-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-3402 JPCERT/CC 2008-09-03 <<< JPCERT/CC REPORT 2008-09-03 >>> ―――――――――――――――――――――――――――――――――――――― ■08/24(日)〜08/30(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】アクアガーデンソフト製 mysql-lists にクロスサイトスクリプティングの脆弱性 【2】Blogn(ぶろぐん) に複数の脆弱性 【3】SoftArtisans の XFile FileManager ActiveX コントロールにバッファオーバーフローの脆弱性 【今週のひとくちメモ】DNSSEC (Domain Name System Security Extensions) ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr083402.html http://www.jpcert.or.jp/wr/2008/wr083402.xml ============================================================================ 【1】アクアガーデンソフト製 mysql-lists にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#27417220 アクアガーデンソフト製 mysql-lists におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN27417220/index.html 概要 アクアガーデンソフトの mysql-lists には、クロスサイトスクリプティ ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ ザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - mysql-lists ver1.2 およびそれ以前 この問題は、アクアガーデンソフトが提供する修正済みのバージョンに mysql-lists を更新することで解決します。 関連文書 (日本語) アクアガーデンソフト MySQLを使ったPHPスクリプト 配布コーナー http://aqua.sun.ddns.vc/free/php_script/mysql.html 【2】Blogn(ぶろぐん) に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#84125369 Blogn(ぶろぐん) におけるクロスサイトリクエストフォージェリの脆弱性 http://jvn.jp/jp/JVN84125369/index.html Japan Vulnerability Notes JVN#03859837 Blogn(ぶろぐん) におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN03859837/index.html 概要 R-ONE コンピューターの Blogn(ぶろぐん) には、複数の脆弱性があり ます。結果として、遠隔の第三者が細工した Web ページを当該製品に ログインしたユーザに読み込ませることで Blogn(ぶろぐん) のコンテ ンツを編集したり、ユーザのブラウザ上で任意のスクリプトを実行した りする可能性があります。 対象となるバージョンは以下の通りです。 - Blogn(ぶろぐん) v1.9.7 およびそれ以前 この問題は、R-ONE コンピューターが提供する修正済みのバージョンに Blogn(ぶろぐん) を更新することで解決します。 関連文書 (日本語) R-ONE コンピューター Blogn(ぶろぐん)にCSS脆弱性及びCSRF脆弱性が発見されました。 http://www.blogn.org/index.php?e=172 【3】SoftArtisans の XFile FileManager ActiveX コントロールにバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#914785 SoftArtisans XFile FileManager ActiveX control stack buffer overflows http://www.kb.cert.org/vuls/id/914785 概要 SoftArtisans の XFile FileManager ActiveX コントロールには、バッ ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が 細工した HTML 文書を閲覧させることでユーザの権限で任意のコードを 実行する可能性があります。 対象となるバージョンは以下の通りです。 - XFile 2.4.0 より前のバージョン この問題は、SoftArtisans が提供する修正済みのバージョンに XFile を更新することで解決します。 関連文書 (英語) SoftArtisans XFile Version Differences http://support.softartisans.com/Support-114.aspx ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○DNSSEC (Domain Name System Security Extensions) DNSSEC とは、公開鍵暗号技術を利用して DNS データに署名を行い、 DNS データ提供元の正当性を確認したり DNS データの改竄を検知でき るようにする仕組みです。もともとの DNS プロトコルにはこのような 仕組みがなく、キャッシュポイズニングなどの危険性が指摘されていま す。今年 7月には効率的にキャッシュポイズニングを行なう手法が公開 されて大きな話題になりました。 近年、DNSSEC に対応した実装は増えていますが、実環境における普及 はまだ進んでいません。実運用における問題点もいくつか指摘されてお り、プロトコルレベルでの改良も進められています。 参考文献 (日本語) JPNIC インターネット用語1分解説〜DNSSECとは〜 http://www.nic.ad.jp/ja/basics/terms/dnssec.html 参考文献 (英語) DNSSEC: DNS Security Extensions http://www.dnssec.net/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSNG9c4x1ay4slNTtAQgNZwP+IhOxy3f8LBjL6NLiQFmz6qSf61UIdgta mpz/c4+5SwWo3L5trXsaSD3FCKsrwdBkbEmNzhQZrj6754p3Y+DIPty3Kh6jJNtd B51UKXQoFl/WYED9WYUBOZsQUY14YVvqhKW3TrTLe6fltlF/isdK8aWRIp4vK3cO rN7SEatZFIg= =Zeg0 -----END PGP SIGNATURE-----