<<< JPCERT/CC WEEKLY REPORT 2009-06-24 >>>

■06/14(日)〜06/20(土) のセキュリティ関連情報

目　次

【1】Java for Mac OS X に複数の脆弱性

【2】iPhone OS に複数の脆弱性

【3】Foxit Reader に複数の脆弱性

【4】XOOPS マニアの PukiWikiMod にクロスサイトスクリプティングの脆弱性

【5】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏」参加者募集のお知らせ

【6】IT セキュリティ予防接種調査報告書公開

【7】USB メモリ経由の感染機能を持つマルウエア調査報告書公開

【今週のひとくちメモ】Linuxサーバー構築標準教科書 (Ver1.0.1)

【1】Java for Mac OS X に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases Java Updates for Mac OS X 10.4 and 10.5
http://www.us-cert.gov/current/archive/2009/06/19/archive.html#apple_releases_java_updates_for1

DOE-CIRC Technical Bulletin T-164
Sun Java Runtime Environment Aqua Look and Feel Privilege Escalation Vulnerability
http://www.doecirc.energy.gov/bulletins/t-164.shtml

概要

Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは以下のとおりです。

- Java for Mac OS X 10.5 Update 4 より前のバージョン
- Java for Mac OS X 10.4 Release 9 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、Java for Mac
OS X を更新することで解決します。詳細については、Apple が提供す
る情報を参照してください。

関連文書 (日本語)

JPCERT/CC REPORT 2009-04-01
【2】Java Runtime Environment (JRE) に複数の脆弱性
https://www.jpcert.or.jp/wr/2009/wr091301.html#2

関連文書 (英語)

Apple Support HT3632
About the security content of Java for Mac OS X 10.5 Update 4
http://support.apple.com/kb/HT3632?viewlocale=en_US

Apple Support HT3633
About the security content of Java for Mac OS X 10.4 Release 9
http://support.apple.com/kb/HT3633?viewlocale=en_US

Apple Support Download
Java for Mac OS X 10.5 Update 4
http://support.apple.com/downloads/Java_for_Mac_OS_X_10_5_Update_4

Apple Support Download
Java for Mac OS X 10.4, Release 9
http://support.apple.com/downloads/Java_for_Mac_OS_X_10_4__Release_9

【2】iPhone OS に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases iPhone OS 3.0
http://www.us-cert.gov/current/archive/2009/06/19/archive.html#apple_releases_iphone_os_3

概要

iPhone OS には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った
りする可能性があります。

対象となるバージョンは以下のとおりです。

- iPhone OS 1.0 から 2.2.1 まで
- iPhone OS for iPod touch 1.1 から 2.2.1 まで

この問題は、Apple が提供する修正済みのバージョンに、iPhone OS を
更新することで解決します。詳細については、Apple が提供する情報を
参照してください。

関連文書 (日本語)

Apple Support HT3639
iPhone OS 3.0 ソフトウェアアップデートのセキュリティコンテンツについて
http://support.apple.com/kb/HT3639?viewlocale=ja_JP

Japan Vulnerability Notes JVN#87239696
iPhone OS におけるサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/jp/JVN87239696/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
「iPhone OS」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200906_iphone.html

【3】Foxit Reader に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#251793
Foxit Reader contains multiple vulnerabilities in the processing of JPX data
http://www.kb.cert.org/vuls/id/251793

概要

Foxit Software の Foxit Reader には、JPX (JPEG2000) ストリームの
処理に起因する複数の脆弱性があります。結果として、遠隔の第三者が
細工した PDF 文書を閲覧させることで、任意のコードを実行したり、
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、
JPEG2000 / JBIG Decoder アドオンがインストールされていなければ、
この問題の影響は受けません。

対象となるバージョンは以下のとおりです。

- Foxit Reader 3.0 Build 1817 より前のバージョン

この問題は、Foxit Software が提供する修正済みのバージョンに Foxit
Reader を更新することで解決します。

関連文書 (英語)

Foxit Software
Two Security Vulnerabilities Fixed in Foxit Reader 3.0 and JPEG2000/JBIG2 Decoder
http://www.foxitsoftware.com/pdf/reader/security.htm#0602

【4】XOOPS マニアの PukiWikiMod にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#12244807
XOOPS マニア製 PukiWikiMod におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN12244807/index.html

概要

XOOPS マニアの PukiWikiMod には、クロスサイトスクリプティングの
脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で
任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下のとおりです。

- PukiWikiMod 1.6.6.2 およびそれ以前

この問題は、XOOPS マニアが提供する修正済みのバージョンに 
PukiWikiMod を更新することで解決します。

関連文書 (日本語)

XOOPS マニア
Ver 1.6.7 XSS脆弱性の修正
http://xoops.hypweb.net/wiki/6005.html

【5】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏」参加者募集のお知らせ

情報源

JPCERT/CC
C/C++ セキュアコーディング ハーフデイキャンプのご案内
https://www.jpcert.or.jp/event/half-day_Camp-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ
デイキャンプ」を前回と同じく、全3回コースにて開催いたします。

このセミナーはソフトウエア等の脆弱性対策に関する事業の一環として
開催しており、一人でも多くのプログラム開発者の方々に受講していた
だけるよう、今年も参加費を無料としております。

第1回は 2009年7月16日開催予定です。

日時:   part1 ＜文字列・整数＞
        2009年7月16日 (木) 13:00〜18:00 (受付 12:30〜)
会場:   株式会社インターネットイニシアティブ　大会議室1
        東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
受講料: 無料
定員:   80名

関連文書 (日本語)

JPCERT/CC
C/C++セキュアコーディングハーフデイキャンプお申し込み
https://www.jpcert.or.jp/event/half-day_Camp-application.html

【6】IT セキュリティ予防接種調査報告書公開

情報源

JPCERT/CC
IT セキュリティ予防接種実施調査報告書 概要
https://www.jpcert.or.jp/research/2009/inoculation-summary_20090619.pdf

JPCERT/CC
IT セキュリティ予防接種実施調査報告書
https://www.jpcert.or.jp/research/2009/inoculation_20090619.pdf

概要

これまで JPCERT/CC では、企業や地方公共団体に対し、電子メールに
起因する脅威への適切な対応をおこなうための訓練「IT セキュリティ
予防接種」を実施してきました。

のべ約 2600人に予防接種を実施した結果から、企業の組織形態や従業
員の属性に応じ効果を高める実施方法を考察し、報告書にとりまとめま
した。セキュリティ教育の一環としてご活用ください。

関連文書 (日本語)

JPCERT/CC
標準的攻撃対策手法に関する調査報告書
https://www.jpcert.or.jp/research/2008/inoculation_200808.pdf

JPCERT/CC
標的型攻撃についての調査
https://www.jpcert.or.jp/research/2007/targeted_attack.pdf

【7】USB メモリ経由の感染機能を持つマルウエア調査報告書公開

情報源

JPCERT/CC
USB メモリ経由の感染機能を持つマルウエア調査報告書
https://www.jpcert.or.jp/research/2009/usbmalware_20090619.pdf

概要

近年、USB メモリをはじめとするリムーバブルメディアを経由して感染
を広げるマルウエアが観測されるようになりました。

2008年末頃から世界的に話題となった Downad (あるいは Conficker、
Kido) と呼ばれるマルウエアも、変化の過程でリムーバブルメディアを
経由して感染する手段を持ち、さらに感染を広げてきたと言われていま
す。

このようなリムーバブルメディアを経由して感染するマルウエアの特徴
や被害実態を、事例や分析結果の紹介をまじえて調査報告書にまとめま
した。リムーバブルメディアの安全な運用を検討する際の参考にしてく
ださい。

■今週のひとくちメモ

○Linuxサーバー構築標準教科書 (Ver1.0.1)

特定非営利活動法人エルピーアイジャパンは「Linuxサーバー構築標準
教科書（Ver1.0.1）」を公開しました。

このドキュメントは Linux 技術者教育に使われることを想定し、Linux 
初心者が実際に Linux を導入して Web サーバやメールサーバの設定を
行って動作を理解するためのテキストです。設定などを含めてステップ
バイステップで記述されているので、Linux 初心者にとって、サーバの
設定を行い、動作を理解する上ではよい参考になるでしょう。

実際にインターネットで利用するサーバの構築については、各サーバの
動作を理解した後、このドキュメントでは省略されているセキュリティ
の設定を行い、公開前にセキュリティ上の問題がないかテストを行いま
しょう。また、公開後も情報収集を継続し、必要な対策を講じていくこ
とが重要です。

参考文献 (日本語)

特定非営利活動法人エルピーアイジャパン
『Linuxサーバー構築標準教科書』開発プロジェクト
http://www.lpi.or.jp/linuxservertext/

日本の Linux 情報
Linux 関連リンク/セキュリティ
http://www.linux.or.jp/link/security.html

■JPCERT/CC からのお願い