<<< JPCERT/CC WEEKLY REPORT 2010-02-03 >>>

■01/24(日)〜01/30(土) のセキュリティ関連情報

目　次

【1】Google Chrome に複数の脆弱性

【2】Windows カーネルに脆弱性

【3】Cisco Unified MeetingPlace に複数の脆弱性

【4】GNU gzip に複数の脆弱性

【5】Linux カーネルの IPv6 jumbogram 処理に脆弱性

【6】制御システムセキュリティカンファレンス 2010 開催のお知らせ

【今週のひとくちメモ】情報セキュリティ月間

【1】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 4.0.249.78
http://www.us-cert.gov/current/archive/2010/01/29/archive.html#google_releases_chrome_4_0

概要

Google Chrome には、複数の脆弱性があります。結果として、遠隔の第
三者が機密情報を取得したり、任意のコードを実行したり、ブラウザを
クラッシュさせたりする可能性があります。

対象となるバージョンは以下の通りです。

- Google Chrome 4.0.249.78 よりも前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome
を更新することで解決します。

関連文書 (英語)

Google
Chromium Security Bugs
http://sites.google.com/a/chromium.org/dev/Home/chromium-security/chromium-security-bugs

Google
Google Chrome Releases
http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html

【2】Windows カーネルに脆弱性

情報源

マイクロソフト セキュリティ アドバイザリ (979682)
Windows カーネルの脆弱性により、特権が昇格される
http://www.microsoft.com/japan/technet/security/advisory/979682.mspx

概要

Windows カーネルには、脆弱性があります。結果として、ローカルユー
ザがカーネルモードで任意のコードを実行する可能性があります。

詳細については、マイクロソフトが提供する情報を参照してください。

2010年2月2日現在、この問題に対するセキュリティ更新プログラムは提
供されていません。

回避策として、マイクロソフトは「Fix it」を公開しています。詳細に
ついては、下記関連文書を参照してください。なお、回避策を適用する
と 16-bit アプリケーションを実行できなくなります。

関連文書 (日本語)

マイクロソフト セキュリティ アドバイザリ
Windows カーネルの脆弱性により、特権が昇格される
http://support.microsoft.com/kb/979682

【3】Cisco Unified MeetingPlace に複数の脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Security Advisory for Unified MeetingPlace
http://www.us-cert.gov/current/archive/2010/01/29/archive.html#cisco_releases_security_advisory_for16

DOE-CIRC Technical Bulletin T-296
Cisco Security Advisory: Multiple Vulnerabilities in Cisco Unified MeetingPlace
http://www.doecirc.energy.gov/bulletins/t-296.shtml

概要

Cisco Unified MeetingPlace には、複数の脆弱性があります。結果と
して、遠隔の第三者が権限を昇格したり、サービス運用妨害 (DoS) 攻
撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Cisco Unified MeetingPlace 5、6、7

この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified 
MeetingPlace を更新することで解決します。なお、Cisco Unified 
MeetingPlace 5 は 2009年4月にサポートが終了しています。後継のバー
ジョンへ更新することをお勧めします。

関連文書 (英語)

Cisco Security Advisory 111013
Multiple Vulnerabilities in Cisco Unified MeetingPlace
http://www.cisco.com/warp/public/707/cisco-sa-20100127-mp.shtml

【4】GNU gzip に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#188937
GNU gzip における複数の脆弱性
https://jvn.jp/cert/JVNVU188937/index.html

概要

GNU gzip には複数の脆弱性があります。結果として、遠隔の第三者が
細工した gzip 圧縮ファイルを処理させることで、サービス運用妨害 
(DoS) 攻撃を行ったり、ユーザの権限で任意のコードを実行したりする
可能性があります。

対象となるバージョンは以下の通りです。

- GNU gzip 1.3.3 〜 1.3.14

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに GNU gzip を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

Debian セキュリティ勧告 DSA-1974-1
gzip -- 複数の脆弱性
http://www.debian.org/security/2010/dsa-1974.ja.html

関連文書 (英語)

