JPCERT コーディネーションセンター

Weekly Report 2011-10-19号

JPCERT-WR-2011-4001
JPCERT/CC
2011-10-19

<<< JPCERT/CC WEEKLY REPORT 2011-10-19 >>>

■10/09(日)〜10/15(土) のセキュリティ関連情報

目 次

【1】2011年10月 Microsoft セキュリティ情報について

【2】Apple 製品群に複数の脆弱性

【3】EC-CUBE に SQL インジェクションの脆弱性

【4】DAEMON Tools にサービス運用妨害 (DoS) の脆弱性

【5】WEB FORUM に複数のクロスサイトスクリプティングの脆弱性

【6】GoAhead Webserver にクロスサイトスクリプティングの脆弱性

【7】Pligg にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】マイクロソフトセキュリティインテリジェンスレポート 第11版

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr114001.txt
https://www.jpcert.or.jp/wr/2011/wr114001.xml

【1】2011年10月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA11-284A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA11-284A.html

US-CERT Cyber Security Alert SA11-284A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA11-284A.html

概要

Microsoft Windows、Microsoft .NET Framework、Microsoft
Silverlight、Internet Explorer などの製品および関連コンポーネント
には複数の脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が
あります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プログ
ラムを適用することで解決します。
		

関連文書 (日本語)

Microsoft セキュリティ TechCenter
2011 年 10 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms11-oct

Microsoft TechNet Blogs > 日本のセキュリティチーム
2011 年 10 月のセキュリティ情報 (月例)
http://blogs.technet.com/b/jpsecurity/archive/2011/10/12/3458676.aspx

Japan Vulnerability Notes JVNTA11-284A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA11-284A/index.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS11-075,076,077,078,079,080,081,082)
https://www.npa.go.jp/cyberpolice/topics/?seq=7819

JPCERT/CC Alert 2011-10-12 JPCERT-AT-2011-0027
2011年10月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110027.html

関連文書 (英語)

Microsoft Security Research & Defense
Assessing the risk of the October 2011 security updates
http://blogs.technet.com/b/srd/archive/2011/10/11/assessing-the-risk-of-the-october-2011-security-updates.aspx

US-CERT Vulnerability Note VU#619281
Windows font library file buffer overflow
http://www.kb.cert.org/vuls/id/619281

【2】Apple 製品群に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA11-286A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA11-286A.html

US-CERT Cyber Security Alert SA11-286A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA11-286A.html

US-CERT Current Activity Archive
Apple Releases iTunes 10.5
http://www.us-cert.gov/current/archive/2011/10/12/archive.html#apple_releases_itunes_10_5

US-CERT Current Activity Archive
Apple Releases Multiple Security Updates
http://www.us-cert.gov/current/archive/2011/10/12/archive.html#apple_releases_multiple_security_updates

概要

Apple 製品群には、複数の脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行したり、機密情報を取得したり、サービス運用
妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Apple iTunes 10.5 より前のバージョン
- Mac OS X および Mac OS X Server の 10.7.2 より前のバージョン
- Mac OS X および Mac OS X Server の 10.6.8
- iOS 5 より前のバージョン
- Apple Safari 5.1.1 より前のバージョン
- Apple TV 4.4 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Apple が提供する情報
を参照してください。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNTA11-286A
Apple Mac OS Xにおける複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA11-286A/index.html

Japan Vulnerability Notes JVNVU#706419
Apple iTunes における脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU706419/index.html

Japan Vulnerability Notes JVNVU#177979
Apple iOS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU177979/index.html

Japan Vulnerability Notes JVNVU#727187
Apple TV における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU727187/index.html

Japan Vulnerability Notes JVNVU#971123
Apple Mac OS Xにおける複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU971123/index.html

Japan Vulnerability Notes JVNVU#585859
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU585859/index.html

関連文書 (英語)

Apple Support HT4981
About the security content of iTunes 10.5
http://support.apple.com/kb/HT4981?viewlocale=en_US

Apple Support HT5002
About the security content of OS X Lion v10.7.2 and Security Update 2011-006
http://support.apple.com/kb/HT5002?viewlocale=en_US

Apple Support HT5001
About the security content of Apple TV Software Update 4.4
http://support.apple.com/kb/HT5001?viewlocale=en_US

Apple Support HT4999
About the security content of iOS 5 Software Update
http://support.apple.com/kb/HT4999?viewlocale=en_US

Apple Support HT5004
About the security content of Numbers for iOS v1.5
http://support.apple.com/kb/HT5004?viewlocale=en_US

Apple Support HT5003
About the security content of Pages for iOS v1.5
http://support.apple.com/kb/HT5003?viewlocale=en_US

Apple Support HT5000
About the security content of Safari 5.1.1
http://support.apple.com/kb/HT5000?viewlocale=en_US

