY REPORT 2013-04-10 >>>

――――――――――――――――――――――――――――――――――――――
■03/31(日)〜04/06(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】PostgreSQL に複数の脆弱性
【2】Mozilla 製品群に複数の脆弱性
【3】Splunk にクロスサイトスクリプティングの脆弱性
【4】Cisco Connected Grid Network Management System に複数の脆弱性
【5】Active! mail に情報漏えいの脆弱性
【6】NVIDIA UNIX GPU ディスプレイドライバにバッファオーバーフローの脆弱性
【7】PHP Address Book に SQL インジェクションの脆弱性
【今週のひとくちメモ】パスワードの設定について

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2013/wr131401.html
        https://www.jpcert.or.jp/wr/2013/wr131401.xml
============================================================================


【1】PostgreSQL に複数の脆弱性

    情報源
      PostgreSQL
      PostgreSQL 9.2.4, 9.1.9, 9.0.13 and 8.4.17 released
      http://www.postgresql.org/about/news/1456/

    概要
      PostgreSQL には、複数の脆弱性があります。結果として、遠隔の第三者がデー
      タベースファイルを破壊するなどの可能性があります。

      対象となるバージョンは以下の通りです。

      - PostgreSQL 9.2.4 より前のバージョン
      - PostgreSQL 9.1.9 より前のバージョン
      - PostgreSQL 9.0.13 より前のバージョン
      - PostgreSQL 8.4.17 より前のバージョン

      この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
      ンに PostgreSQL を更新することで解決します。詳細については、PostgreSQL
      が提供する情報を参照してください。

    関連文書 (英語)
      PostgreSQL
      2013-04-04 Security Release FAQ
      http://www.postgresql.org/support/security/faq/2013-04-04/

【2】Mozilla 製品群に複数の脆弱性

    情報源
      JC3 Bulletin
      V-126: Mozilla Firefox Multiple Vulnerabilities
      http://energy.gov/cio/articles/v-126-mozilla-firefox-multiple-vulnerabilities

    概要
      Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Firefox 20.0 より前のバージョン
      - Firefox ESR 17.0.5 より前のバージョン
      - Thunderbird 17.0.5 より前のバージョン
      - Thunderbird ESR 17.0.5 より前のバージョン
      - SeaMonkey 2.17 より前のバージョン

      この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
      することで解決します。詳細については、Mozilla が提供する情報を参照して
      下さい。

    関連文書 (日本語)
      Mozilla
      Mozilla Foundation セキュリティアドバイザリ
      http://www.mozilla-japan.org/security/announce/

【3】Splunk にクロスサイトスクリプティングの脆弱性

    情報源
      JC3 Bulletin
      V-124: Splunk Web Input Validation Flaw Permits Cross-Site Scripting Attacks
      http://energy.gov/cio/articles/v-124-splunk-web-input-validation-flaw-permits-cross-site-scripting-attacks

    概要
      Splunk には、クロスサイトスクリプティングの脆弱性があります。結果として、
      遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が
      あります。

      対象となるバージョンは以下の通りです。

      - Splunk 4.3.0 から 4.3.5 まで

      この問題は、Splunk が提供する修正済みのバージョンに Splunk を更新するこ
      とで解決します。詳細については、Splunk が提供する情報を参照して下さい。

    関連文書 (英語)
      Splunk
      Splunk 4.3.6 addresses one vulnerability - March 25, 2013
      http://www.splunk.com/view/SP-CAAAHSQ

【4】Cisco Connected Grid Network Management System に複数の脆弱性

    情報源
      JC3 Bulletin
      V-125: Cisco Connected Grid Network Management System Multiple Vulnerabilities
      http://energy.gov/cio/articles/v-125-cisco-connected-grid-network-management-system-multiple-vulnerabilities

    概要
      Cisco Connected Grid Network Management System には、複数の脆弱性があり
      ます。結果として、遠隔の第三者が、クロスサイトスクリプティング攻撃や
      SQL インジェクション攻撃を実行する可能性があります。

      この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
      ることで解決します。詳細については、Cisco が提供する情報を参照して下さ
      い。

    関連文書 (英語)
      Cisco Security Notice
      Cisco Connected Grid Network Management System SQL Injection Vulnerabilities
      http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1163

      Cisco Security Notice
      Cisco Connected Grid Network Management System Cross-Site Scripting Vulnerabilities
      http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1171

【5】Active! mail に情報漏えいの脆弱性

    情報源
      Japan Vulnerability Notes JVN#04288738
      Active! mail における情報漏えいの脆弱性
      https://jvn.jp/jp/JVN04288738/index.html

