<<< JPCERT/CC WEEKLY REPORT 2010-10-06 >>>

■09/26(日)〜10/02(土) のセキュリティ関連情報

目　次

【1】「Microsoft ASP.NET に脆弱性」に関する追加情報

【2】BIND の ACL の処理に脆弱性

【3】VMware 製品群に複数の脆弱性

【4】攻撃用ツールキットを使用した Web サイト経由での攻撃に関する注意喚起

【5】C/C++ セキュアコーディングセミナー 2010 ＠東京 part3 開催せまる

【今週のひとくちメモ】National Cyber Security Awareness Month 2010

【1】「Microsoft ASP.NET に脆弱性」に関する追加情報

情報源

US-CERT Current Activity Archive
Microsoft Releases Security Bulletin MS10-070
http://www.us-cert.gov/current/archive/2010/09/30/archive.html#microsoft_releases_security_bulletin_ms10

概要

JPCERT/CC WEEKLY REPORT 2010-09-24 号【3】で紹介した「Microsoft 
ASP.NET に脆弱性」に関する追加情報です。

マイクロソフトは、この問題の対策として 2010年9月29日にセキュリティ
更新プログラムをリリースしました。詳細については、下記関連文書を
参照してください。

関連文書 (日本語)

マイクロソフト セキュリティ情報 MS10-070 - 重要
ASP.NET の脆弱性により、情報漏えいが起こる (2418042)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-070.mspx

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS10-070)
http://www.npa.go.jp/cyberpolice/topics/?seq=4857

JPCERT/CC WEEKLY REPORT 2010-09-24 号
【3】Microsoft ASP.NET に脆弱性
https://www.jpcert.or.jp/wr/2010/wr103601.html#3

【2】BIND の ACL の処理に脆弱性

情報源

US-CERT Vulnerability Note VU#784855
Unexpected ACL Behavior in BIND 9.7.2
http://www.kb.cert.org/vuls/id/784855

概要

BIND の ACL の処理には、脆弱性があります。結果として、遠隔の第三
者がアクセス制限を回避して、キャッシュデータにアクセスする可能性
があります。

対象となるバージョンは以下の通りです。

- BIND 9.7.2 から 9.7.2-P1 まで

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに BIND を更新することで解決します。詳細については、各
ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#784855
BIND の ACL の処理に問題
https://jvn.jp/cert/JVNVU784855/index.html

関連文書 (英語)

Internet Systems Consortium
Security Advisory Regarding Unexpected ACL Behavior in BIND 9.7.2
https://lists.isc.org/pipermail/bind-announce/2010-September/000655.html

Internet Systems Consortium
BIND 9.7.2-P2 Release Note
http://ftp.isc.org/isc/bind9/9.7.2-P2/RELEASE-NOTES-BIND-9.7.2-P2.html

【3】VMware 製品群に複数の脆弱性

情報源

VMware Security Advisories (VMSAs)
VMSA-2010-0015 VMware ESX third party updates for Service Console
http://www.vmware.com/security/advisories/VMSA-2010-0015.html

概要

VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、権限を昇格したり、機密情報を取得
したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性がありま
す。

この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。2010年10月5日現在、一部の問題につ
いては修正版が提供されていません。詳細については、VMware が提供
する情報を参照してください。

関連文書 (英語)

VMware Security Announcements
[Security-announce] VMSA-2010-0015 VMware ESX third party updates for Service Console
http://lists.vmware.com/pipermail/security-announce/2010/000106.html

【4】攻撃用ツールキットを使用した Web サイト経由での攻撃に関する注意喚起

情報源

JPCERT/CC
攻撃用ツールキットを使用した Web サイト経由での攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100025.txt

概要

JPCERT/CC では、改ざんされた Web サイトを閲覧したユーザの PC を
マルウエアに感染させる攻撃を複数確認しています。これらの攻撃では、
Windows、Adobe Reader、Flash Player、Java(JRE) などの製品の脆弱
性を悪用する攻撃用ツールキットが使用されています。

PC にインストールしているソフトウエアが最新であるか確認の上、更
新が必要な場合は適宜アップデートしてください。

【5】C/C++ セキュアコーディングセミナー 2010 ＠東京 part3 開催せまる

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

東京を会場にしたセミナー part3「CERT C セキュアコーディングスタ
ンダード」の開催まで一週間となりました。ひきつづき参加申し込みを
受け付けております。皆様奮ってご参加ください。

  [日時] part3 ＜CERT C セキュアコーディングスタンダード＞
         2010年10月13日(水)

         13:30 -       受付開始
         14:00 - 14:45 CERT C セキュアコーディングスタンダード概論
         15:00 - 16:30 CERT C セキュアコーディングスタンダード各論
         16:45 - 17:15 CERT C セキュアコーディングスタンダード活用

  [会場] 株式会社インターネットイニシアティブ大会議室1
         東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
         (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif

  [定員]　70名／回
          (参加者多数の場合はお申し込み先着順となります)

  [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
          ジェクトマネージャ、コードレビュアー、品質管理担当者、
          プログラマ・エンジニアの教育担当者、等

関連文書 (日本語)

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html

■今週のひとくちメモ

○National Cyber Security Awareness Month 2010

米国では、毎年10月を "National Cyber Security Awareness Month" 
として、情報セキュリティに関する啓発活動を展開しています。この活
動には、米国国土安全保障省、NCSA (National Cyber Security
Alliance)、Multi-State ISAC、各種非営利団体、IT 系企業などが参加
しており、様々なユーザ層に向けた活動が行われています。

これに関連して SANS handler's diary では、「人的セキュリティ」に
着目した内容を掲載しています。社内セキュリティ検討の参考にしてみ
てはいかがでしょうか。

参考文献 (英語)

National Cyber Security Alliance
National Cyber Security Awareness Month (NCSAM)
http://www.staysafeonline.org/ncsam

米国国土安全保障省 (DHS)
Cybersecurity: Our Shared Responsibility
http://www.dhs.gov/files/programs/gc_1158611596104.shtm

SANS Internet Storm Center
Cyber Security Awareness Month - 2010
https://isc.sans.edu/diary.html?storyid=9640

■JPCERT/CC からのお願い