<<< JPCERT/CC WEEKLY REPORT 2008-07-24 >>>
■07/13(日)〜07/19(土) のセキュリティ関連情報
目 次
【1】Mozilla 製品群に脆弱性
【2】iPod touch および iPhone に複数の脆弱性
【3】2008年7月 Oracle Critical Patch Update について
【4】BlackBerry Attachment Service の PDF 生成機能に脆弱性
【5】LunarNight Laboratory 製 WebProxy にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Mozilla Firefox 2.0.0.x のサポート終了予定
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr082801.txt
https://www.jpcert.or.jp/wr/2008/wr082801.xml
【1】Mozilla 製品群に脆弱性
情報源
US-CERT Vulnerability Note VU#130923
Mozilla Firefox command line URI handling vulnerability
http://www.kb.cert.org/vuls/id/130923Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
概要
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が任意のコードを実行するなど の可能性があります。 対象となる製品は以下の通りです。 - Firefox - SeaMonkey - Thunderbird その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.1 - Firefox 2.0.0.16 - SeaMonkey 1.1.11 なお、2008年7月23日現在、Thunderbird の修正プログラムは提供され ていません。詳細については、OS のベンダや配布元が提供する情報を 参照してください。
関連文書 (日本語)
Mozilla Japan
Firefox 2 リリースノート - Firefox 2.0.0.16 の新機能と改良点
http://mozilla.jp/firefox/2.0.0.16/releasenotes/Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.1 - 2008/07/16 リリース
http://mozilla.jp/firefox/3.0.1/releasenotes/
関連文書 (英語)
SeaMonkey Project
SeaMonkey 1.1.11
http://www.seamonkey-project.org/releases/seamonkey1.1.11/Red Hat Security Advisory RHSA-2008:0597-9
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2008-0597.htmlRed Hat Security Advisory RHSA-2008:0599-7
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2008-0599.html
【2】iPod touch および iPhone に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#88676089
iPod touch および iPhone に搭載されている Safari において証明書が不正に受け入れられる脆弱性
http://jvn.jp/jp/JVN88676089/index.htmlApple - サポート HT2351
iPhone v2.0 および iPod Touch v2.0 のセキュリティコンテンツについて
http://support.apple.com/kb/HT2351?viewlocale=ja_JP
概要
iPod touch および iPhone には、複数の脆弱性があります。結果とし て、機密情報が漏洩したり、遠隔の第三者が任意のコードを実行したり する可能性があります。 対象となるプラットフォームおよびバージョンは以下の通りです。 - iPod touch v1.1 から v1.1.4 まで - iPhone v1.0 から v1.1.4 まで この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。 なお、iPhone 3G (iPhone v2.0) は本脆弱性の影響を受けません。
関連文書 (英語)
Apple security-announce Mailing List
APPLE-SA-2008-07-11 iPhone 2.0 and iPod touch 2.0
http://lists.apple.com/archives/security-announce//2008/Jul/msg00001.html
【3】2008年7月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for July 2008
http://www.us-cert.gov/current/archive/2008/07/18/archive.html#oracle_releases_critical_patch_update3
概要
Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。 結果として、遠隔の第三者が認証を回避するなどの可能性があります。 この問題は、Oracle が提供するパッチを該当する製品に適用すること で解決します。詳細については Oracle が提供する情報を参照してくだ さい。 なお、次回の Oracle Critical Patch Update は、2008年10月にリリー スされる予定です。 2008年4月29日、Oracle の BEA Systems, Inc. 買収により、今後 BEA 製品のセキュリティ関連情報は Oracle Critical Patch Update に掲載 されます。
関連文書 (日本語)
Oracle internet Support Center
[CPUJul2008] Critical Patch Update - July 2008
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=128507Oracle Technology Network
Critical Patch Update - July 2008
http://www.oracle.com/technology/global/jp/security/080718_83/top.htmlJapan Vulnerability Notes JVN#81667751
WebLogic Server および WebLogic Express に付属するプラグインにおけるディレクトリトラバーサルの脆弱性
http://jvn.jp/jp/JVN81667751/index.html
関連文書 (英語)
Oracle Technology Network
Oracle Critical Patch Update Advisory - July 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2008.htmlHP Support document c00727143
HPSBMA02133 SSRT061201 rev.9 - HP Oracle for OpenView (OfO) Critical Patch Update
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00727143
【4】BlackBerry Attachment Service の PDF 生成機能に脆弱性
情報源
US-CERT Vulnerability Note VU#289235
BlackBerry Attachment Service PDF distiller vulnerable to arbitrary code execution
http://www.kb.cert.org/vuls/id/289235
概要
BlackBerry Attachment Service の PDF 生成機能には、脆弱性があり ます。結果として、遠隔の第三者が細工した PDF ファイルを閲覧させ ることで、Attachment Service を実行するサーバ上で任意のコードを 実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - BlackBerry Enterprise Server 4.1 Service Pack 3 (4.1.3) から 4.1 Service Pack 5 (4.1.5) - BlackBerry Professional Software 4.1 Service Pack 4 (4.1.4) - BlackBerry Unite! 1.0 Service Pack 1 (1.0.1) bundle 36 より前 のバージョン この問題は、Research in Motion が提供する修正済みのバージョンに、 該当する製品を更新することで解決します。詳細については、Research in Motion が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#289235
BlackBerry Attachment Service の PDF 生成機能に任意のコードが実行可能な脆弱性
http://jvn.jp/cert/JVNVU289235/index.html
関連文書 (英語)
Research in Motion - Security Advisory KB15766
Vulnerability in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
http://www.blackberry.com/btsc/articles/660/KB15766_f.SAL_Public.htmlResearch in Motion - Security Advisory KB15770
Vulnerability in the PDF distiller of the BlackBerry Attachment Service for BlackBerry Unite
http://www.blackberry.com/btsc/articles/635/KB15770_f.SAL_Public.html
【5】LunarNight Laboratory 製 WebProxy にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#49704543
LunarNight Laboratory 製 WebProxy におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN49704543/index.html
概要
LunarNight Laboratory が提供する WebProxy には、クロスサイトスク リプティングの脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - WebProxy Ver1.7.8 およびそれ以前 この問題は、LunarNight Laboratory が提供する修正済みのバージョン に WebProxy を更新することで解決します。
関連文書 (日本語)
LunarNight Laboratory
WebProxy
http://www.ln-lab.net/lunar-night.lab/page-dl_webproxy/design-white
■今週のひとくちメモ
○Mozilla Firefox 2.0.0.x のサポート終了予定
Mozilla Firefox の 2.0.0.x 系に対するセキュリティおよび安定性に 関する更新の提供は 2008年12月中旬まで、という予定が表明されてい ます。 Firefox 3 系へ移行していないユーザは、使用するアドオンの対応状況 や他アプリケーションとの連携など、Firefox 3 系への移行に向けて確 認作業を行うことをお勧めします。
参考文献 (日本語)
Mozilla Firefox
Firefox 2 のダウンロード
http://mozilla.jp/firefox/all-olderFirefox サポート
ナレッジベース - Firefox 2 と Firefox 3 の併用
http://mozilla.jp/support/firefox/kb/002774
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/