<<< JPCERT/CC WEEKLY REPORT 2011-03-24 >>>
■03/13(日)〜03/19(土) のセキュリティ関連情報
目 次
【1】Adobe Flash に脆弱性
【2】MIT Kerberos 5 KDC に double free の脆弱性
【3】e107 にクロスサイトスクリプティングの脆弱性
【4】Windows Vista および 7 における ISATAP ルーター自動発見方式の問題
【今週のひとくちメモ】Cisco 3月定例バンドル公開延期
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr111101.txt
https://www.jpcert.or.jp/wr/2011/wr111101.xml
【1】Adobe Flash に脆弱性
情報源
US-CERT Vulnerability Note VU#192052
Adobe Flash Player contains unspecified code execution vulnerability
http://www.kb.cert.org/vuls/id/192052DOE-CIRC Technical Bulletin T-577
Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat
http://www.doecirc.energy.gov/bulletins/t-577.shtml
概要
Adobe Flash には、脆弱性があります。結果として、遠隔の第三者が細 工した Flash コンテンツを閲覧させることで任意のコードを実行する可 能性があります。なお、本脆弱性を使用した攻撃活動が確認されていま す。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 10.2.152.33 およびそれ以前の Windows 版、 Macintosh 版、Linux 版、Solaris 版 - Adobe Flash Player 10.2.154.18 およびそれ以前の Google Chrome 版 - Adobe Flash Player 10.1.106.16 およびそれ以前の Android 版 - Adobe Reader X (10.0.1) およびそれ以前の 10.x, 9.x の Windows 版、 Macintosh 版 - Acrobat X (10.0.1) およびそれ以前の 10.x, 9.x の Windows 版、 Macintosh 版 なお、Flash をサポートしている他の Adobe 製品も本脆弱性の影響を受 ける可能性があります。 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。なお、Windows 版の Adobe Reader X の アップデートは、2011年6月14日に公開予定とのことです。 詳細については、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe TechNote APSB11-05
APSB11-05: Adobe Flash Player用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/895/cpsid_89522.htmlAdobe TechNote APSB11-06
APSB11-06:Adobe Reader および Acrobat に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/895/cpsid_89579.htmlJapan Vulnerability Notes JVNVU#192052
Adobe Flash に脆弱性
https://jvn.jp/cert/JVNVU192052/index.html
関連文書 (英語)
Google Chrome Releases
Stable and Beta Channel Updates
http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates_15.htmlMicrosoft Security Research & Defense
Blocking Exploit Attempts of the Recent Flash 0-Day
http://blogs.technet.com/b/srd/archive/2011/03/17/blocking-exploit-attempts-of-the-recent-flash-0-day.aspx
【2】MIT Kerberos 5 KDC に double free の脆弱性
情報源
US-CERT Vulnerability Note VU#943220
MIT KDC vulnerable to double-free when PKINIT enabled
http://www.kb.cert.org/vuls/id/943220
概要
MIT Kerberos 5 KDC には、double free の脆弱性があります。結果と して、遠隔の第三者が KDC daemon をクラッシュさせたり、任意のコー ドを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - krb5-1.9 - krb5-1.8.3 以前の krb5-1.8 系 - krb5-1.7.1 以前の krb5-1.7 系 この問題は、MIT が提供するパッチをソースコードに適用し、コンパイ ルすることで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#943220
MIT Kerberos 5 KDC に double free の脆弱性
https://jvn.jp/cert/JVNVU943220/index.html
関連文書 (英語)
MIT krb5 Security Advisory 2011-003 MITKRB5-SA-2011-003
KDC vulnerable to double-free when PKINIT enabled
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2011-003.txtMIT
Patch for MITKRB5-SA-2011-003
http://web.mit.edu/kerberos/advisories/2011-003-patch.txt
【3】e107 にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#01635457
e107 におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN01635457/index.html
概要
e107.org のコンテンツ管理システム、e107 には、クロスサイトスクリ プティングの脆弱性があります。結果として、遠隔の第三者がユーザの ブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - e107 v0.7.22 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに e107 を更新す ることで解決します。詳細については、配布元が提供する情報を参照し てください。
関連文書 (英語)
e107.org
e107 downloads
http://e107.org/edownload.phpe107.org
Welcome to e107.org!
http://e107.org/news.php
【4】Windows Vista および 7 における ISATAP ルーター自動発見方式の問題
情報源
JPRS
Windows Vista/7 におけるISATAPルーター自動発見方式の脆弱性について
http://jprs.jp/tech/notice/2011-03-17-isatap-router-auto-discovery.html
概要
ISATAP とは、IPv6 ノードが IPv4 ネットワーク上で通信するためのト ンネリング技術のひとつです。Windows Vista および 7 の「ISATAP ルー タ」の自動発見機能では DNS を利用して「isatap」という名前のホスト を検索します。この検索によって、本来対象とすべきでないホストが選 択される可能性があります。その結果、IPv6 ノードのアクセスが不適切 な ISATAP ルータに誘導されてしまう問題があります。 JPRS は、この問題の対策として、属性型および地域型 JP ドメイン名 に予約ドメイン名を追加指定しました。 ユーザがサブドメイン名を自由に登録できるような運用を行なっている ドメインでは、適切な対応を検討することをお勧めします。
関連文書 (日本語)
JPRS
ISATAPルーター自動発見方式の実装における脆弱性の注意喚起と予約ドメイン名の追加指定について
http://jprs.jp/info/notice/20110317-isatap-router-auto-discovery.htmlMicrosoft TechNetオンライン
グローバルクエリ禁止リストを管理する
http://technet.microsoft.com/ja-jp/library/cc794902%28WS.10%29.aspx
関連文書 (英語)
IETF
RFC5214: Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)
http://tools.ietf.org/html/rfc5214
■今週のひとくちメモ
○Cisco 3月定例バンドル公開延期
Cisco は、Cisco IOS ソフトウェアに関する定例バンドル公開を毎年 3 月と 9月に行なっています。2011年3月11日に発生した東北地方太平洋沖 地震の影響により、ユーザが定例公開に対応できない可能性を考慮し、 Cisco は 2011年3月の定例公開を取り止め、9月まで延期すると発表しま した。 今後、リスクの大きな攻撃事例が発生した場合などには、9月より前に定 例サイクル外の公開を行なう可能性もあるとされています。
参考文献 (日本語)
Cisco Systems
2011 年 3 月定例バンドル公開延期のお知らせ
http://www.cisco.com/web/JP/support/loc/security/index.html
参考文献 (英語)
Cisco Systems
March 2011 Bundled Publication Deferred
http://www.cisco.com/en/US/products/products_security_advisories_listing.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
