JPCERT コーディネーションセンター

Weekly Report 2008-12-25号

JPCERT-WR-2008-5001
JPCERT/CC
2008-12-25

<<< JPCERT/CC WEEKLY REPORT 2008-12-25 >>>

■12/14(日)〜12/20(土) のセキュリティ関連情報

目 次

【1】「Microsoft Internet Explorer の XML 解析処理に脆弱性」に関する追加情報

【2】Apple Mac OS X に複数の脆弱性

【3】Mozilla 製品群に複数の脆弱性

【4】PHP にクロスサイトスクリプティングの脆弱性

【5】Opera ブラウザに複数の脆弱性

【6】冬期の長期休暇を控えて

【7】情報セキュリティ総合的普及啓発シンポジウム開催のお知らせ

【今週のひとくちメモ】OpenSSH の実験的機能 VisualHostKey

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr085001.txt
https://www.jpcert.or.jp/wr/2008/wr085001.xml

【1】「Microsoft Internet Explorer の XML 解析処理に脆弱性」に関する追加情報

情報源

US-CERT Technical Cyber Security Alert TA08-352A
Microsoft Internet Explorer Data Binding Vulnerability
http://www.us-cert.gov/cas/techalerts/TA08-352A.html

US-CERT Cyber Security Alert SA08-352A
Microsoft Internet Explorer Data Binding Vulnerability
http://www.us-cert.gov/cas/alerts/SA08-352A.html

概要

JPCERT/CC REPORT 2008-12-17 号【2】で紹介した「Microsoft Internet
Explorer の XML 解析処理に脆弱性」に関する追加情報です。

2008年12月18日、Microsoft より本脆弱性を修正する定例外のセキュリ
ティ更新プログラムが公開されました。詳細については、Microsoft が
提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト セキュリティ情報 MS08-078 - 緊急
Internet Explorer 用のセキュリティ更新プログラム (960714)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-078.mspx

Japan Vulnerability Notes JVNTA08-352A
Microsoft Internet Explorer のデータバインディング処理における脆弱性
http://jvn.jp/cert/JVNTA08-352A/index.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS08-078)
http://www.cyberpolice.go.jp/important/2008/20081218_100815.html

JPCERT/CC Alert 2008-12-18
Microsoft Internet Explorer の脆弱性 (MS08-078) に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080023.txt

JPCERT/CC REPORT 2008-12-17
【2】Microsoft Internet Explorer の XML 解析処理に脆弱性
http://www.jpcert.or.jp/wr/2008/wr084901.html#2

【2】Apple Mac OS X に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA08-350A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-350A.html

US-CERT Cyber Security Alert SA08-350A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA08-350A.html

概要

Mac OS X および Mac OS X Server には、複数の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨
害 (DoS) 攻撃を行ったり、権限を昇格したりするなどの可能性があり
ます。

対象となる製品およびバージョンは以下の通りです。

- Apple Mac OS X 10.4.11 およびそれ以前
- Apple Mac OS X 10.5.5 およびそれ以前
- Apple Mac OS X Server 10.4.11 およびそれ以前
- Apple Mac OS X Server 10.5.5 およびそれ以前

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。

関連文書 (日本語)

Apple Support HT3338
セキュリティアップデート 2008-008 / Mac OS X v10.5.6 のセキュリティコンテンツについて
https://support.apple.com/kb/HT3338?viewlocale=ja_JP

Apple Support HT3194
Mac OS X 10.5.6 アップデートについて
http://support.apple.com/kb/HT3194?viewlocale=ja_JP

Japan Vulnerability Notes JVNTA08-350A
Apple 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-350A/index.html

【3】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Mozilla has released Firefox 3.0.5
http://www.us-cert.gov/current/archive/2008/12/19/archive.html#mozilla_has_released_firefox_3

概要

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が任意のコードを実行したり、
機密情報を取得したり、ユーザのブラウザ上で任意のスクリプトを実行
したりする可能性があります。

対象となる製品は以下の通りです。

- Firefox
- Thunderbird
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。

- Firefox 3.0.5
- Firefox 2.0.0.20
- SeaMonkey 1.1.14

2008年12月24日現在、Thunderbird の修正プログラムは提供されていま
せん。なお、2008年12月18日以前にこの問題への対策として公開されて
いた Firefox 2.0.0.19 では、Windows 版に一部の修正が含まれていな
かったため、その対策として Firefox 2.0.0.20 が公開されました。詳
細については、OS のベンダや配布元が提供する情報を参照してくださ
い。

また、Firefox 2 のサポートは、Firefox 2.0.0.20 のリリースが最後
となります。Firefox 2 ユーザは、この機会に Firefox 3 へ移行する
ことを強く推奨します。

関連文書 (日本語)

Mozilla Japan
Firefox 2 リリースノート - Firefox 2.0.0.20 の新機能と改良点
http://mozilla.jp/firefox/2.0.0.20/releasenotes/

Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.5 - 2008/12/16 リリース
http://mozilla.jp/firefox/3.0.5/releasenotes/

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/

関連文書 (英語)

SeaMonkey Project
SeaMonkey 1.1.14
http://www.seamonkey-project.org/releases/seamonkey1.1.14/

Red Hat Security Advisory RHSA-2008:1036-7
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2008-1036.html

Red Hat Security Advisory RHSA-2008:1037-7
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2008-1037.html

【4】PHP にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#50327700
PHP におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN50327700/index.html

概要

PHP には、クロスサイトスクリプティングの脆弱性があります。結果と
して、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行す
る可能性があります。

対象となるバージョンは以下の通りです。

- PHP 5.2.7 およびそれ以前 

なお、PHP の設定で display_errors=off である場合は、この問題の影
響を受けません。また、PHP 5.3.0alpha は、本脆弱性の影響を受けま
せん。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに PHP を更新することで解決します。詳細については、ベ
ンダや配布元が提供する情報を参照してください。

なお、配布元によると、PHP 4.X は、2007年12月31日をもってサポート
終了とされています。PHP 4.X を使用している場合は、PHP 5.2.X へアッ
プグレードすることを推奨します。

関連文書 (英語)

PHP
PHP 5.2.8 Released!
http://www.php.net/archive/2008.php#id2008-12-08-1

PHP
PHP 5.2.8 Release Announcement
http://www.php.net/releases/5_2_8.php

【5】Opera ブラウザに複数の脆弱性

情報源

US-CERT Current Activity Archive
Opera Software releases Opera Version 9.63
http://www.us-cert.gov/current/archive/2008/12/19/archive.html#opera_software_releases_opera_version

概要

Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、ユーザのブラウザ上で任意のスクリ
プトを実行したり、機密情報を取得したりする可能性があります。

対象となるバージョンは以下の通りです。

- Opera 9.63 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Opera ブラウザを更新することで解決します。

関連文書 (日本語)

Opera Software
Opera ブラウザ
http://jp.opera.com/

Opera Software
Opera 9.63 for Windows 更新履歴
http://jp.opera.com/docs/changelogs/windows/963/

関連文書 (英語)

Opera Software - Knowledge Base
Advisory: Manipulating text input contents can allow execution of arbitrary code
http://www.opera.com/support/kb/view/920/

Opera Software - Knowledge Base
Advisory: HTML parsing flaw can cause Opera to execute arbitrary code
http://www.opera.com/support/kb/view/921/

Opera Software - Knowledge Base
Advisory: Long hostnames in file: URLs can cause execution of arbitrary code
http://www.opera.com/support/kb/view/922/

Opera Software - Knowledge Base
Advisory: Script injection in feed preview can reveal contents of unrelated news feeds
http://www.opera.com/support/kb/view/923/

Opera Software - Knowledge Base
Advisory: Built-in XSLT templates can allow cross-site scripting
http://www.opera.com/support/kb/view/924/

【6】冬期の長期休暇を控えて

情報源

JPCERT/CC
冬期の長期休暇を控えて
http://www.jpcert.or.jp/pr/2008/pr080007.txt

概要

JPCERT/CC は 2008年12月22日、「冬期の長期休暇を控えて」を公開し
ました。

冬期の長期休暇期間中におけるコンピュータセキュリティインシデント
発生の予防および緊急時の対応に関して、セキュリティ対策実施状況な
らびに緊急時の連絡体制を事前に再確認していただきますようお願い致
します。

【7】情報セキュリティ総合的普及啓発シンポジウム開催のお知らせ

情報源

日本情報処理開発協会(JIPDEC)
情報セキュリティ総合的普及啓発シンポジウム開催概要
http://www.isms.jipdec.jp/seminar/fukyu-sympo09.html

概要

2009年1月28日、29日の両日に、財団法人日本情報処理開発協会主催の
「情報セキュリティ総合的普及啓発シンポジウム」が開催されます。今
回は「事業継続マネジメントの新たなる出発」を主要テーマとして取り
上げ、事業継続マネジメント専門家の方々の講演が予定されています。

  日時:   1月28日(水) 午前10時00分〜午後5時10分
          1月29日(木) 午前9時30分〜午後5時20分
  場所:   日経ホール (日本経済新聞社内8F) 
  参加費: \10,000 

詳細については上記情報源のページをご参照ください。

■今週のひとくちメモ

○OpenSSH の実験的機能 VisualHostKey

OpenSSH v5.1 から、SSH サーバホスト鍵のフィンガープリントをより
人間が判別しやすいアスキーアートとして表示される機能が実験的に加
えられました。

初めて SSH サーバに接続する際には、SSH サーバホスト鍵のフィンガー
プリントを確認し、自分が接続すべきサーバと通信を行っていることを
確認することが重要です。

VisualHostKey=yes というオプションを利用してホストに接続すると以
下のようなアスキーアートが表示されます。

user[~]: ssh -o VisualHostKey=yes host1
Host key fingerprint is df:f1:91:2d:fb:7e:f3:0a:38:71:20:91:e9:3c:ee:60
+--[ RSA 1024]----+
|        ... .    |
|       . +.B   . |
|        . O.X o  |
|         + B.O   |
|        S o.=    |
|         .E      |
|         .       |
|                 |
|                 |
+-----------------+

本機能はランダムな文字列を可視化し、人間にとって覚えやすい形で提
示することを目指したユニークな機能です。

参考文献 (英語)

OpenSSH
OpenSSH 5.1/5.1p1
http://www.openssh.com/txt/release-5.1

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter