JPCERT コーディネーションセンター

Weekly Report 2010-07-07号

JPCERT-WR-2010-2501
JPCERT/CC
2010-07-07

<<< JPCERT/CC WEEKLY REPORT 2010-07-07 >>>

■06/27(日)〜07/03(土) のセキュリティ関連情報

目 次

【1】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報

【2】libpng に複数の脆弱性

【3】LibTIFF にバッファオーバーフローの脆弱性

【4】Snare Agent の Web インタフェースにクロスサイトリクエストフォージェリの脆弱性

【今週のひとくちメモ】Windows 2000 および XP SP2 の延長サポート終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr102501.txt
https://www.jpcert.or.jp/wr/2010/wr102501.xml

【1】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報

情報源

US-CERT Current Activity Archive
Adobe Releases Update for Adobe Reader and Adobe Acrobat
http://www.us-cert.gov/current/archive/2010/07/02/archive.html#adobe_releases_update_for_adobe1

DOE-CIRC Technical Bulletin T-390
Security updates available for Adobe Reader and Acrobat
http://www.doecirc.energy.gov/bulletins/t-390.shtml

概要

JPCERT/CC WEEKLY REPORT 2010-06-09号【1】で紹介した「Adobe Flash 
Player、Reader および Acrobat に脆弱性」に関する追加情報です。

Adobe は、Adobe Reader および Acrobat の修正済みのバージョンを
2010年6月29日に公開しました。詳細については、Adobe が提供する情
報を参照してください。

関連文書 (日本語)

Adobe TechNote APSB10-15
セキュリティアップデータの公開 APSB10-15:AcrobatおよびAdobe Reader
http://kb2.adobe.com/jp/cps/852/cpsid_85240.html

@police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=3986

JPCERT/CC Alert 2010-06-30 JPCERT-AT-2010-0017
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100017.txt

JPCERT/CC WEEKLY REPORT 2010-06-16
【3】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報
https://www.jpcert.or.jp/wr/2010/wr102201.html#3

JPCERT/CC WEEKLY REPORT 2010-06-09
【1】Adobe Flash Player、Reader および Acrobat に脆弱性
https://www.jpcert.or.jp/wr/2010/wr102101.html#1

関連文書 (英語)

Adobe Security Bulletin APSB10-15
Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-15.html

【2】libpng に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#643615
libpng fails to limit number of rows in header
http://www.kb.cert.org/vuls/id/643615

DOE-CIRC Technical Bulletin T-391
libpng Memory Corruption and Memory Leak Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-391.shtml

概要

libpng には、PNG 画像の処理に起因する複数の脆弱性があります。結
果として、遠隔の第三者が細工した PNG 画像を読み込ませることで、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり
する可能性があります。

対象となるバージョンは以下の通りです。

- libpng 1.4.3 より前の 1.4.x 系
- libpng 1.2.44 より前の 1.2.x 系
- libpng 1.0.x 系

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに libpng を更新することで解決します。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#643615
libpng に脆弱性
https://jvn.jp/cert/JVNVU643615/

関連文書 (英語)

libpng.org
libpng
http://www.libpng.org/pub/png/libpng.html

libpng.org
PNG News from 2010
http://www.libpng.org/pub/png/png2010.html

【3】LibTIFF にバッファオーバーフローの脆弱性

情報源

CERT-FI Reports
CERT-FI Advisory on LibTIFF
http://www.cert.fi/en/reports/2010/vulnerability391068.html

DOE-CIRC Technical Bulletin T-389
LibTIFF 'TIFFroundup()' Remote Integer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-389.shtml

概要

LibTIFF には、TIFF 画像の処理に起因するバッファオーバーフローの
脆弱性があります。結果として、遠隔の第三者が細工した TIFF 画像を
読み込ませることで任意のコードを実行したり、サービス運用妨害 
(DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- LibTIFF 3.9.3 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに LibTIFF を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。

関連文書 (英語)

RemoteSensing.org
LibTIFF - TIFF Library and Utilities
http://www.remotesensing.org/libtiff/

RemoteSensing.org
TIFF CHANGE INFORMATION
http://www.remotesensing.org/libtiff/v3.9.3.html

【4】Snare Agent の Web インタフェースにクロスサイトリクエストフォージェリの脆弱性

情報源

US-CERT Vulnerability Note VU#173009
Snare Agent web interface cross-site request forgery vulnerabilities
http://www.kb.cert.org/vuls/id/173009

概要

Snare Agent の Web インタフェースには、クロスサイトリクエスト
フォージェリの脆弱性があります。結果として、遠隔の第三者が細工し
た Web ページを読み込ませることで Snare Agent の設定を変更する可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- Snare for Solaris 3.2.3 およびそれ以前
- Snare for Windows 3.1.7 およびそれ以前
- Snare for Linux 1.5.0 およびそれ以前
- Snare for AIX 1.5.0 およびそれ以前
- Snare for Irix 1.4 およびそれ以前
- Epilog for Windows 1.5.3 およびそれ以前
- Epilog for Unix 1.2 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#173009
Snare Agent のウェブインターフェースにクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/cert/JVNVU173009/index.html

関連文書 (英語)

InterSect Alliance
Snare - Audit Log and EventLog analysis
http://www.intersectalliance.com/projects/index.html

■今週のひとくちメモ

○Windows 2000 および XP SP2 の延長サポート終了

来週 7月13日に、Windows 2000 (Server および Professional) の延長
サポート期間が終了します。Microsoft は、Windows 2000 Server から
の移行支援情報などを提供する「Windows 2000 Server 延長サポート終
了までのカウントダウン」ページを公開しています。

また、Windows XP SP2 も 7月13日に延長サポート期間が終了します。
Windows XP の利用を続ける場合には SP3 を適用してください。
Windows XP SP3 は 2014年4月8日までサポートされる予定です。

参考文献 (日本語)

マイクロソフト
Windows 2000 Server 延長サポート終了までのカウントダウン
http://www.microsoft.com/japan/windowsserver2008/r2/w2k-migration.mspx

マイクロソフト
Windows 2000 エンド・オブ・サポート ソリューションセンター
http://support.microsoft.com/ph/1131/ja

マイクロソフト
Windows XP Service Pack 2 (SP2)をお使いのお客様へ
http://www.microsoft.com/japan/windows/products/windowsxp/future/sp2.mspx

独立行政法人 情報処理推進機構
サポートが終了するWindowsを利用しているシステム管理者への注意喚起
http://www.ipa.go.jp/about/press/20100705.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter