JPCERT コーディネーションセンター

Weekly Report 2011-11-09号

JPCERT-WR-2011-4301
JPCERT/CC
2011-11-09

<<< JPCERT/CC WEEKLY REPORT 2011-11-09 >>>

■10/30(日)〜11/05(土) のセキュリティ関連情報

目 次

【1】マイクロソフトの TrueType フォント解析エンジンに脆弱性

【2】NJStar Communicator にバッファオーバーフローの脆弱性

【3】複数のスカイアークシステム製品に脆弱性

【4】CSWorks の LiveData Service に脆弱性

【5】ものづくりNEXT↑2011 のお知らせ

【6】Internet Week 2011 のお知らせ

【今週のひとくちメモ】JP ゾーン DNSSEC 署名開始一年

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr114301.txt
https://www.jpcert.or.jp/wr/2011/wr114301.xml

【1】マイクロソフトの TrueType フォント解析エンジンに脆弱性

情報源

US-CERT Vulnerability Note VU#316553
Microsoft Windows TrueType font parsing vulnerability
http://www.kb.cert.org/vuls/id/316553

概要

マイクロソフトの TrueType フォント解析エンジンには、脆弱性があり
ます。結果として、遠隔の第三者が任意のコードを実行する可能性があ
ります。なお、マイクロソフトによれば、本脆弱性を使用した攻撃の報
告があるとのことです。

2011年11月8日現在、この問題に対する解決策は提供されていません。回
避策として、マイクロソフトは「Fix it」を公開しています。詳細につ
いては、マイクロソフトが提供する情報を参照してください。
		

関連文書 (日本語)

マイクロソフト セキュリティ アドバイザリ (2639658)
TrueType フォント解析の脆弱性により、特権が昇格される
http://technet.microsoft.com/ja-jp/security/advisory/2639658

Microsoft Security Advisory 2639658
TrueType フォント解析の脆弱性により、特権が昇格される
http://support.microsoft.com/kb/2639658/ja

Japan Vulnerability Notes JVNVU#316553
Microsoft Windows の TrueType フォント解析処理に脆弱性
https://jvn.jp/cert/JVNVU316553/index.html

【2】NJStar Communicator にバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#819630
NJStar Communicator MiniSmtp packet processing buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/819630

概要

NJStar Communicator の MiniSmtp server には、TCP パケットの処理に
起因するバッファオーバーフローの脆弱性があります。結果として、遠
隔の第三者が管理者権限でアクセスする可能性があります。なお、
MiniSmtp server は、デフォルトでは無効になっています。また、本脆
弱性を使用した攻撃コードが公開されています。

対象となる製品は以下の通りです。

- NJStar Communicator

2011年11月8日現在、この問題に対する解決策は提供されていません。回
避策としては、NJStar Communicator の MiniSmtp server へのアクセス
を制限するなどの方法があります。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#819630
NJStar Communicator にバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU819630/index.html

関連文書 (英語)

NJStar Software Company
NJStar Communicator Version 3.00
http://www.njstar.com/cms/njstar-communicator

【3】複数のスカイアークシステム製品に脆弱性

情報源

Japan Vulnerability Notes JVN#56667137
複数のスカイアークシステム製品におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN56667137/index.html

Japan Vulnerability Notes JVN#41032068
複数のスカイアークシステム製品におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN41032068/index.html

概要

複数のスカイアークシステム製品には、脆弱性があります。結果として、
遠隔の第三者が情報を改ざんしたり、設定を変更したりする可能性があ
ります。

対象となる製品およびバージョンは以下の通りです。

- MTCMS version 5.251 およびそれ以前
- MTCMS Enterprise version 5.251 およびそれ以前
- MTCMS Smart version 5.251 およびそれ以前

また、以下の Movable Type プラグインも本脆弱性の影響を受けます。

- MultiFileuploader version 0.44 およびそれ以前
- MailPack version 1.741 およびそれ以前
- EntryImExporter version 1.41 およびそれ以前
- AutoTagging version 0.08 およびそれ以前
- AuthorEffective version 1.03 およびそれ以前
- DuplicateEntry version 1.2 およびそれ以前

この問題は、スカイアークシステムが提供する修正済みのバージョンに、
該当する製品を更新することで解決します。詳細については、スカイアー
クシステムが提供する情報を参照してください。
		

関連文書 (日本語)

スカイアークシステム
[重要]MTCMS 5.252のリリースおよびセキュリティアップデートの提供を開始
http://www.mtcms.jp/news/product/201110131921.html

スカイアークシステム
MultiFileUploader等、プラグインのセキュリティアップデートの提供を開始しました
http://www.skyarc.co.jp/engineerblog/entry/post_30.html

【4】CSWorks の LiveData Service に脆弱性

情報源

Japan Vulnerability Notes JVN#98649286
CSWorks の LiveData Service におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN98649286/index.html

概要

CSWorks の LiveData Service には、TCP パケットの処理に起因する脆
弱性があります。結果として、遠隔の第三者が細工したパケットを処理
させることでサービス運用 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- CSWorks 2.0.4115.0 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに CSWorks を更新
することで解決します。詳細については、配布元が提供する情報を参照
してください。
		

関連文書 (英語)

CSWorks
Important: CSWorks security release 2.0.4115.1
http://www.controlsystemworks.com/blogengine/post/CSWorks-2041151-security-release.aspx

CSWorks
Release History
http://www.controlsystemworks.com/ProductHistory.aspx

【5】ものづくりNEXT↑2011 のお知らせ

情報源

ものづくりNEXT↑2011
http://www.jma.or.jp/next/

概要

2011年11月16日(水)から18日(金)まで、東京ビッグサイト東5・6ホール
において「ものづくりNEXT↑2011」が開催されます。JPCERT/CC はプロ
グラムの企画に協力し、特別企画トータル危機管理コーナーに出展する
とともに、講演会に参加します。

11月16日 特別企画トータル危機管理コーナー
  http://www.jma.or.jp/next/visitor/seminar01.html
  JPCERT/CC 講演「制御システムセキュリティの新たなる脅威について」
		

関連文書 (日本語)

ものづくりNEXT2011-来場事前登録について
https://jma.smktg.jp/public/seminar/view/13?lang=ja

【6】Internet Week 2011 のお知らせ

情報源

Internet Week 2011
https://internetweek.jp/

概要

2011年11月30日(水)から12月2日(金)まで、富士ソフトアキバプラザにお
いて JPNIC 主催の Internet Week 2011 が開催されます。JPCERT/CC は
プログラムの企画・運営に協力、後援をしています。

12月1日のプログラム「S10 スマートフォンセキュリティ」では、スマー
トフォンセキュリティに関する様々なトピックを取り扱います。
JPCERT/CC からも「スマートフォンとセキュリティ脅威」と題した講演を
行います。

また、12月2日のプログラム「T6 始めようCSIRT」では、社内の情報セキュ
リティ対応体制の見直しや改善を検討している皆様向けに、CSIRT とはど
のようなものか、また、CSIRT 構築に関する具体的なノウハウを紹介する
予定です。こちらもぜひご参加ください。

12月1日のプログラム: 
  S10 スマートフォンセキュリティ
  https://internetweek.jp/program/s10/

12月2日のプログラム: 
  T6 始めよう CSIRT 〜事例から学ぶインシデント・レスポンス〜
 https://internetweek.jp/program/t6/
		

関連文書 (日本語)

Internet Week 2011 - 参加申込
https://internetweek.jp/apply/

Internet Week 2011
S10 スマートフォンセキュリティ
https://internetweek.jp/program/s10/

Internet Week 2011
T6 始めようCSIRT 〜事例から学ぶインシデント・レスポンス〜
https://internetweek.jp/program/t6/

■今週のひとくちメモ

○JP ゾーン DNSSEC 署名開始一年

2011年10月、JP ゾーン DNSSEC 署名開始から一年経過しました。

JPRS は、予定通り 2011年10月6日に新しい鍵を生成する .jp DNSSEC キー
セレモニーを実施し、2011年11月4日には、旧公開鍵の公開を停止し、
KSK ロールオーバーがスケジュール通り完了したと発表しています。

参考文献 (日本語)

JPRS
第2回「.jp DNSSECキーセレモニー」の実施について
http://jprs.jp/info/notice/20111006-keyceremony.html

JPRS
.jpゾーンにおけるKSKロールオーバーの完了について
http://jprs.jp/tech/notice/2011-11-04-jp-ksk-rollover.html

JPCERT/CC WEEKLY REPORT 2010-10-20
【今週のひとくちメモ】JP ゾーンの DNSSEC 署名開始
http://www.jpcert.or.jp/wr/2010/wr104001.html#Memo

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter