JPCERT-WR-2013-1401
2013-04-10
2013-03-31
2013-04-06
PostgreSQL に複数の脆弱性
PostgreSQL には、複数の脆弱性があります。結果として、遠隔の第三者がデー
タベースファイルを破壊するなどの可能性があります。
対象となるバージョンは以下の通りです。
- PostgreSQL 9.2.4 より前のバージョン
- PostgreSQL 9.1.9 より前のバージョン
- PostgreSQL 9.0.13 より前のバージョン
- PostgreSQL 8.4.17 より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに PostgreSQL を更新することで解決します。詳細については、PostgreSQL
が提供する情報を参照してください。
PostgreSQL
2013-04-04 Security Release FAQ
http://www.postgresql.org/support/security/faq/2013-04-04/
Mozilla 製品群に複数の脆弱性
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Firefox 20.0 より前のバージョン
- Firefox ESR 17.0.5 より前のバージョン
- Thunderbird 17.0.5 より前のバージョン
- Thunderbird ESR 17.0.5 より前のバージョン
- SeaMonkey 2.17 より前のバージョン
この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。
Mozilla
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
Splunk にクロスサイトスクリプティングの脆弱性
Splunk には、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が
あります。
対象となるバージョンは以下の通りです。
- Splunk 4.3.0 から 4.3.5 まで
この問題は、Splunk が提供する修正済みのバージョンに Splunk を更新するこ
とで解決します。詳細については、Splunk が提供する情報を参照して下さい。
Splunk
Splunk 4.3.6 addresses one vulnerability - March 25, 2013
http://www.splunk.com/view/SP-CAAAHSQ
Cisco Connected Grid Network Management System に複数の脆弱性
Cisco Connected Grid Network Management System には、複数の脆弱性があり
ます。結果として、遠隔の第三者が、クロスサイトスクリプティング攻撃や
SQL インジェクション攻撃を実行する可能性があります。
この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Cisco が提供する情報を参照して下さ
い。
Cisco Security Notice
Cisco Connected Grid Network Management System SQL Injection Vulnerabilities
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1163
Cisco Security Notice
Cisco Connected Grid Network Management System Cross-Site Scripting Vulnerabilities
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1171
Active! mail に情報漏えいの脆弱性
Active! mail には、情報漏えいの脆弱性があります。結果として、サーバに
UNIX ログイン可能な一般ユーザが、Active! mail の認証情報を取得する可能
性があります。
対象となるバージョンは以下の通りです。
- Active! mail 6
2013年4月9日現在、対策済みのバージョンは公開されていません。以下の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。
- サーバへの UNIX ログインを制限する
- 外部公開インターフェース機能を使用しない
詳細については、株式会社トランスウエアが提供する情報を参照して下さい。
NVIDIA UNIX GPU ディスプレイドライバにバッファオーバーフローの脆弱性
NVIDIA の UNIX 向けディスプレイドライバには、バッファオーバーフローの脆
弱性があります。結果として、システムにログイン可能なユーザが、権限を昇
格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- NVIDIA ドライバ version 304.88 より前のバージョン
- NVIDIA ドライバ version 310.44 より前のバージョン
- NVIDIA ドライバ version 313.30 より前のバージョン
この問題は、NVIDIA が提供する修正済みのバージョンにディスプレイドライバ
を更新することで解決します。詳細については、NVIDIA が提供する情報を参照
して下さい。
Japan Vulnerability Notes JVNVU#95651153
NVIDIA 製ビデオカードのディスプレイドライバにバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU95651153/index.html
NVIDIA SUPPORT
CVE-2013-0131: NVIDIA UNIX GPU Driver ARGB Cursor Buffer Overflow in "NoScanout" Mode.
http://nvidia.custhelp.com/app/answers/detail/a_id/3290
PHP Address Book に SQL インジェクションの脆弱性
PHP Address Book には、SQL インジェクションの脆弱性があります。結果とし
て、遠隔の第三者が、データベースに対して任意の SQL コマンドを実行する可
能性があります。
対象となるバージョンは以下の通りです。
- PHP Address Book 8.2.5
なお、それ以前のバージョンにも本脆弱性が存在する可能性があります。
2013年4月9日現在、対策済みのバージョンは公開されていません。アクセスを
制限することで、本脆弱性の影響を軽減することが可能です。
Japan Vulnerability Notes JVNVU#98376265
PHP Address Book に SQL インジェクションの脆弱性
https://jvn.jp/cert/JVNVU98376265/index.html
Acadion Security Advisory
Several SQL Injection vulnerabilities exist in several PHP scripts of the web application PHP Address Book
http://www.acadion.nl/labs/advisory/20130203-phpaddressbook.html
パスワードの設定について
国内の複数のポータルサイトや、ISP の提供する Web サービスにログインを試
みる攻撃が確認されています。攻撃者は、何らかの方法で有効なアカウントと
パスワードの組み合わせを入手し、そのアカウントとパスワードの組み合わせ
を用いて、複数の Web サービスで不正にログインを試みているようです。
パスワードは、複数サービスで使い回しをすることなく、安全性の高いパスワー
ドを設定するようにしてください。
Microsoft セーフティとセキュリティ センター
安全性の高いパスワードの作成
http://www.microsoft.com/ja-jp/security/online-privacy/passwords-create.aspx