JPCERT-WR-2009-3501

JPCERT/CC

2009-09-09

<<< JPCERT/CC WEEKLY REPORT 2009-09-09 >>>

■08/30(日)〜09/05(土) のセキュリティ関連情報

目　次

【1】Microsoft Internet Information Services (IIS) の FTP サーバ機能にバッファオーバーフローの脆弱性

【2】Java for Mac OS X に複数の脆弱性

【3】ATOK にスクリーンロックの制限回避が可能な脆弱性

【4】VMware の VMnc AVI コーデックにバッファオーバーフローの脆弱性

【5】「C/C++ セキュアコーディングハーフデイキャンプ 2009秋＠大阪」参加者募集中

【6】JPCERT/CC、VRDA の有効性検証報告書英語版を公開

【今週のひとくちメモ】J2SE 5.0 サポート終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr093501.txt
https://www.jpcert.or.jp/wr/2009/wr093501.xml

【1】Microsoft Internet Information Services (IIS) の FTP サーバ機能にバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#276653
Microsoft Internet Information Server (IIS) FTP server NLST stack buffer overflow
http://www.kb.cert.org/vuls/id/276653

概要

Microsoft Internet Information Services (IIS) の FTP サーバ機能
には、バッファオーバーフローの脆弱性があります。結果として、FTP 
サーバに対する書き込み権限のある遠隔の第三者が任意のコードを実行
する可能性があります。なお、この脆弱性を使用した攻撃コードが公開
されています。

対象となるバージョンは以下の通りです。

- Microsoft Internet Information Services 5.0 (FTP サービス5.0)
- Microsoft Internet Information Services 5.1 (FTP サービス5.1)
- Microsoft Internet Information Services 6.0 (FTP サービス6.0)
- Microsoft Internet Information Services 7.0 (FTP サービス6.0)

2009年9月8日現在、この問題に対するセキュリティ更新プログラムは提
供されていません。

回避策としては、FTP サーバに対する匿名ユーザでの書き込み権限を無
効にするなどの方法があります。詳細については、マイクロソフトが提
供する情報を参照してください。

【2】Java for Mac OS X に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases Java Updates for Mac OS X 10.5
http://www.us-cert.gov/current/archive/2009/09/04/archive.html#apple_releases_java_updates_for2

概要

Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔
の第三者が権限を昇格したり、任意のコードを実行したりする可能性が
あります。

対象となるバージョンは以下のとおりです。

- Java for Mac OS X 10.5 Update 5 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、Java for Mac
OS X を更新することで解決します。詳細については、Apple が提供す
る情報を参照してください。

【3】ATOK にスクリーンロックの制限回避が可能な脆弱性

情報源

Japan Vulnerability Notes JVN#57040664
ATOK におけるスクリーンロックの制限回避が可能な脆弱性
https://jvn.jp/jp/JVN57040664/index.html

概要

日本語入力システム ATOK には、外部アプリケーションの起動制御に起
因するスクリーンロックの制限回避が可能な脆弱性があります。結果と
して、ローカルシステムアカウントの権限で、任意のコマンドやプログ
ラムを実行する可能性があります。

対象となる製品は以下の通りです。

- ATOK for Windows
- ATOKスマイル

なお、上記製品を搭載した一太郎シリーズ、JUST Suite シリーズなど
も含みます。

この問題は、ジャストシステムが提供するセキュリティ更新モジュール、
アップデートモジュールを該当する製品に適用することで解決します。
詳細については、ジャストシステムが提供する情報を参照してください。

【4】VMware の VMnc AVI コーデックにバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#444513
VMware VMnc AVI video codec image height heap overflow
http://www.kb.cert.org/vuls/id/444513

概要

VMware の VMnc AVI コーデックには、AVI ファイルの処理に起因する
バッファオーバーフローの脆弱性があります。結果として、遠隔の第三
者が細工した Web ページまたは細工した AVI ファイルを閲覧させるこ
とで、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- VMware Movie Decoder 6.5.3 より前のバージョン
- VMware Workstation 6.5.3 より前のバージョン
- VMware Player 2.5.3 より前のバージョン
- VMware ACE 2.5.3 より前のバージョン

この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、VMware が提供する
情報を参照してください。

【5】「C/C++ セキュアコーディングハーフデイキャンプ 2009秋＠大阪」参加者募集中

情報源

JPCERT/CC
C/C++ セキュアコーディングハーフデイキャンプ 2009秋＠大阪のご案内
https://www.jpcert.or.jp/event/half-day_Camp-OSK-seminar.html

概要

JPCERT コーディネーションセンターは、経済産業省の委託によるソフ
トウエア等の脆弱性対策に関する事業の一環として、「C/C++ セキュア
コーディングセミナー」を開催しています。

「C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 ＠大阪」
は、関西エリアのプログラム開発者の方々に受講いただけるよう、大阪
を会場とし、2009年10月6日から隔週で全3回コースにて開催します。皆
様のご参加をお待ちしております。

日時:   part1 ＜文字列・整数＞
        2009年10月6日(火) 14:00 〜 19:00 (受付 13:30〜)
        part2 ＜ファイル入出力＞
        2009年10月20日(火) 14:00 〜 19:30 (受付 13:30〜)
        part3 ＜動的メモリ管理・書式指定文字列＞
        2009年11月2日(月) 14:00 〜 18:30 (受付 13:30〜)
会場:   クリスタルタワー 20階 会議室 F
        大阪市中央区城見 1-2-27
受講料: 無料
定員:   70名/1回のセミナー
        (参加者多数の場合はお申し込み先着順となります)

【6】JPCERT/CC、VRDA の有効性検証報告書英語版を公開

情報源

JPCERT/CC
Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム) の有効性検証報告書
https://www.jpcert.or.jp/research/index.html#VRDA2

概要

Vulnerability Response Decision Assistance (脆弱性対応意思決定支
援システム、略称:VRDA、読み:ヴァーダ) は、組織が、脆弱性情報に関
し、効率よく、一貫した対応ができるように支援すべく、JPCERT/CC と
CERT/CC が共同でデザインした脆弱性対応コンセプトです。

本報告書は、VRDA コンセプトを実装したシステムである KENGINE (試
行運用中) を用い、各組織において実施すべき脆弱性対応を、どの程度
正しく提示することができるかについて、CERT/CC を含む 3つの異なる
組織の協力を得て評価した結果をまとめたものです。

■今週のひとくちメモ

○J2SE 5.0 サポート終了

以前から告知されているとおり、J2SE 5.0 のサポートが、2009年10月
30日に終了します。

Java を使用したサービス提供者や開発者の方は、J2SE 5.0 を使用した
システムが残っていないか確認し、サポート終了日までに移行を完了す
るようにしましょう。

参考文献 (日本語)

JPCERT/CC REPORT 2008-07-16
【今週のひとくちメモ】J2SE 5.0 サポート終了移行期間について
https://www.jpcert.or.jp/wr/2008/wr082701.html#Memo

参考文献 (英語)

Sun Developer Network
Java SE & Java SE for Business Support Road Map
http://java.sun.com/products/archive/eol.policy.html

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2009-09-09号

<<< JPCERT/CC WEEKLY REPORT 2009-09-09 >>>

■08/30(日)〜09/05(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○J2SE 5.0 サポート終了

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

目　次