<<< JPCERT/CC WEEKLY REPORT 2008-09-18 >>>
■09/07(日)〜09/13(土) のセキュリティ関連情報
目 次
【1】2008年9月 Microsoft セキュリティ情報について
【2】Movable Type にクロスサイトスクリプティングの脆弱性
【3】TWiki に脆弱性
【4】ハイ ノルマ (High Norm) 製 Sound Master 2nd にクロスサイトスクリプティングの脆弱性
【5】Tor World の複数の CGI スクリプトに脆弱性
【今週のひとくちメモ】DNSSEC の導入に向けた動き
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr083601.txt
https://www.jpcert.or.jp/wr/2008/wr083601.xml
【1】2008年9月 Microsoft セキュリティ情報について
情報源
US-CERT Technical Cyber Security Alert TA08-253A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-253A.htmlUS-CERT Cyber Security Alert SA08-253A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA08-253A.htmlUS-CERT Vulnerability Notes Database
Search Results [ms08-aug] (全1件・2008年9月17日現在)
http://www.kb.cert.org/vuls/byid?searchview&query=ms08-sepCIAC Bulletin S-372
Vulnerabilities in GDI+
http://www.ciac.org/ciac/bulletins/s-372.shtmlCIAC Bulletin S-373
Vulnerability in Windows Media Encoder 9
http://www.ciac.org/ciac/bulletins/s-373.shtmlCIAC Bulletin S-374
Vulnerability in Windows Media Player
http://www.ciac.org/ciac/bulletins/s-374.shtmlCIAC Bulletin S-375
Vulnerarability in Microsoft Office
http://www.ciac.org/ciac/bulletins/s-375.shtml
概要
Microsoft Windows、Microsoft Windows Media Encoder、Microsoft Office、Internet Explorer などの製品には、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行したり、サービス運用 妨害 (DoS) 攻撃を行ったりする可能性があります。 詳細については、Microsoft が提供する情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。
関連文書 (日本語)
2008 年 9 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms08-sep.mspxマイクロソフト セキュリティ情報 MS08-052 - 緊急
GDI+ の脆弱性により、リモートでコードが実行される (954593)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-052.mspxマイクロソフト セキュリティ情報 MS08-053 - 緊急
Windows Media エンコーダー 9 の脆弱性により、リモートでコードが実行される (954156)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-053.mspxマイクロソフト セキュリティ情報 MS08-054 - 緊急
Windows Media Player の脆弱性により、リモートでコードが実行される (954154)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-054.mspxマイクロソフト セキュリティ情報 MS08-055 - 緊急
Microsoft Office の脆弱性により、リモートでコードが実行される (955047)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-055.mspxJapan Vulnerability Notes JVNTA08-253A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-253A/index.html@police
マイクロソフト社のセキュリティ修正プログラムについて(MS08-052,053,054,055)
http://www.cyberpolice.go.jp/important/2008/20080913_164309.htmlJPCERT/CC Alert 2008-09-10
2008年9月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080016.txt
【2】Movable Type にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#30385652
Movable Type におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN30385652/index.html
概要
Movable Type には、クロスサイトスクリプティングの脆弱性がありま す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ トを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Movable Type 3 (3.36 およびそれ以前のバージョン) - Movable Type 4 (4.20 およびそれ以前のバージョン) - Movable Type Enterprise 1.5 (1.54 およびそれ以前のバージョン) - Movable Type Enterprise 4 (4.20 およびそれ以前のバージョン) - Movable Type Community Solution この問題は、シックス・アパートが提供する修正済みのバージョンに Movable Type を更新することで解決します。
関連文書 (日本語)
シックス・アパート
Movable Type 4.2 RC5 とセキュリティアップデートの提供を開始
http://www.sixapart.jp/movabletype/news/2008/08/07-1445.htmlシックス・アパート
2008年8月7日に発表したセキュリティアップデートの正式版提供開始
http://www.sixapart.jp/movabletype/news/2008/08/28-1500.html
【3】TWiki に脆弱性
情報源
US-CERT Vulnerability Note VU#362012
TWiki command execution vulnerability
http://www.kb.cert.org/vuls/id/362012
概要
TWiki には、入力を適切に検証しないことに起因する脆弱性があります。 結果として、遠隔の第三者が細工した URL にアクセスさせることで、 任意の設定ファイルを閲覧したり、Web サーバプロセスの権限で任意の ファイルを実行したりする可能性があります。なお、本脆弱性に関する 検証コードが公開されています。 対象となるバージョンは以下の通りです。 - TWiki 4.2.2 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに TWiki を更新 したり、TWiki を正しく設定することで解決します。
関連文書 (英語)
twiki.org Security Alert
Arbitrary code execution in session files (CVE-2008-3195)
http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2008-3195
【4】ハイ ノルマ (High Norm) 製 Sound Master 2nd にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#55010230
ハイ ノルマ (High Norm) 製 Sound Master 2nd におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN55010230/index.html
概要
ハイ ノルマ (High Norm) の Sound Master 2nd には、クロスサイトス クリプティングの脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Sound Master 2nd Version 1.0.0 この問題は、ハイ ノルマ (High Norm) が提供する修正済みのバージョ ンに Sound Master 2nd を更新することで解決します。
関連文書 (日本語)
ハイ ノルマ
サウンドマスター2nd
http://high-norm.rash.jp/script_soundmaster2nd.html
【5】Tor World の複数の CGI スクリプトに脆弱性
情報源
Japan Vulnerability Notes JVN#18616622
複数の Tor World 製 CGI スクリプトにおいて任意のスクリプトが実行される脆弱性
http://jvn.jp/jp/JVN18616622/index.html
概要
Tor World が提供する複数の CGI スクリプトには、脆弱性があります。 結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを 実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Simple BBS Ver1.86 およびそれ以前 - Interactive BBS Ver1.57 およびそれ以前 - Topics BBS Ver1.11 およびそれ以前 - Tor Board Ver1.3 およびそれ以前 この問題は、Tor World が提供する修正済みのバージョンに該当する製 品を更新することで解決します。
関連文書 (日本語)
Tor World
【CGIスクリプトの脆弱性に関する報告】 - 2008/09/05 (Fri)
http://download.torworld.com/bug/20080905.html
■今週のひとくちメモ
○DNSSEC の導入に向けた動き
SE (スウェーデン) をはじめ、いくつかの ccTLD (Country Code Top Level Domain) ではすでに DNSSEC 対応が行われています。また、GOV、 ORG、および ARPA ドメインにおいても対応が表明されています。 前回紹介した ISC の DLV registry のように、DNS ツリーの外から署 名鍵を提供するための仕組みを、一般に TAR (Trust Anchor Registry) と呼びます。ISC 以外に RIPE や SecSpider project、IKS といった組 織による活動があり、現在は IANA で TAR を立ち上げる計画が進んで います。 今年6月にパリで開催された ICANN 第32回会議では DNSSEC に関するト ピックを集めた DNSSEC Public Meeting が開催されました。
参考文献 (日本語)
JPCERT/CC REPORT 2008-09-03
【今週のひとくちメモ】DNSSEC (Domain Name System Security Extensions)
http://www.jpcert.or.jp/wr/2008/wr083401.html#MemoJPCERT/CC REPORT 2008-09-10
【今週のひとくちメモ】DNSSEC Lookaside Validation (DLV)
http://www.jpcert.or.jp/wr/2008/wr083501.html#Memo
参考文献 (英語)
DNSSEC Deployment Initiative
http://www.dnssec-deployment.org/DNSSEC Deployment Initiative
STATEMENT OF NEEDED INTERNET CAPABILITY: Trust Anchor Repositories
http://www.dnssec-deployment.org/tar/tarpaper.pdfIANA
(DEMO) DNSSEC STATUS
https://ns.iana.org/dnssec/status.htmlICANN
DNSSEC Public Meeting
http://par.icann.org/en/node/77ccNSO IANA WG:
DNSSEC BRIEFING and Root Zone Signing (Part I)
http://ccnso.icann.org/workinggroups/ccnso-iana-wg-dnssec-paper-04feb08.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/