<<< JPCERT/CC WEEKLY REPORT 2013-04-10 >>>
■03/31(日)〜04/06(土) のセキュリティ関連情報
目 次
【1】PostgreSQL に複数の脆弱性
【2】Mozilla 製品群に複数の脆弱性
【3】Splunk にクロスサイトスクリプティングの脆弱性
【4】Cisco Connected Grid Network Management System に複数の脆弱性
【5】Active! mail に情報漏えいの脆弱性
【6】NVIDIA UNIX GPU ディスプレイドライバにバッファオーバーフローの脆弱性
【7】PHP Address Book に SQL インジェクションの脆弱性
【今週のひとくちメモ】パスワードの設定について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr131401.txt
https://www.jpcert.or.jp/wr/2013/wr131401.xml
【1】PostgreSQL に複数の脆弱性
情報源
PostgreSQL
PostgreSQL 9.2.4, 9.1.9, 9.0.13 and 8.4.17 released
http://www.postgresql.org/about/news/1456/
概要
PostgreSQL には、複数の脆弱性があります。結果として、遠隔の第三者がデー タベースファイルを破壊するなどの可能性があります。 対象となるバージョンは以下の通りです。 - PostgreSQL 9.2.4 より前のバージョン - PostgreSQL 9.1.9 より前のバージョン - PostgreSQL 9.0.13 より前のバージョン - PostgreSQL 8.4.17 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに PostgreSQL を更新することで解決します。詳細については、PostgreSQL が提供する情報を参照してください。
関連文書 (英語)
PostgreSQL
2013-04-04 Security Release FAQ
http://www.postgresql.org/support/security/faq/2013-04-04/
【2】Mozilla 製品群に複数の脆弱性
情報源
JC3 Bulletin
V-126: Mozilla Firefox Multiple Vulnerabilities
http://energy.gov/cio/articles/v-126-mozilla-firefox-multiple-vulnerabilities
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 20.0 より前のバージョン - Firefox ESR 17.0.5 より前のバージョン - Thunderbird 17.0.5 より前のバージョン - Thunderbird ESR 17.0.5 より前のバージョン - SeaMonkey 2.17 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。
関連文書 (日本語)
Mozilla
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
【3】Splunk にクロスサイトスクリプティングの脆弱性
情報源
JC3 Bulletin
V-124: Splunk Web Input Validation Flaw Permits Cross-Site Scripting Attacks
http://energy.gov/cio/articles/v-124-splunk-web-input-validation-flaw-permits-cross-site-scripting-attacks
概要
Splunk には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - Splunk 4.3.0 から 4.3.5 まで この問題は、Splunk が提供する修正済みのバージョンに Splunk を更新するこ とで解決します。詳細については、Splunk が提供する情報を参照して下さい。
関連文書 (英語)
Splunk
Splunk 4.3.6 addresses one vulnerability - March 25, 2013
http://www.splunk.com/view/SP-CAAAHSQ
【4】Cisco Connected Grid Network Management System に複数の脆弱性
情報源
JC3 Bulletin
V-125: Cisco Connected Grid Network Management System Multiple Vulnerabilities
http://energy.gov/cio/articles/v-125-cisco-connected-grid-network-management-system-multiple-vulnerabilities
概要
Cisco Connected Grid Network Management System には、複数の脆弱性があり ます。結果として、遠隔の第三者が、クロスサイトスクリプティング攻撃や SQL インジェクション攻撃を実行する可能性があります。 この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Cisco が提供する情報を参照して下さ い。
関連文書 (英語)
Cisco Security Notice
Cisco Connected Grid Network Management System SQL Injection Vulnerabilities
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1163Cisco Security Notice
Cisco Connected Grid Network Management System Cross-Site Scripting Vulnerabilities
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1171
【5】Active! mail に情報漏えいの脆弱性
情報源
Japan Vulnerability Notes JVN#04288738
Active! mail における情報漏えいの脆弱性
https://jvn.jp/jp/JVN04288738/index.html
概要
Active! mail には、情報漏えいの脆弱性があります。結果として、サーバに UNIX ログイン可能な一般ユーザが、Active! mail の認証情報を取得する可能 性があります。 対象となるバージョンは以下の通りです。 - Active! mail 6 2013年4月9日現在、対策済みのバージョンは公開されていません。以下の回避 策を適用することで、本脆弱性の影響を軽減することが可能です。 - サーバへの UNIX ログインを制限する - 外部公開インターフェース機能を使用しない 詳細については、株式会社トランスウエアが提供する情報を参照して下さい。
【6】NVIDIA UNIX GPU ディスプレイドライバにバッファオーバーフローの脆弱性
情報源
US-CERT Vulnerability Note VU#771620
NVIDIA UNIX GPU driver ARGB cursor buffer overflow in "NoScanout" mode
http://www.kb.cert.org/vuls/id/771620
概要
NVIDIA の UNIX 向けディスプレイドライバには、バッファオーバーフローの脆 弱性があります。結果として、システムにログイン可能なユーザが、権限を昇 格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - NVIDIA ドライバ version 304.88 より前のバージョン - NVIDIA ドライバ version 310.44 より前のバージョン - NVIDIA ドライバ version 313.30 より前のバージョン この問題は、NVIDIA が提供する修正済みのバージョンにディスプレイドライバ を更新することで解決します。詳細については、NVIDIA が提供する情報を参照 して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95651153
NVIDIA 製ビデオカードのディスプレイドライバにバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU95651153/index.html
関連文書 (英語)
NVIDIA SUPPORT
CVE-2013-0131: NVIDIA UNIX GPU Driver ARGB Cursor Buffer Overflow in "NoScanout" Mode.
http://nvidia.custhelp.com/app/answers/detail/a_id/3290
【7】PHP Address Book に SQL インジェクションの脆弱性
情報源
US-CERT Vulnerability Note VU#183692
PHP Address Book sqli vulnerability
http://www.kb.cert.org/vuls/id/183692
概要
PHP Address Book には、SQL インジェクションの脆弱性があります。結果とし て、遠隔の第三者が、データベースに対して任意の SQL コマンドを実行する可 能性があります。 対象となるバージョンは以下の通りです。 - PHP Address Book 8.2.5 なお、それ以前のバージョンにも本脆弱性が存在する可能性があります。 2013年4月9日現在、対策済みのバージョンは公開されていません。アクセスを 制限することで、本脆弱性の影響を軽減することが可能です。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98376265
PHP Address Book に SQL インジェクションの脆弱性
https://jvn.jp/cert/JVNVU98376265/index.html
関連文書 (英語)
Acadion Security Advisory
Several SQL Injection vulnerabilities exist in several PHP scripts of the web application PHP Address Book
http://www.acadion.nl/labs/advisory/20130203-phpaddressbook.html
■今週のひとくちメモ
○パスワードの設定について
国内の複数のポータルサイトや、ISP の提供する Web サービスにログインを試 みる攻撃が確認されています。攻撃者は、何らかの方法で有効なアカウントと パスワードの組み合わせを入手し、そのアカウントとパスワードの組み合わせ を用いて、複数の Web サービスで不正にログインを試みているようです。 パスワードは、複数サービスで使い回しをすることなく、安全性の高いパスワー ドを設定するようにしてください。
参考文献 (日本語)
Microsoft セーフティとセキュリティ センター
安全性の高いパスワードの作成
http://www.microsoft.com/ja-jp/security/online-privacy/passwords-create.aspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