Free Software Foundation
GNU gzip - News: gzip-1.4 released (stable/security)
http://savannah.gnu.org/forum/forum.php?forum_id=6153

Red Hat Security Advisory RHSA-2010:0061-1
Moderate: gzip security update
https://rhn.redhat.com/errata/RHSA-2010-0061.html

CERT-FI Reports
CERT-FI Advisory on GNU gzip
http://www.cert.fi/en/reports/2010/vulnerability216853.html

【5】Linux カーネルの IPv6 jumbogram 処理に脆弱性

情報源

Japan Vulnerability Notes JVNVU#571860
Linux カーネルの IPv6 jumbogram 処理に脆弱性
https://jvn.jp/cert/JVNVU571860/index.html

概要

Linux カーネルには、IPv6 jumbogram の処理に脆弱性があります。結
果として、遠隔の第三者が細工した IPv6 jumbogram を処理させること
でサービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、
network namespace を有効にしている Linux カーネルのみ本脆弱性の
影響を受けます。

対象となる製品は以下の通りです。

- 2008-10-8 以降の Linux カーネル
- 2.6.31 以降をベースにした Linux カーネル

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Linux カーネルを更新することで解決します。詳細につ
いては、ベンダや配布元が提供する情報を参照してください。

関連文書 (英語)

The Linux Kernel Archives
ipv6: skb_dst() can be NULL in ipv6_hop_jumbo().
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=2570a4f5428bcdb1077622342181755741e7fa60

CERT-FI Reports
CERT-FI Advisory on Linux IPv6 Jumbogram handling
http://www.cert.fi/en/reports/2010/vulnerability341748.html

【6】制御システムセキュリティカンファレンス 2010 開催のお知らせ

情報源

JPCERT/CC イベント情報
制御システムセキュリティカンファレンス 2010
https://www.jpcert.or.jp/ics/conference2010.html

概要

ご好評をいただいた昨年度に続いて今年度も制御システムセキュリティ
カンファレンスを開催いたします。

2010年2月に開催するカンファレンスでは、制御システム関係者それぞ
れが果たすべき役割を明らかにする事で国内における制御システムの情
報セキュリティ対策の実効的推進に資することを目的に掲げています。
そして ICT の脅威から制御システムを守り、この安全かつ安心な構築・
運用に貢献したいと考えています。

日時および場所：
  2010年2月9日 (火) 09:30 - 16:30 (受付開始 09:00)
  都市センターホテル　オリオン (東京都千代田区平河町2-4-1)

参加費： 無料 (ただし、事前に参加申込みが必要です)
定  員： 100名 (定員になり次第締め切りとなります)
申込方法：
  お申し込み用のフォームをお使いの上、申込先メールアドレスまで、
  ご連絡ください。

詳細については、関連文書のカンファレンスの URL をご参照ください。

関連文書 (日本語)

制御システムセキュリティカンファレンス 2010
https://www.jpcert.or.jp/ics/conference2010.html

■今週のひとくちメモ

○情報セキュリティ月間

平成18年10月に開催された情報セキュリティ政策会議によって、毎年
2月2日が「情報セキュリティの日」に定められました。以降この時期に
は、経済産業省による『CHECK PC!』キャンペーンや情報セキュリティ
対策推進コミュニティによる「みんなで情報セキュリティ強化宣言!」
などの活動が行われてきました。

さらに、今年度から 2月を「情報セキュリティ月間」と定める政府の発
表があり、様々な情報セキュリティに関する普及啓発強化のための活動
が企画されています。

情報セキュリティの普及啓発の一助として、この機会をご活用ください。

経済産業省
CHECK PC!
http://www.checkpc.go.jp/

情報セキュリティ対策推進コミュニティ
みんなで「情報セキュリティ」強化宣言!
http://www.netanzen.jp/

参考文献 (日本語)

内閣官房情報セキュリティセンター
情報セキュリティ月間
http://www.nisc.go.jp/ism/

内閣官房情報セキュリティセンター
情報セキュリティの日
http://www.nisc.go.jp/isd/

■JPCERT/CC からのお願い