-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-0201 JPCERT/CC 2009-01-15 <<< JPCERT/CC REPORT 2009-01-15 >>> ―――――――――――――――――――――――――――――――――――――― ■01/04(日)〜01/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】OpenSSL に脆弱性 【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報 【3】Samba にルートディレクトリへのアクセスを許す脆弱性 【4】Ruby の XML 解析処理に脆弱性 【5】Cisco GSS に脆弱性 【6】MyNETS にクロスサイトスクリプティングの脆弱性 【7】MODx に複数の脆弱性 【今週のひとくちメモ】個人情報のダミーデータを利用する ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2009/wr090201.html http://www.jpcert.or.jp/wr/2009/wr090201.xml ============================================================================ 【1】OpenSSL に脆弱性 情報源 US-CERT Current Activity Archive OpenSSL Releases Security Advisory http://www.us-cert.gov/current/archive/2009/01/09/archive.html#openssl_releases_security_advisory DOE-CIRC Techical Bulletin T-033 OpenSSL Security Advisory http://www.doecirc.energy.gov/ciac/bulletins/t-033.shtml 概要 OpenSSL には、SSL/TLS 署名の検証処理に起因する脆弱性があります。 結果として、遠隔の第三者が細工した不正な SSL/TLS 署名を有効な署 名として扱ってしまう可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 0.9.8i およびそれ以前 この問題は、使用している OS のベンダまたは配布元が提供する修正済 みのバージョンに OpenSSL を更新することで解決します。 その他、BIND など OpenSSL を使用しているアプリケーションも影響を 受ける可能性があります。詳細については、ベンダや配布元が提供する 情報を参照してください。 関連文書 (英語) OpenSSL Security Advisory [07-Jan-2009] Incorrect checks for malformed signatures http://www.openssl.org/news/secadv_20090107.txt Red Hat Security Advisory RHSA-2009:0004-4 Important: openssl security update https://rhn.redhat.com/errata/RHSA-2009-0004.html The FreeBSD Project Security Advisory FreeBSD-SA-09:02.openssl OpenSSL incorrectly checks for malformed signatures http://security.freebsd.org/advisories/FreeBSD-SA-09:02.openssl.asc Internet Systems Consortium Security Advisory BIND Security Vulnerability - EVP_VerifyFinal() and DSA_do_verify() return checks 7Jan2009 https://www.isc.org/node/373 【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報 情報源 Mozilla Japan Thunderbird リリースノート - Thunderbird 2.0.0.19 での変更点 http://mozilla.jp/thunderbird/2.0.0.19/releasenotes/ 概要 JPCERT/CC REPORT 2008-12-25 号【3】で紹介した「Mozilla 製品群に 複数の脆弱性」に関する追加情報です。 Thunderbird の修正済みのバージョン 2.0.0.19 が提供されました。詳 細については、OS のベンダや配布元が提供する情報を参照してくださ い。 関連文書 (日本語) JPCERT/CC REPORT 2008-12-25 【3】Mozilla 製品群に複数の脆弱性 https://www.jpcert.or.jp/wr/2008/wr085001.html#3 【3】Samba にルートディレクトリへのアクセスを許す脆弱性 情報源 Samba - Security Announcement Archive CVE-2009-0022: Potential access to "/" in setups with registry shares enabled http://samba.org/samba/security/CVE-2009-0022.html 概要 Samba にはルートディレクトリへのアクセスを許す脆弱性があります。 結果として、遠隔の第三者が許可されていないファイルやディレクトリ にアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - Samba 3.2.0 から 3.2.6 レジストリ共有 (registry shares) の設定を有効にしていない場合、 本脆弱性の影響は受けません。この機能は 3.2.0 でサポートされ、デ フォルトでは無効になっています。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Samba を更新することで解決します。詳細については、 ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) 脆弱性検証レポート|NTTデータ・セキュリティ株式会社 Sambaのルートアクセスの脆弱性に関する検証レポート http://www.nttdata-sec.co.jp/article/vulner/pdf/report20090108.pdf 【4】Ruby の XML 解析処理に脆弱性 情報源 DOE-CIRC Techical Bulletin T-030 New Ruby packages fix denial of service http://www.doecirc.energy.gov/ciac/bulletins/t-030.shtml 概要 Ruby には、XML 文書の解析処理に起因する脆弱性があります。結果と して、遠隔の第三者が細工した XML 文書をユーザに解析させることで、 サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、本件に 関しては攻撃方法に関する情報が公開されています。 対象となるバージョンは以下の通りです。 - Ruby 1.8 系の以下のバージョン - 1.8.6-p286 およびそれ以前のバージョン - 1.8.7-p71 およびそれ以前のバージョン - Ruby 1.9 系の以下のバージョン - Ruby 1.9 r18423 およびそれ以前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Ruby を更新することで解決します。