JPCERT コーディネーションセンター

Weekly Report 2010-06-02号

JPCERT-WR-2010-2001
JPCERT/CC
2010-06-02

<<< JPCERT/CC WEEKLY REPORT 2010-06-02 >>>

■05/23(日)〜05/29(土) のセキュリティ関連情報

目 次

【1】MySQL に複数の脆弱性

【2】Google Chrome に複数の脆弱性

【3】Cisco Network Building Mediator の Mediator Framework に複数の脆弱性

【4】ネットメディアの信頼性向上対策ワークショップ開催のご案内

【5】C/C++ セキュアコーディングセミナー 2010 @大阪 のご案内

【今週のひとくちメモ】CSS visited selector のプライバシー対策

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr102001.txt
https://www.jpcert.or.jp/wr/2010/wr102001.xml

【1】MySQL に複数の脆弱性

情報源

DOE-CIRC Technical Bulletin T-373
Oracle MySQL 'COM_FIELD_LIST' Command Packet Security Bypass Vulnerability
http://www.doecirc.energy.gov/bulletins/t-373.shtml

概要

MySQL には、複数の脆弱性があります。結果として、認証済みのユーザ
が権限チェックを回避したり、任意のコードを実行したり、遠隔の第三
者がサービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- MySQL 5.0.x 系および 5.1.x 系

この問題は、使用している OS のベンダまたは配布元が提供する修正済
みのバージョンに MySQL を更新することで解決します。詳細について
は、下記関連文書を参照してください。

なお、各バージョンのサポート期間については、関連文書の MySQL
Lifecycle Policy を参照してください。

関連文書 (英語)

MySQL
C.1.1. Changes in MySQL 5.1.47 (06 May 2010)
http://dev.mysql.com/doc/refman/5.1/en/news-5-1-47.html

MySQL
C.1.1. Changes in MySQL 5.0.91 (05 May 2010)
http://dev.mysql.com/doc/refman/5.0/en/news-5-0-91.html

MySQL
MySQL Lifecycle Policy
http://www.mysql.com/about/legal/lifecycle/

【2】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 5.0.375.55
http://www.us-cert.gov/current/archive/2010/05/28/archive.html#google_releases_chrome_5_0

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 5.0.375.55 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome 
を更新することで解決します。

関連文書 (英語)

Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2010/05/stable-channel-update.html

【3】Cisco Network Building Mediator の Mediator Framework に複数の脆弱性

情報源

US-CERT Current Activity Archive
Cisco Network Building Manager Vulnerabilities
http://www.us-cert.gov/current/archive/2010/05/28/archive.html#cisco_network_building_manager_vulnerabilities

概要

Cisco Network Building Mediator の Mediator Framework には、複数
の脆弱性があります。結果として、遠隔の第三者が機密情報を取得した
り、認証済みのユーザが権限を昇格したりする可能性があります。なお、
旧 Richards-Zeta Mediator もこの問題の影響を受けます。

対象となるバージョンは以下の通りです。

- 以下の各製品で動作する Mediator Framework 3.1.1 より前のバー
  ジョン
  - Cisco Network Building Mediator NBM-2400 モデル
  - Cisco Network Building Mediator NBM-4800 モデル
  - Richards-Zeta Mediator 2500

この問題は、Cisco が提供する修正済みのバージョンに Mediator 
Framework を更新することで解決します。詳細については、Cisco が提
供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory 111014
Multiple Vulnerabilities in Cisco Network Building Mediator
http://www.cisco.com/warp/public/707/cisco-sa-20100526-mediator.shtml

Cisco Applied Mitigation Bulletin 111993
Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco Network Building Mediator
http://www.cisco.com/warp/public/707/cisco-amb-20100526-mediator.shtml

【4】ネットメディアの信頼性向上対策ワークショップ開催のご案内

情報源

財団法人日本情報処理開発協会
ネットメディアの信頼性向上対策ワークショップ
http://www.jipdec.or.jp/dupc/event/20100616_workshop.html

概要

インターネット上では、様々な脅威が新たに発生し、利用者はそれらに
対する備えを常に求められています。

本ワークショップでは、各種のネットメディアを利用する上での様々な
脅威と事例を、なりすまし問題という視点から捉え、一般利用者、情報
発信企業、政治家を始めとする著名人の立場など様々なネット利用者に
とって、なりすまし問題の考え方その対策を、セキュリティの専門家の
立場から議論し、現状可能な対策を総括しご紹介します。JPCERT/CC は、
本セミナーで講演します。

  [日時] 2010年6月16日(水)13:30〜16:10

  [会場] TKP東京駅日本橋ビジネスセンター ホール2A
         (東京都中央区日本橋1-3-13 日本橋中央ビル)
         http://tkptn.net/access/
  [費用] 参加費無料

【5】C/C++ セキュアコーディングセミナー 2010 @大阪 のご案内

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @大阪 のご案内
https://www.jpcert.or.jp/event/securecoding-OSK-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

5月の福岡に続き、関西地区のプログラム開発者の方々に受講いただけ
るよう、大阪を会場として、7月1日、2日の2回コースで開催します。
ふるってご参加ください。

  [日時] part 1 <セキュアコーディング概論・文字列>
      2010年7月1日(木) 10:00 〜 17:15 (受付 9:30〜)
      part 2 <整数・コードレビュー>
      2010年7月2日(金) 9:30 〜 17:15 (受付 9:10〜)

  [会場] クリスタルタワー 20階 E会議室
         大阪市中央区城見1-2-27
         (MAP) http://www4.ocn.ne.jp/~crystalt/map.html

  [受講料] 無料

  [定員] 70名/回
          (参加者多数の場合はお申し込み先着順となります)

  [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェ
          クトマネージャ、コードレビュアー、品質管理担当者、プログラ
          マ・エンジニアの教育担当者、等

関連文書 (日本語)

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @大阪 お申し込み
https://www.jpcert.or.jp/event/securecoding-OSK-application.html

■今週のひとくちメモ

○CSS visited selector のプライバシー対策

CSS (Cascading Style Sheet) の visited selector の機能には、 ユー
ザの閲覧履歴をユーザの意図しない形で外部から取得できる問題が指摘
されています。Mozilla では、その対策として、この機能を一部制限す
る提案と実装を行なっています。

参考文献 (日本語)

mozilla developer street
CSS の :visited に行われるプライバシー対策
https://dev.mozilla.jp/hacksmozillaorg/privacy-related-changes-coming-to-css-vistited/

Mozilla Japan ブログ
CSS によるブラウザ履歴の漏えいを防ぐ取り組み
http://mozilla.jp/blog/entry/5421/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter