JPCERT-WR-2010-4701

JPCERT/CC

2010-12-08

<<< JPCERT/CC WEEKLY REPORT 2010-12-08 >>>

■11/28(日)〜12/04(土) のセキュリティ関連情報

目　次

【1】ISC BIND に複数の脆弱性

【2】VMware 製品群に複数の脆弱性

【3】Google Chrome に複数の脆弱性

【4】PHP に脆弱性

【5】WordPress に脆弱性

【6】AWStats に脆弱性

【7】Sleipnir および Grani におけるクリップボードの操作に関する脆弱性

【8】C/C++ セキュアコーディングセミナー2010＠東京 part5 および 2011＠札幌参加者募集中

【今週のひとくちメモ】Exchange Server 2000 と SQL Server 7.0 のサポート期間に注意

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr104701.txt
https://www.jpcert.or.jp/wr/2010/wr104701.xml

【1】ISC BIND に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#837744
ISC BIND named validator vulnerability
http://www.kb.cert.org/vuls/id/837744

US-CERT Vulnerability Note VU#510208
ISC BIND named allow-query vulnerability
http://www.kb.cert.org/vuls/id/510208

US-CERT Vulnerability Note VU#706148
ISC BIND cache vulnerability
http://www.kb.cert.org/vuls/id/706148

US-CERT Current Activity Archive
Internet Systems Consortium BIND Vulnerabilities
http://www.us-cert.gov/current/archive/2010/12/03/archive.html#internet_systems_consortium_bind_vulnerabilities

概要

ISC BIND には、複数の脆弱性があります。結果として、アクセス制限
が有効に動作しなかったり、キャッシュサーバとして動作している 
BIND がゾーンデータを不正なものと返答したり、遠隔の第三者がキャッ
シュサーバに対してサービス運用妨害 (DoS) を行ったりする可能性が
あります。

対象となるバージョンは、脆弱性の内容によって異なります。詳細につ
いては、下記関連文書を参照してください。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに ISC BIND を更新することで解決します。詳細について
は、各ベンダや配布元が提供する情報を参照してください。

【2】VMware 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
VMware Releases Security Advisory VMSA-2010-0018
http://www.us-cert.gov/current/archive/2010/12/03/archive.html#vmware_releases_security_advisory_vmsa5

概要

VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、権限を昇格したりする可能性があり
ます。

この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、VMware が提供する
情報を参照してください。

【3】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 8.0.552.215
http://www.us-cert.gov/current/archive/2010/12/03/archive.html#google_releases_chrome_8_0

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 8.0.552.215 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google 
Chrome を更新することで解決します。

【4】PHP に脆弱性

情報源

US-CERT Vulnerability Note VU#479900
PHP getSymbol vulnerability allows denial of service
http://www.kb.cert.org/vuls/id/479900

概要

PHP の getSymbol 関数には、整数オーバーフローの脆弱性があります。
結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能
性があります。

対象となるバージョンは以下の通りです。

- PHP 5.3.3 revision 305571 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに PHP を更新することで解決します。詳細については、各
ベンダや配布元が提供する情報を参照してください。

【5】WordPress に脆弱性

情報源

US-CERT Current Activity Archive
WordPress Releases WordPress 3.0.2
http://www.us-cert.gov/current/archive/2010/12/03/archive.html#wordpress_releases_wordpress_3_0

概要

WordPress には、脆弱性があります。結果として、Author レベルの
ユーザが権限を昇格するなどの可能性があります。

対象となるバージョンは以下の通りです。

- WordPress 3.0.2 より前のバージョン

この問題は、使用している OS ベンダまたは配布元が提供する修正済み
のバージョンに WordPress を更新することで解決します。

【6】AWStats に脆弱性

情報源

US-CERT Vulnerability Note VU#870532
AWStats fails to properly handle "\\" when specifying a configuration file directory
http://www.kb.cert.org/vuls/id/870532

概要

AWStats には、設定ファイルディレクトリの処理に脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- AWStats 7.0 より前のバージョン

この問題は、配布元が提供する修正済みのバージョンに AWStats を更
新することで解決します。

【7】Sleipnir および Grani におけるクリップボードの操作に関する脆弱性

情報源

Japan Vulnerability Notes JVN#64764004
Sleipnir におけるクリップボードの操作に関する脆弱性
https://jvn.jp/jp/JVN64764004/index.html

Japan Vvulnerability Notes JVN#76662040
Grani におけるクリップボードの操作に関する脆弱性
https://jvn.jp/jp/JVN76662040/index.html

概要

フェンリル社が提供するウェブブラウザ Sleipnir および Grani には、
クリップボードの操作に関する脆弱性が存在します。結果として、
Sleipnir や Grani を特定の設定で使用すると、ウェブサイト側からク
リップボードの内容を読み書きされてしまう可能性があります。

対象となるバージョンは以下の通りです。

- 2010年11月25日15時 (日本時間) 以前に公開されていた
 - Sleipnir 2.9.6 およびそれ以前
 - Grani 4.5 およびそれ以前
  
この問題は、フェンリル社が提供する修正済みのバージョンに該当製品
を更新することで解決します。Sleipnir 2.9.6 および Grani 4.5 を利
用しているユーザは、フェンリル社が提供する情報をもとに設定変更を
行ってください。詳細については下記関連文書を参照してください。

【8】C/C++ セキュアコーディングセミナー2010＠東京 part5 および 2011＠札幌参加者募集中

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠東京のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

JPCERT/CC
C/C++ セキュアコーディングセミナー 2011 ＠札幌のご案内
https://www.jpcert.or.jp/event/securecoding-SAP-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

このたび、北海道地区のプログラム開発者の皆様に受講いただけるよう、
札幌を会場とした 2日間コースを、1月27日(木)、28日(金)に開催しま
す。受講料は無料です。ふるってご参加ください。

また、東京を会場にしたセミナーは、part5 ＜書式指定文字列＞ の開
催まで一週間となりました。こちらも、ひきつづき参加者を募集してい
ます。皆様の参加をお待ちしています。

C/C++ セキュアコーディングセミナー2010＠東京 part5 書式指定文字列
  [日時] 2010年12月15日(水)
         13:00 -       受付開始
         13:30 - 16:00 書式指定文字列 - 講義
         16:00 - 18:15 書式指定文字列 - 演習

  [会場] 株式会社インターネットイニシアティブ大会議室1
         東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
         (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif

  [定員]　70名／回
          (参加者多数の場合はお申し込み先着順となります)

  [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
          ジェクトマネージャ、コードレビュアー、品質管理担当者、
          プログラマ・エンジニアの教育担当者、等


C/C++ セキュアコーディングセミナー2011＠札幌
  [日時] part1 ＜セキュアコーディング概論・文字列＞ 2011年01月27日(木)
         09:30 -       受付開始
         10:00 - 12:00 セキュアコーディング概論
         13:00 - 15:00 文字列
         15:15 - 17:15 演習(文字列)

         part2 ＜整数・コードレビュー＞ 2011年01月28日(金)
         09:10 -       受付開始
         09:30 - 12:00 整数
         13:00 - 15:00 演習(整数)
         15:15 - 17:15 コードレビュー

  [会場] ACU 1605中研修室
         札幌市中央区北4西5 アスティ45
         (MAP) http://www.acu-h.jp/koutsu_access/index.php

  [定員]　50名／回
          (参加者多数の場合はお申し込み先着順となります)

  [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
          ジェクトマネージャ、コードレビュアー、品質管理担当者、
          プログラマ・エンジニアの教育担当者等

■今週のひとくちメモ

○Exchange Server 2000 と SQL Server 7.0 のサポート期間に注意

Microsoft が提供する Exchange Server 2000 と SQL Server 7.0 の延
長サポートが、2011年1月11日 (1月のセキュリティ更新プログラム提供
日) で終了する予定です。延長サポートが終了すると、セキュリティ更
新プログラムが提供されなくなるだけでなく、脆弱性に関する情報も把
握できなくなります。サポートされているバージョンへの移行を検討し
てください。

参考文献 (日本語)

マイクロソフト
プロダクトサポートライフサイクル
http://support.microsoft.com/lifecycle/?c1=508

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2010-12-08号

<<< JPCERT/CC WEEKLY REPORT 2010-12-08 >>>

■11/28(日)〜12/04(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○Exchange Server 2000 と SQL Server 7.0 のサポート期間に注意

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次