詳細については、各 ベンダや配布元が提供する情報を参照してください。 なお、この問題は 2008年8月23日に Ruby 開発者から既に報告がなされ ており、今回 Debian 向け修正パッチが提供されました。 関連文書 (日本語) オブジェクト指向スクリプト言語 Ruby REXMLのDoS脆弱性 http://www.ruby-lang.org/ja/news/2008/08/23/dos-vulnerability-in-rexml/ Debian セキュリティ勧告 DSA-1695-1 ruby1.8, ruby1.9 -- メモリリーク http://www.debian.org/security/2009/dsa-1695.ja.html 関連文書 (英語) Red Hat Security Advisory RHSA-2008:0897-12 Moderate: ruby security update https://rhn.redhat.com/errata/RHSA-2008-0897.html 【5】Cisco GSS に脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Security Advisory for Global Site Selector http://www.us-cert.gov/current/archive/2009/01/09/archive.html#cisco_releases_security_advisory_for4 概要 Cisco Application Control Engine Global Site Selector (GSS) には、 DNS リクエストの処理に起因する脆弱性があります。結果として、遠隔 の第三者が細工した DNS リクエストを処理させることで、サービス運 用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - Cisco GSS 4480 Global Site Selector - Cisco GSS 4490 Global Site Selector - Cisco GSS 4491 Global Site Selector - Cisco GSS 4492R Global Site Selector この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Cisco が提供する情報 を参照してください。 関連文書 (英語) Cisco Security Advisory 109384 Cisco Global Site Selector Appliances DNS Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090107-gss.shtml 【6】MyNETS にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#36802959 MyNETS におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN36802959/index.html 概要 オープンソースの SNS ソフトウェア MyNETS には、クロスサイトスク リプティングの脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - MyNETS 1.2.0.1 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに MyNETS を更新 することで解決します。 関連文書 (日本語) Usagi Project MyNETS脆弱性情報 http://usagi-project.org/PRESS/archives/57 【7】MODx に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#10170564 MODx におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN10170564/index.html Japan Vulnerability Notes JVN#66828183 MODx におけるクロスサイトリクエストフォージェリの脆弱性 http://jvn.jp/jp/JVN66828183/index.html Japan Vulnerability Notes JVN#72630020 MODx における SQL インジェクションの脆弱性 http://jvn.jp/jp/JVN72630020/index.html 概要 コンテンツ管理システムの MODx には、複数の脆弱性があります。結果 として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行 したり、Web ページを編集したりする可能性があります。 対象となるバージョンは以下の通りです。 - MODx 0.9.6.2 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに MODx を更新す ることで解決します。 関連文書 (英語) MODxCMS 0.9.6.2 HTTP_REFERER Checks and Potential CSRF Vulnerabilities http://modxcms.com/forums/index.php/topic,28881.0.html MODxCMS MODx 0.9.6.3 released http://modxcms.com/forums/index.php/topic,31657.0.html MODxCMS Changelog http://svn.modxcms.com/svn/tattoo/tattoo/releases/0.9.6.3/install/changelog.txt ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○個人情報のダミーデータを利用する 個人情報を扱うアプリケーションの開発時にはテストデータの取扱いに 注意する必要があります。実際の個人情報をテストに使用して開発委託 先などから情報が漏洩するケースが発生しています。 このような危険を防ぎ、安全に開発をすすめるためにダミーデータを活 用する方法があります。現実のデータに近いダミーデータを作成するサー ビスやアプリケーションが利用可能です。 参考文献 (日本語) 窓の杜 【NEWS】プログラムの動作テスト用のダミーデータを簡単に大量作成「プラデータ」 http://www.forest.impress.co.jp/article/2008/04/22/pladata.html People to People Communications 株式会社 疑似個人情報をテスト用データとして使う http://www.start-ppd.jp/howto1.html 参考文献 (英語) CPAN Data::Faker - Perl extension for generating fake data http://search.cpan.org/~jasonk/Data-Faker-0.07/lib/Data/Faker.pm ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSW6TH4x1ay4slNTtAQi8XQP+M769MHCg6RoMyw6JD5eZ55GSN601wCNj 8uL6kRW96BZnxzbxuFMZ9KIiZCHiFD+ViQ07mRPnue6rVqvnKOaRFNQoKAilEPzD bCueZgZzvQF1BYD1xt3t9xBbXQnMXNeX2LNhcFbw1sMKJWC3pt03cyZBF1N0cMRy 9L34BU/C4ew= =t8Sb -----END PGP SIGNATURE-----