JPCERT-WR-2008-3402

JPCERT/CC

2008-09-03

<<< JPCERT/CC WEEKLY REPORT 2008-09-03 >>>

■08/24(日)〜08/30(土) のセキュリティ関連情報

目　次

【1】アクアガーデンソフト製 mysql-lists にクロスサイトスクリプティングの脆弱性

【2】Blogn(ぶろぐん) に複数の脆弱性

【3】SoftArtisans の XFile FileManager ActiveX コントロールにバッファオーバーフローの脆弱性

【今週のひとくちメモ】DNSSEC (Domain Name System Security Extensions)

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr083402.txt
https://www.jpcert.or.jp/wr/2008/wr083402.xml

【1】アクアガーデンソフト製 mysql-lists にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#27417220
アクアガーデンソフト製 mysql-lists におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN27417220/index.html

概要

アクアガーデンソフトの mysql-lists には、クロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ
ザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- mysql-lists ver1.2 およびそれ以前

この問題は、アクアガーデンソフトが提供する修正済みのバージョンに 
mysql-lists を更新することで解決します。

【2】Blogn(ぶろぐん) に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#84125369
Blogn(ぶろぐん) におけるクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN84125369/index.html

Japan Vulnerability Notes JVN#03859837
Blogn(ぶろぐん) におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN03859837/index.html

概要

R-ONE コンピューターの Blogn(ぶろぐん) には、複数の脆弱性があり
ます。結果として、遠隔の第三者が細工した Web ページを当該製品に
ログインしたユーザに読み込ませることで Blogn(ぶろぐん) のコンテ
ンツを編集したり、ユーザのブラウザ上で任意のスクリプトを実行した
りする可能性があります。

対象となるバージョンは以下の通りです。

- Blogn(ぶろぐん) v1.9.7 およびそれ以前

この問題は、R-ONE コンピューターが提供する修正済みのバージョンに 
Blogn(ぶろぐん) を更新することで解決します。

【3】SoftArtisans の XFile FileManager ActiveX コントロールにバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#914785
SoftArtisans XFile FileManager ActiveX control stack buffer overflows
http://www.kb.cert.org/vuls/id/914785

概要

SoftArtisans の XFile FileManager ActiveX コントロールには、バッ
ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が
細工した HTML 文書を閲覧させることでユーザの権限で任意のコードを
実行する可能性があります。

対象となるバージョンは以下の通りです。

- XFile 2.4.0 より前のバージョン

この問題は、SoftArtisans が提供する修正済みのバージョンに XFile 
を更新することで解決します。

■今週のひとくちメモ

○DNSSEC (Domain Name System Security Extensions)

DNSSEC とは、公開鍵暗号技術を利用して DNS データに署名を行い、
DNS データ提供元の正当性を確認したり DNS データの改竄を検知でき
るようにする仕組みです。もともとの DNS プロトコルにはこのような
仕組みがなく、キャッシュポイズニングなどの危険性が指摘されていま
す。今年 7月には効率的にキャッシュポイズニングを行なう手法が公開
されて大きな話題になりました。

近年、DNSSEC に対応した実装は増えていますが、実環境における普及
はまだ進んでいません。実運用における問題点もいくつか指摘されてお
り、プロトコルレベルでの改良も進められています。

参考文献 (日本語)

JPNIC
インターネット用語1分解説〜DNSSECとは〜
http://www.nic.ad.jp/ja/basics/terms/dnssec.html

参考文献 (英語)

DNSSEC: DNS Security Extensions
http://www.dnssec.net/

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2008-09-03号

<<< JPCERT/CC WEEKLY REPORT 2008-09-03 >>>

■08/24(日)〜08/30(土) のセキュリティ関連情報

目　次

【1】アクアガーデンソフト製 mysql-lists にクロスサイトスクリプティングの脆弱性

【2】Blogn(ぶろぐん) に複数の脆弱性

【3】SoftArtisans の XFile FileManager ActiveX コントロールにバッファオーバーフローの脆弱性

【今週のひとくちメモ】DNSSEC (Domain Name System Security Extensions)

【1】アクアガーデンソフト製 mysql-lists にクロスサイトスクリプティングの脆弱性

情報源

概要

関連文書 (日本語)

【2】Blogn(ぶろぐん) に複数の脆弱性

情報源

概要

関連文書 (日本語)

【3】SoftArtisans の XFile FileManager ActiveX コントロールにバッファオーバーフローの脆弱性

情報源

概要

関連文書 (英語)

■今週のひとくちメモ

○DNSSEC (Domain Name System Security Extensions)

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

Weekly Report 2008-09-03号

<<< JPCERT/CC WEEKLY REPORT 2008-09-03 >>>

■08/24(日)〜08/30(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

○DNSSEC (Domain Name System Security Extensions)

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

目　次