    概要
      Active! mail には、情報漏えいの脆弱性があります。結果として、サーバに
      UNIX ログイン可能な一般ユーザが、Active! mail の認証情報を取得する可能
      性があります。

      対象となるバージョンは以下の通りです。

      - Active! mail 6

      2013年4月9日現在、対策済みのバージョンは公開されていません。以下の回避
      策を適用することで、本脆弱性の影響を軽減することが可能です。

      - サーバへの UNIX ログインを制限する
      - 外部公開インターフェース機能を使用しない

      詳細については、株式会社トランスウエアが提供する情報を参照して下さい。

【6】NVIDIA UNIX GPU ディスプレイドライバにバッファオーバーフローの脆弱性

    情報源
      US-CERT Vulnerability Note VU#771620
      NVIDIA UNIX GPU driver ARGB cursor buffer overflow in "NoScanout" mode
      http://www.kb.cert.org/vuls/id/771620

    概要
      NVIDIA の UNIX 向けディスプレイドライバには、バッファオーバーフローの脆
      弱性があります。結果として、システムにログイン可能なユーザが、権限を昇
      格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

      対象となるバージョンは以下の通りです。

      - NVIDIA ドライバ version 304.88 より前のバージョン
      - NVIDIA ドライバ version 310.44 より前のバージョン
      - NVIDIA ドライバ version 313.30 より前のバージョン

      この問題は、NVIDIA が提供する修正済みのバージョンにディスプレイドライバ
      を更新することで解決します。詳細については、NVIDIA が提供する情報を参照
      して下さい。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#95651153
      NVIDIA 製ビデオカードのディスプレイドライバにバッファオーバーフローの脆弱性
      https://jvn.jp/cert/JVNVU95651153/index.html

    関連文書 (英語)
      NVIDIA SUPPORT
      CVE-2013-0131: NVIDIA UNIX GPU Driver ARGB Cursor Buffer Overflow in "NoScanout" Mode.
      http://nvidia.custhelp.com/app/answers/detail/a_id/3290

【7】PHP Address Book に SQL インジェクションの脆弱性

    情報源
      US-CERT Vulnerability Note VU#183692
      PHP Address Book sqli vulnerability
      http://www.kb.cert.org/vuls/id/183692

    概要
      PHP Address Book には、SQL インジェクションの脆弱性があります。結果とし
      て、遠隔の第三者が、データベースに対して任意の SQL コマンドを実行する可
      能性があります。

      対象となるバージョンは以下の通りです。

      - PHP Address Book 8.2.5

      なお、それ以前のバージョンにも本脆弱性が存在する可能性があります。

      2013年4月9日現在、対策済みのバージョンは公開されていません。アクセスを
      制限することで、本脆弱性の影響を軽減することが可能です。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#98376265
      PHP Address Book に SQL インジェクションの脆弱性
      https://jvn.jp/cert/JVNVU98376265/index.html

    関連文書 (英語)
      Acadion Security Advisory
      Several SQL Injection vulnerabilities exist in several PHP scripts of the web application PHP Address Book
      http://www.acadion.nl/labs/advisory/20130203-phpaddressbook.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○パスワードの設定について

      国内の複数のポータルサイトや、ISP の提供する Web サービスにログインを試
      みる攻撃が確認されています。攻撃者は、何らかの方法で有効なアカウントと
      パスワードの組み合わせを入手し、そのアカウントとパスワードの組み合わせ
      を用いて、複数の Web サービスで不正にログインを試みているようです。

      パスワードは、複数サービスで使い回しをすることなく、安全性の高いパスワー
      ドを設定するようにしてください。

    参考文献 (日本語)
      Microsoft セーフティとセキュリティ センター
      安全性の高いパスワードの作成
      http://www.microsoft.com/ja-jp/security/online-privacy/passwords-create.aspx


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2013 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJRZLj9AAoJEDF9l6Rp7OBIAawH/1pc1NT6tdJgIcObyLrq+oQs
88P9WZTLcYnmPgI3uBn0rSHE45ENnso/goA1fVE/Lcc+wvftYYWt2UkeoLProQDT
bsaFrG6FCeWbg9nC0ylhv61EVajtzfuiFdesSmSINly4mkthN/Zuo9/Xi6Yptz9s
AMac2TWDtjXJTWpuktsL/sPnqy/P0zXNAe/LalwNOgjiI3tatXbB3nZtHpaV0yAx
KTmpyhQWxihqqPVbxGiZvwgFVEqdAhdBzQVhRTu8v6KIdddFvNoqDFfSTdouvlYG
VRegyqlVQUt3L6frmDNkRRJnR2IZjx785PkfPL4FK3q4s1/OzRKQbwVJEOPxmo8=
=xhAe
-----END PGP SIGNATURE-----