JPCERT コーディネーションセンター

Weekly Report 2009-08-05号

JPCERT-WR-2009-3001
JPCERT/CC
2009-08-05

<<< JPCERT/CC WEEKLY REPORT 2009-08-05 >>>

■07/26(日)〜08/01(土) のセキュリティ関連情報

目 次

【1】Microsoft Internet Explorer および Active Template Library (ATL) に脆弱性

【2】ISC BIND 9 に脆弱性

【3】「複数の Adobe 製品に脆弱性」に関する追加情報

【4】Apple iPhone OS に脆弱性

【5】MySQL Connector/J に SQL インジェクションの脆弱性

【6】ディーアイシーの yoyaku_v41 に OS コマンドインジェクションの脆弱性

【7】「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起

【今週のひとくちメモ】夏休みに備えて: 休暇中の自宅 PC での作業について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr093001.txt
https://www.jpcert.or.jp/wr/2009/wr093001.xml

【1】Microsoft Internet Explorer および Active Template Library (ATL) に脆弱性

情報源

US-CERT Technical Cyber Security Alert TA09-209A
Microsoft Windows, Internet Explorer, and Active Template Library (ATL) Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-209A.html

US-CERT Cyber Security Alert SA09-209A
Microsoft Windows and Internet Explorer Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-209A.html

US-CERT Vulnerability Note VU#456745
ActiveX controls built with Microsoft ATL fail to properly handle initialization data
http://www.kb.cert.org/vuls/id/456745

DOE-CIRC Technical Bulletin T-196
Critical Cumulative Security Update for Internet Explorer
http://www.doecirc.energy.gov/bulletins/t-196.shtml

概要

Microsoft Internet Explorer、Active Template Library (ATL) およ
び関連コンポーネントには、複数の脆弱性があります。結果として、遠
隔の第三者が細工した HTML 文書を閲覧させることで、ユーザの権限で
任意のコードを実行する可能性があります。

詳細については、マイクロソフトが提供する情報を参照してください。

マイクロソフト製品の問題については、Microsoft Update などを用い
て、セキュリティ更新プログラムを適用することで解決します。

なお、ATL の問題については、ソフトウエア開発元が修正したソフトウ
エアに更新する必要があります。Adobe や Cisco など複数のベンダが 
ATL の問題を修正した製品をリリースする予定です。

詳細については、下記関連文書を参照してください。

関連文書 (日本語)

2009 年 7 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx

マイクロソフト セキュリティ情報 MS09-034 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (972260)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-034.mspx

マイクロソフト セキュリティ情報 MS09-035 - 警告
Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-035.mspx

マイクロソフト セキュリティ アドバイザリ (973882)
Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/973882.mspx

Japan Vulnerability Notes JVNTA09-209A
Microsoft Windows、Internet Explorer および Active Template Library (ATL) における脆弱性
https://jvn.jp/cert/JVNTA09-209A/index.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS09-034,035)(7/29)
http://www.cyberpolice.go.jp/important/2009/20090729_112353.html

JPCERT/CC Alert 2009-07-29
Microsoft ATL を使用した複数製品の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090014.txt

関連文書 (英語)

Adobe Security Bulletin APSB09-11
Security update available for Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb09-11.html

Cisco Security Advisory cisco-sa-20090728-activex
Active Template Library (ATL) Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090728-activex.shtml

【2】ISC BIND 9 に脆弱性

情報源

US-CERT Vulnerability Note VU#725188
ISC BIND 9 vulnerable to denial of service via dynamic update request
http://www.kb.cert.org/vuls/id/725188

DOE-CIRC Technical Bulletin T-197
ISC BIND Denial of Service Vulnerability
http://www.doecirc.energy.gov/bulletins/t-197.shtml

概要

ISC BIND 9 には、dynamic update パケットの処理に起因する脆弱性が
あります。結果として、遠隔の第三者が細工したパケットを処理させる
ことで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、
本脆弱性を使用した攻撃活動が国内でも確認されています。

対象となるバージョンは以下の通りです。

- BIND 9 全てのバージョン

ISC はこの問題への修正版として以下のバージョンを公開しています。

- BIND 9.4.3-P3
- BIND 9.5.1-P3
- BIND 9.6.1-P1

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに BIND 9 を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

独立行政法人 情報処理推進機構 セキュリティセンター
DNSサーバ BIND の脆弱性について
http://www.ipa.go.jp/security/ciadr/vul/20090731-bind.html

JPCERT/CC Alert 2009-07-31
ISC BIND 9 の脆弱性を使用したサービス運用妨害攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090016.txt

関連文書 (英語)

Internet Systems Consortium
BIND Dynamic Update DoS
https://www.isc.org/node/474

Red Hat Security Advisory RHSA-2009:1179-2
Important: bind security update
https://rhn.redhat.com/errata/RHSA-2009-1179.html

Red Hat Security Advisory RHSA-2009:1180-1
Important: bind security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-1180.html

Red Hat Security Advisory RHSA-2009:1181-1
Important: bind security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-1181.html

Sun Alert 264828
A Security Vulnerability in Solaris BIND named(1M) Due to Insufficient Input Validation of Dynamic Update Requests Can Lead to Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-264828-1

Debian Security Advisory DSA-1847-1
bind9 -- improper assert
http://www.debian.org/security/2009/dsa-1847

The FreeBSD Project Security Advisory FreeBSD-SA-09:12.bind
BIND named(8) dynamic update message remote DoS
http://security.freebsd.org/advisories/FreeBSD-SA-09:12.bind.asc

OpenBSD 4.5 errata
007: RELIABILITY FIX: July 29, 2009
http://www.openbsd.org/errata45.html#007_bind

【3】「複数の Adobe 製品に脆弱性」に関する追加情報

情報源

Adobe Security Bulletin APSB09-10
Security updates available for Adobe Flash Player, Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-10.html

概要

JPCERT/CC WEEKLY REPORT 2009-07-29 号【1】で紹介した「複数の 
Adobe 製品に脆弱性」に関する追加情報です。 
 
Adobe 製品の修正済みバージョンが提供されました。詳細については、
Adobe が提供する情報を参照してください。なお、複数のブラウザを利
用している場合は、それぞれのプラグインを更新する必要がありますの
で注意してください。

関連文書 (日本語)

JPCERT/CC Alert 2009-07-31
Adobe Flash Player および Adobe Acrobat/Reader の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090015.txt

JPCERT/CC REPORT 2008-01-17
【今週のひとくちメモ】Web ブラウザのプラグイン更新に関する注意
https://www.jpcert.or.jp/wr/2008/wr080201.html#Memo

JPCERT/CC WEEKLY REPORT 2009-07-29
【1】複数の Adobe 製品に脆弱性
https://www.jpcert.or.jp/wr/2009/wr092901.html#1

関連文書 (英語)

Adobe Security Bulletin APSA09-04
Security advisory for Adobe Flash Player
http://www.adobe.com/support/security/advisories/apsa09-04.html

US-CERT Technical Cyber Security Alert TA09-204A
Adobe Flash Vulnerability Affects Flash Player and Other Adobe Products
http://www.us-cert.gov/cas/techalerts/TA09-204A.html

【4】Apple iPhone OS に脆弱性

情報源

Apple Support HT3754
About the security content of iPhone OS 3.0.1
http://support.apple.com/kb/HT3754

概要

Apple iPhone OS には、SMS メッセージの処理に起因する脆弱性があり
ます。結果として遠隔の第三者が細工した SMS メッセージを送りつけ
ることで、処理を中断させたり、任意のコードを実行したりする可能性
があります。

対象となるバージョンは以下の通りです。

- iPhone OS 1.0 から 3.0 まで

この問題は、Apple が提供する修正済みのバージョンに、iPhone OS を
更新することで解決します。詳細については、Apple が提供する情報を
参照してください。

関連文書 (英語)

Apple security-announce Mailing List
APPLE-SA-2009-07-31-1 iPhone OS 3.0.1
http://lists.apple.com/archives/security-announce/2009/Jul/msg00001.html

【5】MySQL Connector/J に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#59748723
MySQL Connector/J における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN59748723/index.html

概要

Sun の MySQL Connector/J には、SQL インジェクションの脆弱性があ
ります。結果として、遠隔の第三者がデータベース内のコンテンツを取
得したり、改ざんしたりする可能性があります。

対象となるバージョンは以下の通りです。

- MySQL Connector/J 5.1.7 およびそれ以前

この問題は、Sun が提供する修正済みのバージョンに MySQL Connector/J
を更新することで解決します。

関連文書 (英語)

Sun MySQL Bug #41730
SQL Injection when using U+00A5
http://bugs.mysql.com/bug.php?id=41730

【6】ディーアイシーの yoyaku_v41 に OS コマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#80436657
株式会社ディーアイシー製 yoyaku_v41 における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN80436657/index.html

概要

ディーアイシーの施設予約管理ソフトウェア yoyaku_v41 には、OS コ
マンドインジェクションの脆弱性があります。結果として、遠隔の第三
者が Web サーバの権限で任意の OS コマンドを実行する可能性があり
ます。

対象となるバージョンは以下の通りです。

- yoyaku_v41 バージョン 1.0 以前

この問題は、ディーアイシーが提供する修正済みのバージョンに 
yoyaku_v41 を更新することで解決します。

関連文書 (日本語)

株式会社ディーアイシー
yoyaku_v41
http://www.d-ic.com/free/06/yoyaku_v41.html

【7】「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起

情報源

独立行政法人 情報処理推進機構 セキュリティセンター
「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200907_ec-cube.html

概要

独立行政法人情報処理推進機構 (IPA) は、脆弱性を含んだ古いバージョ
ンの EC-CUBE を使用しているウェブサイトに対する注意喚起を発行し
ました。古いバージョンの EC-CUBE には、クロスサイトスクリプティ
ングや、SQL インジェクションの脆弱性などを含んだものがあり、任意
のスクリプト実行や情報漏えいなどの可能性があります。対策版へのバー
ジョンアップ、もしくは個別にファイル修正を行ってください。

関連文書 (日本語)

株式会社ロックオン
EC-CUBE旧バージョンの脆弱性についての注意喚起(2009/07/27)
http://www.ec-cube.net/news/detail.php?news_id=100

■今週のひとくちメモ

○夏休みに備えて: 休暇中の自宅 PC での作業について

8月に入り、本格的な夏休みのシーズンとなりました。

休暇中に、業務データを持ち帰り自宅で作業される方もいらっしゃると
思います。業務データを持ち出す必要がある場合には、自組織のポリシー
に従い、その取り扱いや情報漏えいには十分に注意してください。

特に、以下のような危険があることを認識して行動することが重要です。

  - 家族と共有している PC で作業する場合
    家族がファイル共有ソフトウエアを利用していることなどにより、
    意図せずに情報漏えいする可能性があること

  - USB メモリを使ってデータの移動をしている場合
    USB メモリや、デジカメで使われるフラッシュメモリなどを経由し
    て感染する Conficker などのマルウエアの被害を受ける可能性が
    あること

  - 自宅の PC がウイルス感染している場合
    持ち出したデータを社内へ持ち帰る際に、社内にウイルス感染を拡
    大させる可能性があること

また、Adobe Reader、Flash プラグインなど、多くの PC にインストー
ルされているソフトウエアについて、7月末にアップデートが公開され
ています。お使いのソフトウエアが最新版にアップデートされているか、
確認してください。

参考文献 (日本語)

Microsoft TechNet
あんしん処 セキュリ亭 休暇の前はご用心
http://technet.microsoft.com/ja-jp/security/dd793045.aspx

JPCERT/CC WEEKLY REPORT 2009-07-23
【今週のひとくちメモ】夏休みに備えて: 休み中のセキュリティ更新プログラムのリリースに注意
https://www.jpcert.or.jp/wr/2009/wr092801.html#Memo

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter