<<< JPCERT/CC WEEKLY REPORT 2011-03-09 >>>

■02/27(日)〜03/05(土) のセキュリティ関連情報

目　次

【1】Mozilla 製品群に複数の脆弱性

【2】Cisco 製品群に複数の脆弱性

【3】IBM の複数の製品に脆弱性

【4】Google Chrome に複数の脆弱性

【5】Apple iTunes に複数の脆弱性

【6】Citrix Secure Gateway に脆弱性

【7】Wireshark に脆弱性

【8】SEIL シリーズにバッファオーバーフローの脆弱性

【9】シングスの複数の CGI 製品にクロスサイトスクリプティングの脆弱性

【10】制御システムセキュリティアセスメントツール (日本版SSAT) の提供開始

【今週のひとくちメモ】担当ノート: 制御システムセキュリティと制御システムセキュリティカンファレンス

【1】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Mozilla Releases Updates for Firefox, Thunderbird, and SeaMonkey
http://www.us-cert.gov/current/archive/2011/03/03/archive.html#mozilla_releases_thunderbird_3_1

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となる製品は以下の通りです。

- Firefox 3.6.13 およびそれ以前
- Firefox 3.5.16 およびそれ以前
- Thunderbird 3.1.7 およびそれ以前
- SeaMonkey 2.0.11 およびそれ以前

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。

なお、Mozilla プロジェクトから、最新版として、Firefox 3.6.15、
Thunderbird 3.1.9 が公開されています。詳細は、ベンダが提供する情
報を参照してください。

関連文書 (日本語)

Mozilla Japan
Firefox リリースノート - バージョン 3.6.15 - 2011/03/04 リリース
http://mozilla.jp/firefox/3.6.15/releasenotes/

Mozilla Japan
Firefox リリースノート - バージョン 3.6.14 - 2011/03/01 リリース
http://mozilla.jp/firefox/3.6.14/releasenotes/

Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.14 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.14

Mozilla Japan
Firefox 3.5 リリースノート - バージョン 3.5.17 - 2011/03/01 リリース
http://mozilla.jp/firefox/3.5.17/releasenotes/

Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.17 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.17

Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.9 - 2011/03/04 リリース
http://mozilla.jp/thunderbird/3.1.9/releasenotes/

Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.8 - 2011/03/01 リリース
http://mozilla.jp/thunderbird/3.1.8/releasenotes/

Thunderbird 3.1 セキュリティアドバイザリ
Thunderbird 3.1.8 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.8

SeaMonkey 2.0 セキュリティアドバイザリ
SeaMonkey 2.0.12 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.12

【2】Cisco 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Multiple Security Advisories
http://www.us-cert.gov/current/archive/2011/03/03/archive.html#cisco_releases_multiple_security_advisories1

概要

Cisco の製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たり、設定を変更したりする可能性があります。

対象となる製品は以下の通りです。

- Cisco ASA 5500 シリーズ Adaptive Security Appliance
- Cisco Catalyst 6500 シリーズのスイッチおよび Cisco 7600 シリー
  ズルータの Cisco Firewall Services Module (FWSM)
- Cisco TelePresence
- Cisco TelePresence Recording Server
- Cisco TelePresence Manager
- Cisco TelePresence Multipoint Switch

この問題は、Cisco が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Cisco が提供する情報
を参照してください。

関連文書 (英語)

Cisco Security Advisory 112881
Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6e14d.shtml

Cisco Security Advisory 112893
Cisco Firewall Services Module Skinny Client Control Protocol Inspection Denial of Service Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6e148.shtml

Cisco Security Advisory 112230
Multiple Vulnerabilities in Cisco TelePresence Endpoint Devices
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6e152.shtml

Cisco Applied Mitigation Bulletin 112231
Multiple Vulnerabilities in Cisco TelePresence Manager
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6e14f.shtml

Cisco Applied Mitigation Bulletin 112232
Multiple Vulnerabilities in Cisco TelePresence Multipoint Switch
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6e14e.shtml

Cisco Applied Mitigation Bulletin 112233
Multiple Vulnerabilities in Cisco TelePresence Recording Server
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6e11d.shtml

【3】IBM の複数の製品に脆弱性

情報源

Japan Vulnerability Notes JVN#16308183
IBM DB2 におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN16308183/index.html

Japan Vulnerability Notes JVN#26301278
IBM WebSphere Application Server におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN26301278/index.html

Japan Vulnerability Notes JVN#97334690
IBM Lotus におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN97334690/index.html

概要

IBM の複数の製品には、Java Runtime Environment (JRE) の問題に起
因する脆弱性があります。結果として、遠隔の第三者がサービス運用妨
害 (DoS) 攻撃を行う可能性があります。

対象となる製品は以下の通りです。

- DB2 for Linux, UNIX, and Windows
- IBM WebSphere Application Server
- IBM Lotus 製品群

この問題は、IBM が提供するパッチを、該当する製品に適用することで
解決します。詳細については、IBM が提供する情報を参照してください。

関連文書 (日本語)

IBM
IBMソフトウェア製品におけるJava脆弱性に関するお知らせ
http://www.ibm.com/software/jp/java-cve20104476/index.html

関連文書 (英語)

IBM Critical security vulnerability alert
Security Alert for CVE-2010-4476
http://www.ibm.com/developerworks/java/jdk/alerts/cve-2010-4476.html

【4】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 9.0.597.107
http://www.us-cert.gov/current/archive/2011/03/03/archive.html#google_releases_chrome_9_02

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 9.0.597.107 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに、Google 
Chrome を更新することで解決します。

関連文書 (英語)

Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/02/stable-channel-update_28.html

【5】Apple iTunes に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases iTunes 10.2
http://www.us-cert.gov/current/archive/2011/03/03/archive.html#apple_releases_itunes_10_2

概要

Apple iTunes には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となる製品は以下の通りです。

- Apple iTunes 10.2 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、iTunes を更
新することで解決します。詳細については、Apple が提供する情報を参
照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#556020
Apple iTunes における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU556020/index.html

関連文書 (英語)

Apple Support HT4554
About the security content of iTunes 10.2
http://support.apple.com/kb/HT4554?viewlocale=en_US

【6】Citrix Secure Gateway に脆弱性

情報源

DOE-CIRC Technical Bulletin T-566
Citrix Secure Gateway Unspecified Vulnerability
http://www.doecirc.energy.gov/bulletins/t-566.shtml

概要

Citrix Secure Gateway には、脆弱性があります。結果として、遠隔の
第三者が Citrix Secure Gateway を実行している権限で任意のコード
を実行する可能性があります。

対象となるバージョンは以下の通りです。

- Citrix Secure Gateway 3.1.4

この問題は、Citrix が提供する修正済みのバージョンに、Citrix 
Secure Gateway を更新することで解決します。詳細については、
Citrix が提供する情報を参照してください。

関連文書 (英語)

Citrix Knowledge Center CTX127793
Secure Gateway 3.1.5 for Windows - Update SGE3.1.5
http://support.citrix.com/article/CTX127793

Citrix Knowledge Center CTX128168
Vulnerability in Citrix Secure Gateway version 3.1.4 could result in arbitrary code execution
http://support.citrix.com/article/CTX128168

【7】Wireshark に脆弱性

情報源

US-CERT Vulnerability Note VU#215900
Wireshark 6LoWPAN denial of service vulnerability
http://www.kb.cert.org/vuls/id/215900

概要

Wireshark には、6LoWPAN パケットの処理に起因する脆弱性があります。
結果として、遠隔の第三者が細工した 6LoWPAN パケットを処理させる
ことで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- Wireshark 1.4.0 から 1.4.3 まで (32-bit 版)

この問題は、Wireshark Foundation が提供する修正済みのバージョン
に Wireshark を更新することで解決します。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#215900
Wireshark にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU215900/index.html

関連文書 (英語)

Wireshark Bug Database - Bug 5722
Crash in 6LoWPAN on 32-bit systems
https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=5722

Wireshark Foundation
Wireshark 1.4.4 Release Notes
http://www.wireshark.org/docs/relnotes/wireshark-1.4.4.html

【8】SEIL シリーズにバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#88991166
SEIL シリーズにおけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN88991166/index.html

概要

SEIL シリーズの PPP アクセスコンセントレータ (PPPAC) 機能には、
PPPoE パケットの受信処理に起因するバッファオーバーフローの脆弱性
があります。結果として、該当製品へアクセス可能な第三者が任意のコー
ドを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- SEIL/x86 ファームウェア 1.00 から 1.61 まで
- SEIL/B1 ファームウェア 1.00 から 3.11 まで
- SEIL/X1 ファームウェア 1.00 から 3.11 まで
- SEIL/X2 ファームウェア 1.00 から 3.11 まで
- SEIL/Turbo ファームウェア 1.80 から 2.10 まで
- SEIL/neu 2FE Plus ファームウェア 1.80 から 2.10 まで

この問題は、インターネットイニシアティブ (IIJ) が提供する修正済み
のバージョンに、ファームウェアを更新することで解決します。詳細に
ついては、IIJ が提供する情報を参照してください。

関連文書 (日本語)

インターネットイニシアティブ サポート＆技術情報
PPPAC機能におけるPPPoE受信処理の脆弱性
http://www.seil.jp/support/security/a01001.html

独立行政法人 情報処理推進機構 セキュリティセンター
「SEIL シリーズ」におけるセキュリティ上の弱点（脆弱性）の注意喚起
http://www.ipa.go.jp/about/press/20110228_3.html

【9】シングスの複数の CGI 製品にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#20982938
複数のシングス CGI 製品におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN20982938/index.html

概要

シングスの複数の CGI 製品には、クロスサイトスクリプティングの脆
弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任
意のスクリプトを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- 掲示板「BBS」バージョン 2.0.2 およびそれ以前
- スレッド掲示板「BBS Thread」バージョン 2.0.2 およびそれ以前

この問題は、シングスが提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、シングスが提供する
情報を参照してください。

関連文書 (日本語)

シングス
掲示板「BBS」
http://www.thingslabo.com/cgi/bbs/download.html

シングス
スレッド掲示板「BBS Thread」
http://www.thingslabo.com/cgi/bbs_thread/download.html

【10】制御システムセキュリティアセスメントツール (日本版SSAT) の提供開始

情報源

JPCERT/CC
日本版SSAT(Scada Self Assessment Tool)
https://www.jpcert.or.jp/ics/ssat.html

概要

JPCERT コーディネーションセンターは、制御システムの構築・維持・
運営に携わる関係者向けに、セキュリティ自己評価ツールである日本版
SSAT (SCADA Self Assessment Tool) の提供を開始しました。

日本版 SSAT は、制御システムの構成、および運用上のセキュリティ面
での問題点の洗い出しに役立てることができる Microsoft Excel ベー
スのアセスメントツールです。100 程度の管理項目に関する設問に対し
て、調査対象システムの状況を回答することによって、改善すべき問題
が「見える化」されるため、ベンダと連携した計画的な対策導入にも役
立てることができます。

関連文書 (日本語)

JPCERT/CC
JPCERT/CCが制御システムセキュリティアセスメントツールの提供を開始
https://www.jpcert.or.jp/press/2011/20110228PR-ssat.pdf

JPCERT/CC
グッド・プラクティス・ガイド　プロセス・制御と SCADA セキュリティ
https://www.jpcert.or.jp/ics/information02.html#CPNIGPG

JPCERT/CC: 制御システムセキュリティカンファレンス 2011 講演資料
「セキュリティ評価ツールの取り組み」
https://www.jpcert.or.jp/ics/2011/20110210-arai-sama.pdf

■今週のひとくちメモ

○担当ノート: 制御システムセキュリティと制御システムセキュリティカンファレンス

JPCERT/CC では、脆弱性関連情報調整機関の活動の一環として、制御シ
ステムセキュリティ向上のための活動を行っています。

本活動では、制御システムのセキュリティに関する調査活動や、セキュ
リティ対策に役立つ資料の公開を行うと共に「制御システムセキュリティ
情報共有タスクフォース」を組織し、技術情報を中心とした情報共有を
行っています。

また、年に一回、経済産業省と共催で「制御システムセキュリティカン
ファレンス」を開催し、制御システムのベンダ、ユーザ、研究者が一同
に会して、情報を共有し、議論する場を設けることで、制御システムの
セキュリティ対策推進に貢献しています。

今年 2月に開催された「制御システムセキュリティカンファレンス2011」
では、「現実化した脅威とその対策課題」をテーマに掲げ、その具体策
に向けた改善・防御・回復をキーワードとして、関係機関やベンダ、制
御システムのユーザ企業の方々に講演いただきました。

カンファレンスの資料は JPCERT/CC の Web サイトで公開しています。
制御システムに関係する皆様には、これらの公開資料を今後の活動に
役立てていただければ幸いです。また、「制御システムセキュリティ情
報共有タスクフォース」への参加もお待ちしています。

参考文献 (日本語)

JPCERT/CC
制御システムセキュリティ
https://www.jpcert.or.jp/ics/

■JPCERT/CC からのお願い