<<< JPCERT/CC WEEKLY REPORT 2008-09-03 >>>
■08/24(日)〜08/30(土) のセキュリティ関連情報
目 次
【1】アクアガーデンソフト製 mysql-lists にクロスサイトスクリプティングの脆弱性
【2】Blogn(ぶろぐん) に複数の脆弱性
【3】SoftArtisans の XFile FileManager ActiveX コントロールにバッファオーバーフローの脆弱性
【今週のひとくちメモ】DNSSEC (Domain Name System Security Extensions)
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr083402.txt
https://www.jpcert.or.jp/wr/2008/wr083402.xml
【1】アクアガーデンソフト製 mysql-lists にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#27417220
アクアガーデンソフト製 mysql-lists におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN27417220/index.html
概要
アクアガーデンソフトの mysql-lists には、クロスサイトスクリプティ ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ ザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - mysql-lists ver1.2 およびそれ以前 この問題は、アクアガーデンソフトが提供する修正済みのバージョンに mysql-lists を更新することで解決します。
関連文書 (日本語)
アクアガーデンソフト
MySQLを使ったPHPスクリプト 配布コーナー
http://aqua.sun.ddns.vc/free/php_script/mysql.html
【2】Blogn(ぶろぐん) に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#84125369
Blogn(ぶろぐん) におけるクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN84125369/index.htmlJapan Vulnerability Notes JVN#03859837
Blogn(ぶろぐん) におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN03859837/index.html
概要
R-ONE コンピューターの Blogn(ぶろぐん) には、複数の脆弱性があり ます。結果として、遠隔の第三者が細工した Web ページを当該製品に ログインしたユーザに読み込ませることで Blogn(ぶろぐん) のコンテ ンツを編集したり、ユーザのブラウザ上で任意のスクリプトを実行した りする可能性があります。 対象となるバージョンは以下の通りです。 - Blogn(ぶろぐん) v1.9.7 およびそれ以前 この問題は、R-ONE コンピューターが提供する修正済みのバージョンに Blogn(ぶろぐん) を更新することで解決します。
関連文書 (日本語)
R-ONE コンピューター
Blogn(ぶろぐん)にCSS脆弱性及びCSRF脆弱性が発見されました。
http://www.blogn.org/index.php?e=172
【3】SoftArtisans の XFile FileManager ActiveX コントロールにバッファオーバーフローの脆弱性
情報源
US-CERT Vulnerability Note VU#914785
SoftArtisans XFile FileManager ActiveX control stack buffer overflows
http://www.kb.cert.org/vuls/id/914785
概要
SoftArtisans の XFile FileManager ActiveX コントロールには、バッ ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が 細工した HTML 文書を閲覧させることでユーザの権限で任意のコードを 実行する可能性があります。 対象となるバージョンは以下の通りです。 - XFile 2.4.0 より前のバージョン この問題は、SoftArtisans が提供する修正済みのバージョンに XFile を更新することで解決します。
関連文書 (英語)
SoftArtisans
XFile Version Differences
http://support.softartisans.com/Support-114.aspx
■今週のひとくちメモ
○DNSSEC (Domain Name System Security Extensions)
DNSSEC とは、公開鍵暗号技術を利用して DNS データに署名を行い、 DNS データ提供元の正当性を確認したり DNS データの改竄を検知でき るようにする仕組みです。もともとの DNS プロトコルにはこのような 仕組みがなく、キャッシュポイズニングなどの危険性が指摘されていま す。今年 7月には効率的にキャッシュポイズニングを行なう手法が公開 されて大きな話題になりました。 近年、DNSSEC に対応した実装は増えていますが、実環境における普及 はまだ進んでいません。実運用における問題点もいくつか指摘されてお り、プロトコルレベルでの改良も進められています。
参考文献 (日本語)
JPNIC
インターネット用語1分解説〜DNSSECとは〜
http://www.nic.ad.jp/ja/basics/terms/dnssec.html
参考文献 (英語)
DNSSEC: DNS Security Extensions
http://www.dnssec.net/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/