JPCERT コーディネーションセンター

Weekly Report 2008-07-02号

JPCERT-WR-2008-2501
JPCERT/CC
2008-07-02

<<< JPCERT/CC WEEKLY REPORT 2008-07-02 >>>

■06/22(日)〜06/28(土) のセキュリティ関連情報

目 次

【1】Adobe Reader と Adobe Acrobat に脆弱性

【2】Microsoft Internet Explorer に脆弱性

【3】Microsoft Internet Explorer 6 にクロスドメインの脆弱性

【4】サイボウズの複数の製品にクロスサイトリクエストフォージェリの脆弱性

【5】サイボウズガルーンに複数の脆弱性

【6】nProtect Netizen に脆弱性

【7】Caucho Resin にクロスサイトスクリプティングの脆弱性

【8】IBM Java2 JRE および SDK に複数の脆弱性

【9】FreeType に複数の脆弱性

【10】sblim ライブラリに脆弱性

【11】JPCERT/CC 調査・研究公開資料のご案内

【今週のひとくちメモ】マイクロソフトが SQL インジェクション対策ツールを公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr082501.txt
https://www.jpcert.or.jp/wr/2008/wr082501.xml

【1】Adobe Reader と Adobe Acrobat に脆弱性

情報源

US-CERT Vulnerability Note VU#788019
Adobe Reader and Adobe Acrobat contain an unspecified flaw in a JavaScript method
http://www.kb.cert.org/vuls/id/788019

CIAC Bulletin S-326
Security Update for Adobe reader and Acrobat 8.1.2
http://www.ciac.org/ciac/bulletins/s-326.shtml

概要

Adobe Reader および Adobe Acrobat の JavaScript メソッドには、入
力値を適切に処理できない脆弱性があります。結果として、遠隔の第三
者が細工した PDF ファイルをユーザに閲覧させることで任意のコード
を実行する可能性があります。

また、Adobe によると本脆弱性に対する攻撃活動が行われていると報告
されています。

対象となる製品およびバージョンは以下の通りです。

- Adobe Reader 8.0 から 8.1.2 まで
- Adobe Reader 7.0.9 およびそれ以前
- Adobe Acrobat Professional、3D および Standard の 8.0 から 
  8.1.2 まで
- Adobe Acrobat Professional、3D および Standard の 7.0.9 および
  それ以前

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Adobe が提供する情報
を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#788019
Adobe Reader および Adobe Acrobat の JavaScript メソッドに入力値を適切に処理できない脆弱性
http://jvn.jp/cert/JVNVU788019/index.html

JPCERT/CC Alert 2008-06-24
Adobe Acrobat 及び Adobe Reader の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080012.txt

@police
アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて
http://www.cyberpolice.go.jp/important/2008/20080624_111241.html

関連文書 (英語)

Adobe Security bulletin APSB08-15
Security Update available for Adobe Reader and Acrobat 8.1.2
http://www.adobe.com/support/security/bulletins/apsb08-15.html

【2】Microsoft Internet Explorer に脆弱性

情報源

US-CERT Vulnerability Note VU#516627
Microsoft Internet Explorer fails to properly restrict access to frames
http://www.kb.cert.org/vuls/id/516627

概要

Microsoft Internet Explorer には、フレームへのアクセスを制限する
機能に脆弱性があります。結果として、遠隔の第三者が細工した HTML 
文書を閲覧させることで、別のドメインのフレームから情報を取得する
可能性があります。

なお、本件に関しては攻撃方法に関する情報が公開されています。

対象となるバージョンは以下の通りです。

- Microsoft Internet Explorer 6、7 および 8 beta 1

2008年7月1日現在、この問題に対する修正プログラムは提供されていま
せん。

回避策としては、Microsoft Internet Explorer のインターネットゾー
ンにおけるアクティブスクリプト機能を無効にするなどの方法がありま
す。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#516627
Microsoft Internet Explorer におけるフレーム間のアクセスを適切に制限できない脆弱性
http://jvn.jp/cert/JVNVU516627/index.html

Microsoft
Windows Internet Explorer
http://www.microsoft.com/japan/windows/products/winfamily/ie/default.mspx

【3】Microsoft Internet Explorer 6 にクロスドメインの脆弱性

情報源

US-CERT Vulnerability Note VU#923508
Microsoft Internet Explorer 6 contains a cross-domain vulnerability
http://www.kb.cert.org/vuls/id/923508

概要

Microsoft Internet Explorer 6 には、クロスドメインの脆弱性があり
ます。結果として、遠隔の第三者が細工した HTML 文書を閲覧させるこ
とで、別のドメインの情報を取得する可能性があります。

なお、本件に関しては攻撃方法に関する情報が公開されています。

対象となるバージョンは以下の通りです。

- Microsoft Internet Explorer 6

2008年7月1日現在、この問題に対する修正プログラムは提供されていま
せん。

回避策としては、Microsoft Internet Explorer のアクティブスクリプ
ト機能を無効にする、Microsoft Internet Explorer 7 に更新するなど
の方法があります。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#923508
Microsoft Internet Explorer 6 にクロスドメインの脆弱性
http://jvn.jp/cert/JVNVU923508/index.html

Microsoft
Windows Internet Explorer
http://www.microsoft.com/japan/windows/products/winfamily/ie/default.mspx

【4】サイボウズの複数の製品にクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#18405927
複数のサイボウズ製品におけるクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN18405927/index.html

概要

サイボウズの複数の製品には、クロスサイトリクエストフォージェリの
脆弱性があります。結果として、遠隔の第三者が細工した Web ページ
を閲覧させることで、スケジュールや設定を変更する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- サイボウズ Office 6
- サイボウズ デヂエ 6.0(1.0) より前のバージョン
- サイボウズ ガルーン 2.0.0 から 2.1.3 まで

この問題は、サイボウズが提供する修正済みのバージョンに該当する製
品を更新することで解決します。

関連文書 (日本語)

サイボウズ
クロスサイトリクエストフォージェリ(CSRF)の脆弱性 【CY07-12-001】
http://cybozu.co.jp/products/dl/notice/detail/0016.html

サイボウズ
クロスサイトリクエストフォージェリ(CSRF)の脆弱性【CY08-04-001】
http://cybozu.co.jp/products/dl/notice/detail/0018.html

【5】サイボウズガルーンに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#18700809
サイボウズガルーンにおけるセッション固定の脆弱性
http://jvn.jp/jp/JVN18700809/index.html

Japan Vulnerability Notes JVN#52363223
サイボウズガルーンにおいて任意のスクリプトが実行される脆弱性
http://jvn.jp/jp/JVN52363223/index.html

概要

サイボウズガルーンには、複数の脆弱性があります。結果として、遠隔
の第三者がログインしているユーザの権限で任意の操作を行ったり、ユー
ザのブラウザ上で任意のコードを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- サイボウズガルーン 2.0.0 から 2.1.3 まで

この問題は、サイボウズが提供する修正済みのバージョン 2.5.0 にサ
イボウズガルーンを更新することで解決します。

関連文書 (日本語)

サイボウズ
Session Fixationの脆弱性【CY08-04-004】
http://cybozu.co.jp/products/dl/notice/detail/0021.html

サイボウズ
クロスサイトスクリプティングの脆弱性【CY08-04-006】
http://cybozu.co.jp/products/dl/notice/detail/0023.html

【6】nProtect Netizen に脆弱性

情報源

Japan Vulnerability Notes JVN#36635562
nProtect : Netizen におけるサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/jp/JVN36635562/index.html

概要

ネットムーブが提供する nProtect Netizen には、脆弱性があります。
結果として、遠隔の第三者が細工した Web ページを閲覧させることで
サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- nProtect Netizen Ver5 の npstarter.ocx が「2008, 6, 16, 1」
  より前のバージョン

この問題は、ネットムーブが提供する修正アップデートを nProtect
Netizen に適用することで解決します。

関連文書 (日本語)

ネットムーブ株式会社
nProtect Netizenに脆弱性発見、並びに対応完了のご報告
http://nprotect.jp/news/news080620.html

【7】Caucho Resin にクロスサイトスクリプティングの脆弱性

情報源

US-CERT Vulnerability Note VU#305208
Caucho Resin vulnerable to XSS via "file" parameter to "viewfile"
http://www.kb.cert.org/vuls/id/305208

概要

Caucho Resin には、クロスサイトスクリプティングの脆弱性がありま
す。結果として、遠隔の第三者がユーザのブラウザ上で任意のコードを
実行する可能性があります。

対象となるバージョンは以下の通りです。

- Caucho Resin 3.0 系の 3.0.25 より前のバージョン
- Caucho Resin 3.1 系の 3.1.4 より前のバージョン

この問題は、Caucho が提供する修正済みのバージョンに Caucho Resin 
を更新することで解決します。

関連文書 (英語)

Caucho Technology, Inc.
resin change log
http://www.caucho.com/resin/changes/changes-31.xtp#3.1.4%20-%20Dec%205,%202007

【8】IBM Java2 JRE および SDK に複数の脆弱性

情報源

CIAC Bulletin S-327
IBMJava2 Security Update
http://www.ciac.org/ciac/bulletins/s-327.shtml

概要

IBM Java2 JRE および SDK には、複数の脆弱性があります。結果とし
て、遠隔の第三者が権限を昇格したり、任意のコードを実行したりする
可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに IBM Java2 を更新することで解決します。詳細について
は、OS のベンダや配布元が提供する情報を参照してください。

関連文書 (英語)

IBM developerWorks: Java Technology
IBM developer kits
http://www.ibm.com/developerworks/java/jdk/docs.html

IBM developerWorks: Java Technology
Security alerts
http://www.ibm.com/developerworks/java/jdk/alerts/

Red Hat Security Advisory RHSA-2008:0133-6
Moderate: IBMJava2 security update
https://rhn.redhat.com/errata/RHSA-2008-0133.html

【9】FreeType に複数の脆弱性

情報源

CIAC Bulletin S-328
FreeType Security Update
http://www.ciac.org/ciac/bulletins/s-328.shtml

概要

FreeType には、複数の脆弱性があります。結果として、遠隔の第三者
が細工したフォントファイルを読み込ませることで、FreeType を使用
するアプリケーションをクラッシュさせたり、任意のコードを実行した
りする可能性があります。

対象となるバージョンは以下の通りです。

- FreeType 2.3.6 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに FreeType を更新することで解決します。

関連文書 (英語)

The FreeType Project
FreeType 2 Overview
http://www.freetype.org/freetype2/index.html

The FreeType Project
CHANGES BETWEEN 2.3.6 and 2.3.5
http://sourceforge.net/project/shownotes.php?group_id=3157&release_id=605780

Red Hat Security Advisory RHSA-2008:0556-8
Important: freetype security update
https://rhn.redhat.com/errata/RHSA-2008-0556.html

【10】sblim ライブラリに脆弱性

情報源

CIAC Bulletin S-329
SBLIM Security Update
http://www.ciac.org/ciac/bulletins/s-329.shtml

概要

sblim ライブラリには、脆弱性があります。結果として、ローカルユー
ザが細工したファイルを特定のディレクトリに置くことで、sblim ライ
ブラリを使用するアプリケーションを実行したユーザの権限で任意のコー
ドを実行する可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに sblim ライブラリを更新することで解決します。

関連文書 (英語)

Standards Based Linux Instrumentation
http://sblim.wiki.sourceforge.net/

Red Hat Security Advisory RHSA-2008:0497-3
Important: sblim security update
https://rhn.redhat.com/errata/RHSA-2008-0497.html

【11】JPCERT/CC 調査・研究公開資料のご案内

情報源

JPCERT/CC
JPCERT/CCからのお知らせ
http://www.jpcert.or.jp/update.html

概要

JPCERT/CC では、以下 4点の調査・研究報告書を公開しました。詳細は
各資料の URL から概要、資料をご覧ください。

1.制御系プロトコルに関する調査研究報告書
  http://www.jpcert.or.jp/research/#ctrlout

  現在制御系システムで使用されている標準的なプロトコルについて、
  主としてセキュリティ機能に着目してとりまとめた報告書

2.国内の制御系システム、制御系プロトコルに関する調査報告書
  http://www.jpcert.or.jp/research/#ctrlin

  国内の制御系システムにおける標準的な通信プロトコルの利用動向と、
  同業界内のセキュリティ強化に向けた動きをまとめた報告書

3.ソースコード解析ツールを活用した CERT セキュアコーディングルールの有効性評価報告書
  http://www.jpcert.or.jp/research/#Analysistools

  ソースコード解析ツールを活用した「C/C++ セキュアコーディングス
  タンダード」ルールセットの有効性を評価した報告書

4.CSIRT マテリアル運用フェーズ
  http://www.jpcert.or.jp/csirt_material/

  組織内 CSIRT の必要性や位置づけ、組織内 CSIRT の運用、インシデ
  ントハンドリング概論および具体的なハンドリングフローなどについ
  てまとめた解説書

関連文書 (日本語)

JPCERT/CC 調査/研究
制御系プロトコルに関する調査研究報告書
http://www.jpcert.or.jp/research/#ctrlout

JPCERT/CC 調査/研究
国内の制御系システム、制御系プロトコルに関する調査報告書
http://www.jpcert.or.jp/research/#ctrlin

JPCERT/CC 調査/研究
ソースコード解析ツールを活用した CERT セキュアコーディングルールの有効性評価報告書
http://www.jpcert.or.jp/research/#Analysistools

JPCERT/CC CSIRT マテリアル
CSIRT マテリアル運用フェーズ
http://www.jpcert.or.jp/csirt_material/

■今週のひとくちメモ

○マイクロソフトが SQL インジェクション対策ツールを公開

SQL インジェクションによる Web サイト改ざんが増加していることを
受けて、マイクロソフトは、これらの影響を受ける可能性のある Web 
アプリケーションの特定および修正を支援するセキュリティアドバイザ
リを公開しています。

また、あわせて ASP コード中に含まれる SQL インジェクションの脆弱
性を検知するツール Microsoft Source Code Analyzer for SQL
Injection を公開しています。

参考文献 (日本語)

マイクロソフト セキュリティ アドバイザリ (954462)
ユーザー データ入力の未検証を悪用した SQL インジェクション攻撃の増加
http://www.microsoft.com/japan/technet/security/advisory/954462.mspx

Microsoft サポートオンライン
ASP コードに存在する SQL インジェクションに対する脆弱性を検出する Microsoft Source Code Analyzer for SQL Injection ツールについて
http://support.microsoft.com/kb/954476

JPCERT/CC Alert 2008-03-14
SQL インジェクションによる Web サイト改ざんに関する注意喚起
http://www.jpcert.or.jp/at/2008/at080005.txt

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter