<<< JPCERT/CC WEEKLY REPORT 2010-04-07 >>>

■03/28(日)〜04/03(土) のセキュリティ関連情報

目　次

【1】Internet Explorer に複数の脆弱性

【2】Oracle Sun Java に複数の脆弱性

【3】Mozilla 製品群に複数の脆弱性

【4】VMware 製品群に複数の脆弱性

【5】Foxit Reader に脆弱性

【6】Compiere に複数のクロスサイトスクリプティングの脆弱性

【7】PrettyFormMail にクロスサイトスクリプティングの脆弱性

【8】HL-SiteManager に SQL インジェクションの脆弱性

【今週のひとくちメモ】DNS-CERT の設立提案

【1】Internet Explorer に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA10-089A
Microsoft Internet Explorer Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-089A.html

US-CERT Cyber Security Alert SA10-089A
Microsoft Internet Explorer Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-089A.html

概要

Microsoft Internet Explorer および関連コンポーネントには、複数の
脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書や 
Microsoft Office 文書を読み込ませることで、ユーザの権限で任意の
コードを実行する可能性があります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。なお、セキュリティ更新プログラ
ムには、JPCERT/CC WEEKLY REPORT 2010-03-17【2】で紹介した問題に
対する解決策も含まれています。

関連文書 (日本語)

マイクロソフト セキュリティ情報 MS10-018 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (980182)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-018.mspx

Japan Vulnerability Notes JVNTA10-089A
Internet Explorer に複数の脆弱性
http://jvn.jp/cert/JVNTA10-089A/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
Internet Explorer の脆弱性(MS10-018)について
http://www.ipa.go.jp/security/ciadr/vul/20100331-ms10-018.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS10-018)
http://www.npa.go.jp/cyberpolice/topics/?seq=3132

JPCERT/CC Alert 2010-03-31 JPCERT-AT-2010-0007
Microsoft Internet Explorer の脆弱性 (MS10-018) に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100007.txt

JPCERT/CC WEEKLY REPORT 2010-03-17
【2】Internet Explorer に解放済みメモリを使用する脆弱性
https://www.jpcert.or.jp/wr/2010/wr101001.html#2

【2】Oracle Sun Java に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#507652
Oracle Sun Java fails to properly validate Java applet signatures
http://www.kb.cert.org/vuls/id/507652

US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for Java SE and Java for Business
http://www.us-cert.gov/current/archive/2010/04/02/archive.html#oracle_releases_critical_patch_update10

概要

Oracle Sun Java には、複数の脆弱性があります。結果として、遠隔の
第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を
おこなったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- JDK/JRE 6 Update 18 およびそれ以前
- JDK/JRE 5.0 Update 23 およびそれ以前
- SDK/JRE 1.4.2_25 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。

なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はす
でにサポートが終了しています。最新の Java SE またはサポートのあ
る製品への移行をお勧めします。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#507652
Oracle Sun Java が Java アプレットの署名を正しく検証しない脆弱性
https://jvn.jp/cert/JVNVU507652/index.html

関連文書 (英語)

Java SE 6
Update Release Notes
http://java.sun.com/javase/6/webnotes/6u19.html

Oracle
Java for Business - Get It
http://www.sun.com/software/javaforbusiness/getit_download.jsp

Oracle Technology Network
Oracle Java SE and Java for Business Critical Patch Update Advisory - March 2010
http://www.oracle.com/technology/deploy/security/critical-patch-updates/javacpumar2010.html

Red Hat Security Advisory RHSA-2010:0339-1
Important: java-1.6.0-openjdk security update
https://rhn.redhat.com/errata/RHSA-2010-0339.html

【3】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Mozilla Releases Firefox V3.6.3
http://www.us-cert.gov/current/archive/2010/04/02/archive.html#mozilla_releases_firefox_3_61

DOE-CIRC Technical Bulletin T-339
Mozilla Firefox Use-After-Free Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-339.shtml

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となるバージョンは以下の通りです。

- Firefox 3.6 系、Firefox 3.5 系、Firefox 3.0 系
- Thunderbird
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。

関連文書 (日本語)

Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.3 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.3

Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.9 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.9

Firefox 3.0 セキュリティアドバイザリ
Firefox 3.0.19 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.19

Thunderbird 3.0 セキュリティアドバイザリ
Thunderbird 3.0.4 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.4

SeaMonkey 2.0 セキュリティアドバイザリ
SeaMonkey 2.0.4 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.4

【4】VMware 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
VMware Releases Security Advisory for ESX Service Console Updates
http://www.us-cert.gov/current/archive/2010/04/02/archive.html#vmware_releases_security_advisory_for

概要

VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が認証を回避したり、任意のコードを実行したり、ユーザのブラウ
ザ上で任意のスクリプトを実行したりする可能性があります。

この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。2010年4月6日現在、一部の問題につい
ては修正版が提供されていません。詳細については、VMware が提供す
る情報を参照してください。

関連文書 (英語)

VMware Security Advisories (VMSAs)
VMSA-2010-0005 VMware products address vulnerabilities in WebAccess
http://www.vmware.com/security/advisories/VMSA-2010-0005.html

VMware Security Advisories (VMSAs)
VMSA-2010-0006 ESX Service Console updates for samba and acpid
http://www.vmware.com/security/advisories/VMSA-2010-0006.html

【5】Foxit Reader に脆弱性

情報源

US-CERT Vulnerability Note VU#570177
Foxit Reader vulnerable to arbitrary command execution
http://www.kb.cert.org/vuls/id/570177

概要

Foxit Software の Foxit Reader には、脆弱性があります。結果とし
て、遠隔の第三者が細工した PDF 文書を閲覧させることで、任意のコー
ドを実行する可能性があります。

対象となるバージョンは以下のとおりです。

- Foxit Reader 3.2.0.0303

この問題は、Foxit Software が提供する修正済みのバージョンに Foxit
Reader を更新することで解決します。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#570177
Foxit Reader に任意のコード実行が可能な脆弱性
https://jvn.jp/cert/JVNVU570177/index.html

関連文書 (英語)

Foxit Software
Authorization Bypass When Executing An Embedded Executable
http://www.foxitsoftware.com/pdf/reader/security.htm#0401

【6】Compiere に複数のクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#57963254
Compiere におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN57963254/index.html

Japan Vulnerability Notes JVN#38687002
Compiere におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN38687002/index.html

概要

アルマスの ERP/CRM ソフトウエア Compiere には、複数のクロスサイ
トスクリプティングの脆弱性があります。結果として、遠隔の第三者が 
ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Compiere J300_A02 およびそれ以前

この問題は、アルマスが提供するパッチを Compiere に適用するか、修
正済みのバージョンに Compiere を更新することで解決します。詳細に
ついては、アルマスが提供する情報を参照してください。

関連文書 (日本語)

株式会社アルマス
Compiere_J300_A02バージョンのセキュリティ脆弱性対応パッチ
http://www.compiere-japan.com/products/release/patch.html

【7】PrettyFormMail にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#41842181
PrettyFormMail におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN41842181/index.html

概要

フォームに入力された内容を電子メールで送信する PrettyFormMail に
は、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。

対象となる製品は以下の通りです。

- PrettyFormMail

この問題に対する解決策の提供は予定されていないため、
PrettyFormMail の使用を停止し、同等の機能が実装された他製品に切
り替えることをお勧めします。

関連文書 (日本語)

PrettyBook
＜cgi配布停止のお知らせ＞
http://www.prettybook.com/index3.html

【8】HL-SiteManager に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#60969543
HL-SiteManager における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN60969543/index.html

概要

Heartlogic のコンテンツ管理システム HL-SiteManager には、SQL イ
ンジェクションの脆弱性があります。結果として、遠隔の第三者が、当
該製品で管理している情報を閲覧したり、変更したりする可能性があり
ます。

対象となる製品は以下の通りです。

- HL-SiteManager

この問題に対する解決策の提供は予定されていないため、
HL-SiteManager の使用を停止し、同等の機能が実装された他製品に切
り替えることをお勧めします。

関連文書 (日本語)

Heartlogic
HL-SiteManagerの脆弱性と公開停止のお知らせ
http://www.heartlogic.jp/docs/free_cgi/hl-sitemanager.html

■今週のひとくちメモ

○DNS-CERT の設立提案

DNS は、インターネット通信を行うアプリケーションで必要となる名前
解決を行うインターネットの基幹技術です。
 
一方、DNS サーバに対する DoS 攻撃や、キャッシュポイズニングの問
題など、社会に大きな影響を及ぼすインシデントも発生しています。
DNS に関係する問題の解決や安定運用には、DNS ソフトウエア開発者や 
DNS サーバ運用者、さらにはドメイン名を管理するレジストリなど、様々
な組織が協調して活動することが重要です。

ICANN では、DNS の継続した発展と安定運用を目指し、今後の活動計画
として、DNS に関する脅威分析・危機管理計画の検討・インシデント対
応の演習を検討・実現していくことを提案しています。また、あわせて
様々な関係組織間の調整を行うDNS-CERT の設立を提案しています。

参考文献 (英語)

ICANN
Proposed Strategic Initiatives for Improved DNS Security, Stability and Resiliency (SSR)
http://www.icann.org/en/topics/ssr/strategic-ssr-initiatives-09feb10-en.pdf

ICANN
Global DNS-CERT Business Case
http://www.icann.org/en/topics/ssr/dns-cert-business-case-19mar10-en.pdf

■JPCERT/CC からのお願い