JPCERT コーディネーションセンター

Weekly Report 2010-07-14号

JPCERT-WR-2010-2601
JPCERT/CC
2010-07-14

<<< JPCERT/CC WEEKLY REPORT 2010-07-14 >>>

■07/04(日)〜07/10(土) のセキュリティ関連情報

目 次

【1】Google Chrome に複数の脆弱性

【2】iSCSI ターゲットの複数の実装にバッファオーバーフローの脆弱性

【3】C/C++ セキュアコーディングセミナー 2010 @東京 のご案内

【4】「JPCERT/CC インシデント対応レポート」を公開

【今週のひとくちメモ】ルートゾーンの DNSSEC 正式運用

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr102601.txt
https://www.jpcert.or.jp/wr/2010/wr102601.xml

【1】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 5.0.375.99
http://www.us-cert.gov/current/archive/2010/07/09/archive.html#google_releases_chrome_5_03

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Releases Chrome 5.0.375.99 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome 
を更新することで解決します。

関連文書 (英語)

Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2010/07/stable-channel-update.html

【2】iSCSI ターゲットの複数の実装にバッファオーバーフローの脆弱性

情報源

DOE-CIRC Technical Bulletin T-393
iSCSI Enterprise Target Multiple Implementations iSNS Message Stack Buffer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-393.shtml

概要

Linux における iSCSI ターゲットの複数の実装には、iSNS メッセージ
の処理に起因するバッファオーバーフローの脆弱性があります。結果と
して、遠隔の第三者が細工した iSNS メッセージを処理させることで、
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- iSCSI Enterprise Target 1.4.20.1 およびそれ以前
- Generic SCSI Target Subsystem for Linux 1.0.1.1 およびそれ以前
- Linux SCSI target framework 1.0 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。詳細につい
ては、各ベンダや配布元が提供する情報を参照してください。

関連文書 (英語)

iSCSI Enterprise Target Project
iSCSI Enterprise Target
http://iscsitarget.sourceforge.net/

iSCSI Enterprise Target Project
[Iscsitarget-devel] [patch] fix iSNS bounds checking
http://sourceforge.net/mailarchive/forum.php?thread_name=E2BB8074E5500C42984D980D4BD78EF904075006%40MFG-NYC-EXCH2.mfg.prv&forum_name=iscsitarget-devel

SCST project
Generic SCSI Target Subsystem for Linux
http://scst.sourceforge.net/

SCST project
SCM Repositories - scst
http://scst.svn.sourceforge.net/viewvc/scst?view=revision&revision=1793

tgt project
Linux SCSI target framework (tgt) project
http://stgt.sourceforge.net/

tgt project
[stgt] 1.0.6 released
http://lists.wpkg.org/pipermail/stgt/2010-July/003858.html

Red Hat Security Advisory RHSA-2010:0518-1
Important: scsi-target-utils security update
https://rhn.redhat.com/errata/RHSA-2010-0518.html

【3】C/C++ セキュアコーディングセミナー 2010 @東京 のご案内

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

8月からは東京を会場に、毎月一回、午後半日のセミナーを開催します。
毎回ひとつのトピックをとりあげ、講義と演習という形で、セキュアコー
ディングを学んでいただきます。

第一回 (8月5日) の「文字列」、第二回 (9月15日) の「整数」につい
て、参加募集を開始しました。皆様のご参加をお待ちしています。

  [日時] part1 <文字列> 2010年8月5日(木)
         13:30 -       受付開始
         14:00 - 16:00 文字列
         16:15 - 18:15 演習 (文字列)

         part2 <整数> 2010年9月15日(水)
         13:00 -        受付開始
         13:30 - 16:00  整数
         16:15 - 18:15  演習 (整数)

  [会場] 株式会社インターネットイニシアティブ大会議室1
         東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
         (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif

  [定員] 70名/回
          (参加者多数の場合はお申し込み先着順となります)

  [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
          ジェクトマネージャ、コードレビュアー、品質管理担当者、
          プログラマ・エンジニアの教育担当者、等

関連文書 (英語)

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html

【4】「JPCERT/CC インシデント対応レポート」を公開

情報源

JPCERT/CC
インシデント報告対応四半期レポート
https://www.jpcert.or.jp/ir/report.html

概要

JPCERT/CC では、インシデント対応の活動結果を四半期ごとに公開して
います。これまで 「JPCERT/CC インシデントハンドリング業務報告」
として公開してきたものを「JPCERT/CC インシデント対応レポート」と
して改訂し、内容の拡充を行いました。

四半期ごとの統計推移に加えてインシデント動向を分析した内容を追加
しています。また、より具体的にインシデント対応の過程をイメージし
ていただくために「インシデント対応事例」や「インシデントの分類」
を追加しています。

■今週のひとくちメモ

○ルートゾーンの DNSSEC 正式運用

ルートゾーンへの DNSSEC 導入に向けた作業が昨年 12月より段階的に
進められてきました。2010年7月15日、いよいよルートゾーンの DNSSEC 
運用が正式に開始される予定です。

これにより、ルートゾーンからの信頼の連鎖が構築可能となり、DNSSEC
の本格的な運用の準備が整います。

参考文献 (日本語)

JPCERT/CC Weekly Report
【今週のひとくちメモ】ルートサーバへの DNSSEC 署名データ導入
https://www.jpcert.or.jp/wr/2010/wr101701.html#Memo

参考文献 (英語)

Root DNSSEC
Status Update, 2010-07-10
http://www.root-dnssec.org/2010/07/10/status-update-2010-07-10/

ICANN DNS Operations
http://dns.icann.org/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter