<<< JPCERT/CC WEEKLY REPORT 2011-10-05 >>>

■09/25(日)〜10/01(土) のセキュリティ関連情報

目　次

【1】Cisco 製品群に複数の脆弱性

【2】Mozilla 製品群に複数の脆弱性

【3】SSL 3.0 と TLS 1.0 の CBC モードに選択平文攻撃の脆弱性

【4】Quagga に複数の脆弱性

【5】Citrix Provisioning Services に脆弱性

【6】ProjectForum にクロスサイトスクリプティングの脆弱性

【7】BaserCMS に複数の脆弱性

【今週のひとくちメモ】National Cyber Security Awareness Month 2011

【1】Cisco 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Security Advisory for Cisco IOS Software Smart Install
http://www.us-cert.gov/current/archive/2011/09/29/archive.html#cisco_releases_security_advisory_for28

概要

Cisco 製品群には、複数の脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行したり、認証を回避したりする可能性がありま
す。

対象となる製品は以下の通りです。

- Cisco IOS Software
- Cisco 10000
- Cisco Unified Communications Manager 
- Cisco Unified Presence
- Jabber XCP および JabberNow アプライアンス

この問題は、Cisco が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Cisco が提供する情報
を参照してください。
		

関連文書 (日本語)

Cisco Event Response
Semi-Annual Cisco IOS Software Security Advisory Bundled Publication
http://www.cisco.com/cisco/web/support/JP/110/1108/1108620_cisco-sa-20110928-bundle-j.html

【2】Mozilla 製品群に複数の脆弱性

情報源

DOE-CIRC Technical Bulletin T-729
Mozilla Code Installation Through Holding Down Enter
http://www.doecirc.energy.gov/bulletins/t-729.shtml

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、権限を昇格したり、機密情報を取得
したりする可能性があります。

対象となる製品は以下の通りです。

- Firefox 7.0 より前のバージョン
- Firefox 3.6.23 より前のバージョン
- Thunderbird 7.0 より前のバージョン
- Thunderbird 3.1.15 より前のバージョン
- SeaMonkey 2.4 より前のバージョン

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。なお、
Firefox 7.0 および、Thuderbird 7.0、SeaMonkey 2.4 は、一部アドオ
ンが消えてしまう問題が確認され、対策版がリリースされています。
		

関連文書 (日本語)

Mozilla Japan
Firefox リリースノート - バージョン 7.0.1 - 2011/09/29 リリース
http://mozilla.jp/firefox/7.0.1/releasenotes/

Firefox セキュリティアドバイザリ
Firefox 7 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox7

Mozilla Japan
Firefox リリースノート - バージョン 3.6.23 - 2011/09/27 リリース
http://mozilla.jp/firefox/3.6.23/releasenotes/

Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.23 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.23

Mozilla Japan
Thunderbird リリースノート - バージョン 7.0.1 - 2011/09/30 リリース
http://mozilla.jp/thunderbird/7.0.1/releasenotes/

Thunderbird セキュリティアドバイザリ
Thunderbird 7 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird7

Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.15 - 2011/09/27 リリース
http://mozilla.jp/thunderbird/3.1.15/releasenotes/

Thunderbird 3.1 セキュリティアドバイザリ
Thunderbird 3.1.15 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.15

関連文書 (英語)

Security Advisories for SeaMonkey
SeaMonkey 2.4
http://www.mozilla.org/security/known-vulnerabilities/seamonkey.html#seamonkey2.4

The SeaMonkey project
SeaMonkey 2.4.1
http://www.seamonkey-project.org/releases/seamonkey2.4/

【3】SSL 3.0 と TLS 1.0 の CBC モードに選択平文攻撃の脆弱性

情報源

US-CERT Vulnerability Note VU#864643
SSL 3.0 and TLS 1.0 allow chosen plaintext attack in CBC modes
http://www.kb.cert.org/vuls/id/864643

概要

HTTPS などで使用される暗号通信プロトコル SSL 3.0 と TLS 1.0 には、
選択平文攻撃を受ける脆弱性があります。結果として、遠隔の第三者が
暗号化した通信を復号する可能性があります。

対策としては、TLS 1.1 や TLS 1.2 を有効にする、RC4 アルゴリズムを
優先して使用するなどの方法があります。各ベンダーはこの問題に対す
る対応を順次発表しています。詳細については、各ベンダや配布元が提
供する情報を参照してください。
		

関連文書 (日本語)

Microsoft セキュリティ TechCenter
マイクロソフト セキュリティ アドバイザリ (2588513)
http://technet.microsoft.com/ja-jp/security/advisory/2588513

マイクロソフト サポート オンライン
マイクロソフト セキュリティ アドバイザリ: SSL/TLS の脆弱性により、情報漏えいが起こる
http://support.microsoft.com/kb/2588513

Mozilla Japan ブログ
TLS 暗号化通信に対する攻撃の Firefox への影響
http://mozilla.jp/blog/entry/7289/

Japan Vulnerability Notes JVNVU#864643
SSL と TLS の CBC モードに選択平文攻撃の脆弱性
https://jvn.jp/cert/JVNVU864643/index.html

関連文書 (英語)

Microsoft Security Research & Defense
Is SSL broken? - More about Security Advisory 2588513
http://blogs.technet.com/b/srd/archive/2011/09/26/is-ssl-broken-more-about-security-advisory-2588513.aspx

OpenSSL Project
Security of CBC Ciphersuites in SSL/TLS: Problems and Countermeasures
https://www.openssl.org/~bodo/tls-cbc.txt

IETF RFC 4346
The Transport Layer Security (TLS) Protocol Version 1.1
http://tools.ietf.org/html/rfc4346

IETF RFC 5246
The Transport Layer Security (TLS) Protocol Version 1.2
http://tools.ietf.org/html/rfc5246

【4】Quagga に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#668534
Multiple Quagga remote component vulnerabilities
http://www.kb.cert.org/vuls/id/668534

CERT-FI Reports
CERT-FI Advisory on Quagga
http://www.cert.fi/en/reports/2011/vulnerability539178.html

概要

ルーティングソフトウェア Quagga には、複数の脆弱性があります。結
果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、任
意のコードを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Quagga 0.99.19 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Quagga を更新することで解決します。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#668534
Quagga に複数の脆弱性
https://jvn.jp/cert/JVNVU668534/index.html

関連文書 (英語)

quagga.net
2011-09-29: Quagga 0.99.20 Released
http://www.quagga.net/news2.php?y=2011&m=9&d=29#id1285765920

【5】Citrix Provisioning Services に脆弱性

情報源

DOE-CIRC Technical Bulletin T-730
Vulnerability in Citrix Provisioning Services could result in Arbitrary Code Execution
http://www.doecirc.energy.gov/bulletins/t-730.shtml

概要

Citrix Provisioning Services には、脆弱性があります。結果として、
遠隔の第三者が Citrix Provisioning Services を実行している権限で
任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Citrix Provisioning Services 5.6 Service Pack 1 およびそれ以前

この問題は、Citrix が提供する修正済みのバージョンに Citrix
Provisioning Services を更新することで解決します。詳細については、
Citrix が提供する情報を参照してください。
		

関連文書 (英語)

Citrix Knowledge Center CTX130846
Vulnerability in Citrix Provisioning Services could result in Arbitrary Code Execution
http://support.citrix.com/article/CTX130846

【6】ProjectForum にクロスサイトスクリプティングの脆弱性

情報源

US-CERT Vulnerability Note VU#901251
ProjectForum XSS vulnerability
http://www.kb.cert.org/vuls/id/901251

概要

ProjectForum には、クロスサイトスクリプティングの脆弱性がありま
す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ
トを実行する可能性があります。

対象となるバージョンは以下の通りです。

- ProjectForum 7.0.1.3038 およびそれ以前

2011年10月4日現在、この問題に対する解決策は提供されていません。
回避策としては、信頼できるホストやネットワークに接続を限定するな
どの方法があります。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#901251
ProjectForum におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU901251/index.html

関連文書 (英語)

CourseForum Technologies
ProjectForum
http://www.courseforum.com/pf/

【7】BaserCMS に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#09789751
BaserCMS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN09789751/index.html

Japan Vulnerability Notes JVN#16617002
BaserCMS におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN16617002/index.html

概要

オープンソースのコンテンツ管理システム BaserCMS には、複数の脆弱
性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意
のスクリプトを実行したり、管理者権限のないユーザが管理者のユーザ
情報を変更したりする可能性があります。

対象となるバージョンは以下の通りです。

- BaserCMS 1.6.13.1 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに BaserCMS を更
新することで解決します。詳細については、配布元が提供する情報を参
照してください。
		

関連文書 (日本語)

BaserCMS
JVN09789751 / JVN16617002 に対応する改善ファイル一覧
http://basercms.net/patch/JVN09789751

BaserCMS
BaserCMS ダウンロード
http://basercms.net/download/index.html

■今週のひとくちメモ

○National Cyber Security Awareness Month 2011

米国では、毎年10月を "National Cyber Security Awareness Month" 
として、情報セキュリティに関する啓発活動を展開しています。この活
動には、米国国土安全保障省、NCSA (National Cyber Security
Alliance)、Multi-State ISAC、各種非営利団体、IT 系企業などが参加
しており、様々なユーザ層に向けた活動が行われています。

参考文献 (英語)

National Cyber Security Alliance
National Cyber Security Awareness Month (NCSAM)
http://www.staysafeonline.org/ncsam

米国国土安全保障省 (DHS)
National Cybersecurity Awareness Month
http://www.dhs.gov/files/programs/gc_1158611596104.shtm

SANS Internet Storm Center
ISC Diary Cyber Securyt Month Day 1/2 - Schedule
http://isc.sans.edu/diary.html?storyid=11710

■JPCERT/CC からのお願い