【3】EC-CUBE に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#44496332
EC-CUBE における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN44496332/index.html

概要

ロックオンが提供する EC-CUBE には、SQL インジェクションの脆弱性が
あります。結果として、遠隔の第三者が当該製品で管理されている情報
を閲覧する可能性があります。

対象となるバージョンは以下の通りです。

- EC-CUBE 2.11.0 から 2.11.2

この問題は、ロックオンが提供する修正済みのバージョンに EC-CUBE 
を更新することで解決します。
		

関連文書 (日本語)

株式会社ロックオン
SQLインジェクション
http://www.ec-cube.net/info/weakness/weakness.php?id=38

株式会社ロックオン
EC-CUBE2.11.3 正式版をリリースいたしました。(2011/10/12)
http://www.ec-cube.net/release/detail.php?release_id=286

独立行政法人 情報処理推進機構 セキュリティセンター
「EC-CUBE」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20111014.html

【4】DAEMON Tools にサービス運用妨害 (DoS) の脆弱性

情報源

Japan Vulnerability Notes JVN#07414354
DAEMON Tools におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN07414354/index.html

概要

DAEMON Tools には、サービス運用妨害 (DoS) の脆弱性があります。結
果として、当該ソフトウエアを実行しているシステムにログイン可能な
第三者が、そのシステムをクラッシュさせる可能性があります。

対象となるバージョンは以下の通りです。

- DAEMON Tools Lite 4.41.3 より前のバージョン
- DAEMON Tools Pro Standard 4.41.0315 より前のバージョン
- DAEMON Tools Pro Advanced 4.41.0315 より前のバージョン

この問題は、配布元が提供する修正済みのバージョンに DAEMON Tools を更新
することで解決します。
		

関連文書 (英語)

DAEMON Tools
DAEMON Tools free downloads
http://www.daemon-tools.cc/eng/downloads

【5】WEB FORUM に複数のクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#36684331
WEB FORUM におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN36684331/index.html

Japan Vulnerability Notes JVN#89764731
WEB FORUM におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN89764731/index.html

Japan Vulnerability Notes JVN#80971236
WEB FORUM におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN80971236/index.html

概要

KENT-WEB の掲示板ソフトウエア WEB FORUM には、複数のクロスサイト
スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- WEB FORUM 6.3 およびそれ以前

この問題は、KENT-WEB が提供する修正済みのバージョンに WEB FORUM
を更新することで解決します。
		

関連文書 (日本語)

KENT-WEB
WEB FORUM
http://www.kent-web.com/bbs/wforum.html

【6】GoAhead Webserver にクロスサイトスクリプティングの脆弱性

情報源

US-CERT Vulnerability Note VU#384427
GoAhead Webserver multiple stored XSS vulnerabilities
http://www.kb.cert.org/vuls/id/384427

概要

GoAhead Webserver には、複数のクロスサイトスクリプティングの脆弱
性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意
のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- GoAhead Webserver 2.18

なお、その他のバージョンも影響を受ける可能性があります。

2011年10月18日現在、この問題に対する解決策は提供されていません。
回避策としては、信頼できるホストやネットワークに接続を制限するな
どの方法があります。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#384427
GoAhead Webserver にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU384427/index.html

関連文書 (英語)

GoAhead Software
GoAhead Webserver
http://www.goahead.com/products/webserver/default.aspx

【7】Pligg にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#04013920
Pligg におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN04013920/index.html

概要

コンテンツ管理システム (CMS) Pligg には、クロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ
ザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Pligg 1.2.0 より前のバージョン

この問題は、配布元が提供する修正済みのバージョンに Pligg を更新す
ることで解決します。
		

関連文書 (英語)

Pligg CMS
Download Pligg Content Management System
http://pligg.com/download/

■今週のひとくちメモ

○マイクロソフトセキュリティインテリジェンスレポート 第11版

マイクロソフトは、2011年上半期の脆弱性やマルウエア動向についてま
とめた、マイクロソフトセキュリティインテリジェンスレポートを公開
しました。セキュリティインテリジェンスレポートは、半年ごとに公開
されており、今回は第11版となります。

今回のレポートでは、前回のレポートで急増が報告されていた Java の
悪用コードの検出数が相変わらず高いことや、Adobe Flash Player の脆
弱性を狙う悪用コードの検出数が急増していることが報告されています。
また、マルウエアの感染手法の分類では、ユーザによる何らかの操作が
必要なケースが多いことが報告されています。

参考文献 (日本語)

マイクロソフト セキュリティ ホーム
マイクロソフト セキュリティ インテリジェンス レポート
http://www.microsoft.com/japan/security/contents/sir.mspx

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter