JPCERT コーディネーションセンター

Weekly Report 2009-06-10号

JPCERT-WR-2009-2201
JPCERT/CC
2009-06-10

<<< JPCERT/CC WEEKLY REPORT 2009-06-10 >>>

■05/31(日)〜06/06(土) のセキュリティ関連情報

目 次

【1】Apple QuickTime および iTunes に複数の脆弱性

【2】Apache Tomcat に複数の脆弱性

【今週のひとくちメモ】.ORG ドメインで DNSSEC 運用開始

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr092201.txt
https://www.jpcert.or.jp/wr/2009/wr092201.xml

【1】Apple QuickTime および iTunes に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases iTunes 8.2 and QuickTime 7.6.2
http://www.us-cert.gov/current/archive/2009/06/05/archive.html#apple_releases_itunes_8_2

DOE-CIRC Technical Bulletin T-152
Apple QuickTime JP2 Image Handling Heap Buffer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-152.shtml

概要

Apple QuickTime および iTunes には、複数の脆弱性があります。結果
として、遠隔の第三者が細工したファイルや画像を開かせることで任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- QuickTime 7.6.2 より前のバージョン
- iTunes 8.2 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。

関連文書 (日本語)

Apple Support HT3591
QuickTime 7.6.2 のセキュリティコンテンツについて
http://support.apple.com/kb/HT3591?viewlocale=ja_JP

Apple Support HT3592
iTunes 8.2 のセキュリティコンテンツについて
http://support.apple.com/kb/HT3592?viewlocale=ja_JP

【2】Apache Tomcat に複数の脆弱性

情報源

Apache Tomcat
Security Updates
http://tomcat.apache.org/security.html

概要

Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第
三者がサービス運用妨害 (DoS) 攻撃を行ったり、機密情報を取得した
りする可能性があります。

対象となるバージョンは以下のとおりです。

- Apache Tomcat 4.1.0 から 4.1.39 まで
- Apache Tomcat 5.5.0 から 5.5.27 まで
- Apache Tomcat 6.0.0 から 6.0.18 まで

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Apache Tomcat を更新することで解決します。詳細につ
いては、各ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVN#87272440
Apache Tomcat におけるサービス運用妨害(DoS)の脆弱性
http://jvn.jp/jp/JVN87272440/index.html

■今週のひとくちメモ

○.ORG ドメインで DNSSEC 運用開始

2009年6月2日、.ORG のレジストリ Public Interest Registry が .ORG 
ドメインにおいて DNSSEC の運用を開始しました。

これは DNS キャッシュポイズニングなどへの対策として、2008年6月に
計画がアナウンスされていたものです。gTLD としては、今回の .ORG 
ドメインが初めての DNSSEC 運用開始となります。

また、DNSSEC 導入に向けた問題点とその解決策について議論するシン
ポジウムが計画されており、その内容は一般に公開される予定です。

参考文献 (日本語)

JPCERT/CC REPORT 2008-09-18
【今週のひとくちメモ】DNSSEC の導入に向けた動き
http://www.jpcert.or.jp/wr/2008/wr083601.html#Memo

参考文献 (英語)

Public Interest Regisry
.ORG is the First Open Top-Level Domain to be Signed with Domain Name Security Extensions
http://www.pir.org/index.php?db=content/News&tbl=Press&id=25

DNSSEC Industry Coalition
Deploying a Signed Root: Issues and Proposed Solutions
http://dnsseccoalition.org/website/?p=69

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter