JPCERT コーディネーションセンター

Weekly Report 2008-10-08号

JPCERT-WR-2008-3901
JPCERT/CC
2008-10-08

<<< JPCERT/CC WEEKLY REPORT 2008-10-08 >>>

■09/28(日)〜10/04(土) のセキュリティ関連情報

目 次

【1】IPv6 の Neighbor Discovery Protocol (NDP) の実装に脆弱性

【2】EC-CUBE に複数の脆弱性

【3】libpng にバッファオーバーフローの脆弱性

【4】JPCERT/CC メーリングリスト: Gmail への配送遅延について

【今週のひとくちメモ】SMTP の新しい RFC が公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr083901.txt
https://www.jpcert.or.jp/wr/2008/wr083901.xml

【1】IPv6 の Neighbor Discovery Protocol (NDP) の実装に脆弱性

情報源

US-CERT Vulnerability Note VU#472363
IPv6 implementations insecurely update Forward Information Base
http://www.kb.cert.org/vuls/id/472363

概要

IPv6 Neighbor Discovery Protocol (NDP) の一部の実装には脆弱性が
あります。結果として、ローカルセグメント内のユーザが細工したパケッ
トを処理させることで、通信を盗聴したり、サービス運用妨害 (DoS) 
攻撃を行ったりする可能性があります。

この問題は、各ベンダや配布元が提供する修正済みのバージョンに各製
品を更新することで解決します。詳細については、各ベンダや配布元が
提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#472363
IPv6 実装における Forward Information Base のアップデートに関する問題
http://jvn.jp/cert/JVNVU472363/index.html

関連文書 (英語)

IETF RFC 4861
Neighbor Discovery for IP version 6 (IPv6)
http://tools.ietf.org/html/rfc4861

IETF RFC 3756
IPv6 Neighbor Discovery (ND) Trust Models and Threats
http://tools.ietf.org/html/rfc3756

IETF RFC 3177
IAB/IESG Recommendations on IPv6 Address Allocations to Sites
http://tools.ietf.org/html/rfc3177

IETF RFC 3971
SEcure Neighbor Discovery (SEND)
http://tools.ietf.org/html/rfc3971

The FreeBSD Project Security Advisory FreeBSD-SA-08:10.nd6
IPv6 Neighbor Discovery Protocol routing vulnerability
http://security.freebsd.org/advisories/FreeBSD-SA-08:10.nd6.asc

【2】EC-CUBE に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#26621646
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN26621646/index.html

Japan Vulnerability Notes JVN#36085487
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN36085487/index.html

Japan Vulnerability Notes JVN#99916563
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN99916563/index.html

Japan Vulnerability Notes JVN#81111541
EC-CUBE における SQL インジェクションの脆弱性
http://jvn.jp/jp/JVN81111541/index.html

概要

ロックオンが提供する EC-CUBE には、SQL インジェクションおよびク
ロスサイトスクリプティングを含む複数の脆弱性があります。結果とし
て、遠隔の第三者が EC-CUBE で作成された EC サイトの管理者権限を
取得したり、ユーザのブラウザ上で任意のスクリプトを実行したりする
可能性があります。

対象となるバージョンは以下の通りです。

- EC-CUBE Ver1 正式版 Version 1.4.6 およびそれ以前
- EC-CUBE Ver1 ベータ版 Version 1.5.0-beta およびそれ以前
- EC-CUBE Ver2 正式版 Version 2.1.2a およびそれ以前
- EC-CUBE Ver2 ベータ版(RC版) Version 2.2.0-beta およびそれ以前
- EC-CUBE Ver2 RC版 Version 2.3.0-rc1 およびそれ以前
- EC-CUBEコミュニティ コミュニティ版 1.3.4 およびそれ以前
- EC-CUBEコミュニティ ナイトリービルド版 r17623 およびそれ以前

この問題は、ロックオンが提供する修正済みのバージョンに EC-CUBE 
を更新することで解決します。

関連文書 (日本語)

株式会社ロックオン
SQLインジェクション脆弱性について(2008年10月1日)
http://www.ec-cube.net/info/080829/

独立行政法人 情報処理推進機構 セキュリティセンター
「EC-CUBE」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2008/200810_EC-CUBE.html

【3】libpng にバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#889484
libpng off-by-one vulnerability
http://www.kb.cert.org/vuls/id/889484

概要

libpng には、バッファオーバーフローの脆弱性があります。結果とし
て、遠隔の第三者が細工した PNG ファイルを処理させることで、サー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- libpng 1.0.38、1.0.39、1.2.30、1.2.31 および libpng-1.4.0beta

この問題は、配布元が提供する修正済みのバージョンに libpng を更新
することで解決します。

関連文書 (英語)

libpng.org
Libpng 1.2.32 - September 18, 2008
http://www.libpng.org/pub/png/src/libpng-1.2.32-README.txt

【4】JPCERT/CC メーリングリスト: Gmail への配送遅延について

情報源

JPCERT/CC
JPCERT/CC メーリングリスト
http://www.jpcert.or.jp/announce.html

概要

JPCERT/CC REPORT 及び JPCERT/CC Alert の配信を行っているメーリン
グリストにおいて、Gmail への配送に遅延が発生しております。メーリ
ングリストに Gmail のアカウントを登録している方は以下の対策を取っ
てください。

1) info@jpcert.or.jp を連絡先 (Contacts) に追加してください。こ
   れによりJPCERT/CC からのメールが spam 扱いされることがなくな
   ります。

2) 過去のレポートが spam として処理されている場合、メッセージを
   開き "迷惑メールを解除 (Not Spam)" ボタンをクリックしてくださ
   い。

他のメールサービスでも同様に配送の遅延が発生する可能性があります。
JPCERT/CC からの情報をリアルタイムに受け取りたい方は JPCERT/CC
RSS の購読も併せてご検討ください。

関連文書 (日本語)

JPCERT/CC
JPCERT/CC RSS
http://www.jpcert.or.jp/rss/

関連文書 (英語)

Gmail Help
Legitimate mail is marked as spam
http://mail.google.com/support/bin/answer.py?hl=en&answer=9008

■今週のひとくちメモ

○SMTP の新しい RFC が公開

SMTP を規定する RFC 5321 と Internet Message Format を規定する 
RFC 5322 が新しく公開されています。これにより、RFC 2821、
RFC 2822 は obsolete となりました。

RFC 5321 では IPv6 への対応や、spam への対応に関する記述が追加さ
れています。例えば、MUA からのメール送信に Submission ポートの使
用を推奨しています。またその他、フォーマットやプロトコルに関して
より厳格に記述するなどの変更がなされています。

参考文献 (英語)

IETF RFC 5321
Simple Mail Transfer Protocol
http://tools.ietf.org/html/rfc5321

IETF RFC 5322
Internet Message Format
http://tools.ietf.org/html/rfc5322

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter