JPCERT コーディネーションセンター

Weekly Report 2012-10-31号

JPCERT-WR-2012-4201
JPCERT/CC
2012-10-31

<<< JPCERT/CC WEEKLY REPORT 2012-10-31 >>>

■10/21(日)〜10/27(土) のセキュリティ関連情報

目 次

【1】Exim に脆弱性

【2】Safari においてリモートからローカルファイルを読み取り可能な脆弱性

【3】Adobe Shockwave Player に複数の脆弱性

【4】複数の DomainKeys Identified Mail (DKIM) 実装に問題

【5】Java セキュアコーディングセミナー@福岡 参加者募集中

【今週のひとくちメモ】Adobe Acrobat/Adobe Reader XI リリースと 9 のサポート期間

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr124201.txt
https://www.jpcert.or.jp/wr/2012/wr124201.xml

【1】Exim に脆弱性

情報源

exim-announce
Exim 4.80.1 Security Release
http://www.exim.org/lurker/message/20121026.080330.74b9147b.en.html

概要

Exim には脆弱性があります。遠隔の第三者が、細工したメールを送りつけるこ
とにより、Exim サーバ上で任意のコードを実行する可能性があります。

影響を受けるバージョンは以下の通りです。

- Exim 4.70 から 4.80 までのバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに Exim サーバを更新することで解決します。詳細については、各ベンダや
配布元が提供する情報を参照してください。

関連文書 (日本語)

Debian
exim 4 -- ヒープベースのバッファオーバフロー
http://www.debian.org/security/2012/dsa-2566.ja.html

【2】Safari においてリモートからローカルファイルを読み取り可能な脆弱性

情報源

Japan Vulnerability Notes JVN#42676559
Safari においてリモートからローカルファイルを読み取り可能な脆弱性
https://jvn.jp/jp/JVN42676559/index.html

概要

Apple が提供する Safari には、リモートからローカルファイルを読み取り可
能な脆弱性があります。結果として、細工された HTML ドキュメントをローカ
ルファイルとして開くことで、遠隔の第三者にアクセスを許可していないファ
イルを取得される可能性があります。

対象となるバージョンは以下の通りです。

- Safari 6.0.1 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに Safari を更新するこ
とで解決します。詳細については、Apple が提供する情報を参照して下さい。

関連文書 (日本語)

Apple Support
Safari 6.0.1 のセキュリティコンテンツについて
http://support.apple.com/kb/HT5502?viewlocale=ja_JP

【3】Adobe Shockwave Player に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#872545
Adobe Shockwave 11.6.7.637 contains multiple exploitable vulnerabilities
http://www.kb.cert.org/vuls/id/872545

概要

Adobe Shockwave Player には複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Adobe Shockwave 11.6.7.637 およびそれ以前のバージョン

この問題は、Adobe が提供する修正済みのバージョンに Shockwave Player を
更新することで解決します。詳細については、Adobe が提供する情報を参照し
て下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#872545
Adobe Shockwave Player に複数の脆弱性
https://jvn.jp/cert/JVNVU872545/index.html

Adobe Shockwave Player Help
APSB12-23: Adobe Shockwave Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/shockwave/kb/cq10231724.html

【4】複数の DomainKeys Identified Mail (DKIM) 実装に問題

情報源

US-CERT Vulnerability Note VU#268267
DomainKeys Identified Mail (DKIM) Verifiers may inappropriately convey message trust
http://www.kb.cert.org/vuls/id/268267

概要

複数の DomainKeys Identified Mail (DKIM) 実装において、テストモードが指
定されているメッセージの扱いが仕様に反していることが報告されました。結
果として、テストモードが指定されている DKIM 署名メールが、通常の DKIM
署名メールと同様に扱われる可能性があります。また、DKIM 署名に使われる鍵
が 1024 ビット未満になっている例も報告されています。

システム管理者は、実運用環境で DKIM のテストモードが使用できないように
設定してください。また、DKIM 署名を行う際は 1024ビット以上の RSA 鍵を使
用して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#268267
複数の DomainKeys Identified Mail (DKIM) 実装に問題
https://jvn.jp/cert/JVNVU268267/index.html

【5】Java セキュアコーディングセミナー@福岡 参加者募集中

情報源

JPCERT/CC
Java セキュアコーディングセミナー@福岡のご案内
https://www.jpcert.or.jp/event/securecoding-FUK201212-seminar.html

概要

JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で
脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと
ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催して
います。このセミナーは、講義とハンズオン演習を組み合わせ、Java セキュア
コーディングについて、より実践的に学んでいただける内容となっています。

現在、福岡を会場として開催する「Java セキュアコーディングセミナー@福岡」
の参加者を募集しています。ふるってご参加ください。
なお、参加者多数の場合はお申し込み先着順となります。

        [日時] 2012年12月9日(日) 10:30 - 16:00
        [会場] リファレンス駅東ビル 会議室D
               福岡市博多区博多駅東1丁目16-14
               (MAP) http://www.re-rental.com/map.html
        [定員] 40名
        [参加費用] 無料

        [内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識
                「オブジェクトの生成とセキュリティ」
                「リソース消費攻撃とその対策」
                Javaにおける脆弱なコーディングの事例の解説
                クイズおよびハンズオン

関連文書 (日本語)

JPCERT/CC
Java セキュアコーディングセミナー@福岡 お申し込み
https://www.jpcert.or.jp/event/securecoding-FUK201212-application.html

■今週のひとくちメモ

○Adobe Acrobat/Adobe Reader XI リリースと 9 のサポート期間

Adobe Acrobat および Adobe Reader XI がリリースされました。このバージョ
ンでは、保護モードや ASLR に関する機能が強化されています。また、Adobe
Acrobat および Adobe Reader 9 のサポート期間は 2013年6月までとされてい
ます。

サポート期間の終了前に更新作業が完了するよう、計画をたてましょう。

参考文献 (英語)

Adobe Secure Software Engineering Team Blog
New Security Capabilities in Adobe Reader and Acrobat XI Now Available!
http://blogs.adobe.com/asset/2012/10/new-security-capabilities-in-adobe-reader-and-acrobat-xi-now-available.html

Adobe
Adobe products and Enterprise Technical Support periods covered under the new Lifecycle Policy
http://www.adobe.com/support/products/enterprise/eol/eol_matrix.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter