JPCERT コーディネーションセンター

Weekly Report 2011-09-28号

JPCERT-WR-2011-3701
JPCERT/CC
2011-09-28

<<< JPCERT/CC WEEKLY REPORT 2011-09-28 >>>

■09/18(日)〜09/24(土) のセキュリティ関連情報

目 次

【1】Adobe Flash Player に複数の脆弱性

【2】Google Chrome に複数の脆弱性

【3】libpng の cHRM チャンク処理に脆弱性

【4】Cisco Identity Services Engine に脆弱性

【5】AmmSoft ScriptFTP にバッファオーバーフローの脆弱性

【今週のひとくちメモ】Apache HTTP Server の脆弱性 (CVE-2011-3192) の対策はお済みですか?

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr113701.txt
https://www.jpcert.or.jp/wr/2011/wr113701.xml

【1】Adobe Flash Player に複数の脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Security Advisory for Adobe Flash Player
http://www.us-cert.gov/current/archive/2011/09/22/archive.html#adobe_prenotification_security_advisory_for3

概要

Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔
の第三者が細工したコンテンツをユーザに開かせることで任意のコード
を実行したり、ユーザのブラウザ上で任意のスクリプトを実行したりす
る可能性があります。なお、Adobe によると、本脆弱性を使用した攻撃
活動が確認されています。

対象となる製品およびバージョンは以下の通りです。

- Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player 
  10.3.183.7 およびそれ以前
- Android 版 Adobe Flash Player 10.3.186.6 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに、Adobe Flash
Player を更新することで解決します。詳細については、Adobe が提供す
る情報を参照してください。

なお、本脆弱性は Adobe Reader、Acrobat に含まれる Adobe Flash
Player も影響を受けますが、JPCERT/CC WEEKLY REPORT 2011-09-22 号
【2】「Adobe の複数の製品に脆弱性」で紹介した、2011年9月13日に公
開された Adobe Reader、Acrobat の最新のバージョンで修正されていま
す。
		

関連文書 (日本語)

Adobe セキュリティ速報
APSB11-26: Adobe Flash Player に関するセキュリティアップデート公開
http://www.adobe.com/jp/joc/security/apsb11-26.html

@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=7686

JPCERT/CC Alert 2011-09-22 JPCERT-AT-2011-0026
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110026.html

JPCERT/CC WEEKLY REPORT 2011-09-22
【2】Adobe の複数の製品に脆弱性
https://www.jpcert.or.jp/wr/2011/wr113601.html#2

関連文書 (英語)

Adobe - Security Bulletins
APSB11-24: Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb11-24.html

【2】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 14.0.835.163
http://www.us-cert.gov/current/archive/2011/09/21/archive.html#google_releases_chrome_14_0

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 14.0.835.186 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google
Chrome を更新することで解決します。なお、Google Chrome
14.0.835.186 には、上記【1】「Adobe Flash Player に複数の脆弱性」
の問題に対する修正が含まれます。
		

関連文書 (英語)

Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/09/stable-channel-update_20.html

Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/09/stable-channel-update_16.html

【3】libpng の cHRM チャンク処理に脆弱性

情報源

US-CERT Vulnerability Note VU#477046
libpng malformed cHRM divide-by-zero vulnerability
http://www.kb.cert.org/vuls/id/477046

概要

libpng には、cHRM チャンクの処理に起因する脆弱性があります。結果
として、遠隔の第三者が細工した PNG ファイルを開かせることでサービ
ス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- libpng-1.5.4

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに libpng を更新することで解決します。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#477046
libpng における cHRM チャンクの処理に脆弱性
https://jvn.jp/cert/JVNVU477046/index.html

関連文書 (英語)

PNG Development Group
PNG reference library: libpng
http://sourceforge.net/projects/libpng/files/

PNG Development Group
[png-mng-announce] libpng-1.5.5 is available
http://sourceforge.net/mailarchive/message.php?msg_id=28126826

【4】Cisco Identity Services Engine に脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Security Advisory for Identity Services Engine
http://www.us-cert.gov/current/archive/2011/09/22/archive.html#cisco_releases_security_advisory_for27

概要

Cisco Identity Services Engine には、脆弱性があります。結果とし
て、遠隔の第三者がデバイスの設定を変更したり、任意の操作を行った
りする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Cisco Identity Services Engine 1.0.4.MR2 より前のバージョン

この問題は、Cisco が提供する修正済みのバージョンに、Cisco
Identity Services を更新することで解決します。なお、修正済みのバー
ジョンは 2011年9月30日 (米国時間) に公開する予定とのことです。詳
細については、Cisco が提供する情報を参照してください。
		

関連文書 (日本語)

Cisco Security Advisory cisco-sa-20110920-ise
Cisco Identity Services Engine Database Default Credentials Vulnerability
http://www.cisco.com/cisco/web/support/JP/110/1108/1108580_cisco-sa-20110920-ise-j.html

関連文書 (英語)

Cisco Security Advisory cisco-sa-20110920-ise
Cisco Identity Services Engine Database Default Credentials Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b95105.shtml

Cisco Applied Mitigation Bulletin 113257
Identifying and Mitigating Exploitation of the Cisco Identity Services Engine Database Default Credentials Vulnerability
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b95110.html

【5】AmmSoft ScriptFTP にバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#440219
AmmSoft ScriptFTP 3.3 client remote buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/440219

概要

AmmSoft ScriptFTP には、バッファオーバーフローの脆弱性があります。
結果として、遠隔の第三者がプログラムを実行している権限で任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性
があります。

対象となるバージョンは以下の通りです。

- AmmSoft ScriptFTP 3.3

なお、他のバージョンも影響を受ける可能性があります。

2011年9月27日現在、この問題に対する解決策は提供されていません。回
避策としては、信頼できない FTP サーバにアクセスしない、Enhanced
Mitigation Experience Toolkit (EMET) を利用する、Data Execution
Prevention (DEP) を有効にするなどの方法があります。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#440219
AmmSoft ScriptFTP にバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU440219/index.html

関連文書 (英語)

AmmSoft
Automated FTP client. ScriptFTP
http://www.scriptftp.com/

■今週のひとくちメモ

○Apache HTTP Server の脆弱性 (CVE-2011-3192) の対策はお済みですか?

Web インタフェースを実装する様々な製品で、Apache HTTP Server が使
用されています。これらの製品では、先日公開された Apache HTTP
Server の脆弱性 (CVE-2011-3192) の影響を受ける可能性があり、開発
ベンダーは対策版の提供を順次行っています。

利用している製品が影響を受けないか、またベンダから対策版が提供さ
れていないか確認し、適切な対処を実施してください。

参考文献 (日本語)

Japan Vulnerability Notes JVNVU#405811
Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU405811/index.html

SonicWall Japan
SonicWALL SSL-VPN 製品と CVE-2011-3192 脆弱性について
http://www.fuzeqna.com/sonicwalljp/consumer/kbdetail.asp?kbid=4280&catID1=456&start=11

参考文献 (英語)

Oracle
CVE-2011-3192 Denial of Service (DoS) vulnerability in Apache HTTP Server
http://blogs.oracle.com/sunsecurity/entry/cve_2011_3192_denial_of

Check Point Support Center
Check Point Response to Apache HTTP Server CVE-2011-3192 Denial Of Service Vulnerability
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk65222

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter