<<< JPCERT/CC WEEKLY REPORT 2011-04-13 >>>

■04/03(日)〜04/09(土) のセキュリティ関連情報

目　次

【1】ISC DHCP クライアントに脆弱性

【2】Oracle Solaris 10 に脆弱性

【3】WordPress に複数の脆弱性

【4】pWhois Layer Four Traceroute に脆弱性

【5】Password Vault Web Access にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】研修向け情報セキュリティマニュアルのご紹介

【1】ISC DHCP クライアントに脆弱性

情報源

US-CERT Vulnerability Note VU#107886
ISC dhclient vulnerability
http://www.kb.cert.org/vuls/id/107886

概要

ISC DHCP クライアントには、DHCP サーバからの応答の処理に起因する
脆弱性があります。結果として、遠隔の第三者が細工した応答を処理さ
せることで任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- ISC DHCP 3.1-ESV-R1 より前のバージョン
- ISC DHCP 4.1-ESV-R2 より前のバージョン
- ISC DHCP 4.2.1-P1 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに ISC DHCP を更新することで解決します。詳細については
ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#107886
ISC DHCP クライアントに任意のコードを実行される脆弱性
https://jvn.jp/cert/JVNVU107886/index.html

関連文書 (英語)

ISC
dhclient does not strip or escape shell meta-characters
https://www.isc.org/software/dhcp/advisories/cve-2011-0997

【2】Oracle Solaris 10 に脆弱性

情報源

US-CERT Vulnerability Note VU#648244
Oracle Solaris 10 password hashes leaked through back-out patch files
http://www.kb.cert.org/vuls/id/648244

概要

Oracle Solaris 10 には、パスワードハッシュ情報が漏えいする脆弱性
があります。結果として、パスワードハッシュを取得した第三者が
root や一般ユーザアカウントの認証情報を取得する可能性があります。

対象となるバージョンは以下の通りです。

- Oracle Solaris 10

この問題は、Oracle が提供するパッチを適用することで解決します。
詳細については、Oracle が提供する情報を参照してください。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#648244
Oracle Solaris 10 に認証情報漏えいの脆弱性
https://jvn.jp/cert/JVNVU648244/index.html

【3】WordPress に複数の脆弱性

情報源

US-CERT Current Activity Archive
WordPress Releases Version 3.1.1
http://www.us-cert.gov/current/archive/2011/04/08/archive.html#wordpress_releases_version_3_1

概要

WordPress には、複数の脆弱性があります。結果として遠隔の第三者が、
サービス運用妨害 (DoS) 攻撃を行ったり、ユーザのブラウザ上で任意の
スクリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- WordPress 3.1.1 より前のバージョン

この問題は、使用している OS ベンダまたは配布元が提供する修正済み
のバージョンに WordPress を更新することで解決します。
		

関連文書 (日本語)

WordPress ブログ
WordPress 3.1.1 日本語版
http://ja.wordpress.org/2011/04/08/wordpress-3-1-1-ja/

WordPress ブログ
WordPress 3.1.1
http://ja.wordpress.org/2011/04/06/wordpress-3-1-1/

関連文書 (英語)

WordPress News
WordPress 3.1.1
http://wordpress.org/news/2011/04/wordpress-3-1-1/

【4】pWhois Layer Four Traceroute に脆弱性

情報源

US-CERT Vulnerability Note VU#946652
pWhois Layer Four Traceroute 3.x vulnerability
http://www.kb.cert.org/vuls/id/946652

概要

pWhois Layer Four Traceroute には、コマンドライン引数の解析処理に
起因する脆弱性があります。結果として、Layer Four Traceroute が
SETUID root されている場合、ローカルユーザが root 権限を取得する
可能性があります。

対象となるバージョンは以下の通りです。

- Layer Four Traceroute 3.3 より前のバージョン

この問題は、配布元が提供する修正済みのバージョンに Layer Four
Traceroute を更新することで解決します。詳細については、配布元が提
供する情報を参照してください。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#946652
pWhois Layer Four Traceroute に権限昇格の脆弱性
https://jvn.jp/cert/JVNVU946652/index.html

関連文書 (英語)

The Prefix WhoIs Project
Layer Four Traceroute (LFT) and WhoB
http://pwhois.org/lft/

【5】Password Vault Web Access にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#11424086
Password Vault Web Access におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN11424086/index.html

概要

Password Vault Web Access (PVWA) には、クロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ
上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- PVWA v6.0 patch #2 およびそれ以前のバージョン
- PVWA v5.5 patch #4 およびそれ以前のバージョン
- PVWA v5.0 およびそれ以前のバージョン

この問題は、ベンダが提供するパッチを適用することで解決します。詳
細については、ベンダが提供をする情報を参照してください。
		

関連文書 (日本語)

DIT
Password Vault Web Accessの脆弱性情報について（CA11-01）
http://www.dit.co.jp/support/cyber-ark-pim/index.html#02

■今週のひとくちメモ

○研修向け情報セキュリティマニュアルのご紹介

JPCERT/CC では、情報セキュリティに関する知識を教える際のガイドラ
イン、研修資料のベースとなるような情報やトピックをまとめた資料を
公開しています。無料で利用できますので、ぜひご活用ください。

参考文献 (日本語)

JPCERT Coordination Center セキュリティ対策講座
「新入社員等研修向け情報セキュリティマニュアル Rev.2」
https://www.jpcert.or.jp/magazine/security/newcomer-rev2_20100415.pdf

JPCERT Coordination Center セキュリティ対策講座
「新入社員等研修向け情報セキュリティクイズ」
https://www.jpcert.or.jp/magazine/security/newcomer_Quiz20100415.pdf

JPCERT Coordination Center ライブラリ
電子メールソフトのセキュリティ設定について
https://www.jpcert.or.jp/magazine/security/mail/index.html

■JPCERT/CC からのお願い