JPCERT-WR-2009-0201
2009-01-15
2009-01-04
2009-01-10
OpenSSL に脆弱性
OpenSSL には、SSL/TLS 署名の検証処理に起因する脆弱性があります。
結果として、遠隔の第三者が細工した不正な SSL/TLS 署名を有効な署
名として扱ってしまう可能性があります。
対象となるバージョンは以下の通りです。
- OpenSSL 0.9.8i およびそれ以前
この問題は、使用している OS のベンダまたは配布元が提供する修正済
みのバージョンに OpenSSL を更新することで解決します。
その他、BIND など OpenSSL を使用しているアプリケーションも影響を
受ける可能性があります。詳細については、ベンダや配布元が提供する
情報を参照してください。
OpenSSL Security Advisory [07-Jan-2009]
Incorrect checks for malformed signatures
http://www.openssl.org/news/secadv_20090107.txt
Red Hat Security Advisory RHSA-2009:0004-4
Important: openssl security update
https://rhn.redhat.com/errata/RHSA-2009-0004.html
The FreeBSD Project Security Advisory FreeBSD-SA-09:02.openssl
OpenSSL incorrectly checks for malformed signatures
http://security.freebsd.org/advisories/FreeBSD-SA-09:02.openssl.asc
Internet Systems Consortium Security Advisory
BIND Security Vulnerability - EVP_VerifyFinal() and DSA_do_verify() return checks 7Jan2009
https://www.isc.org/node/373
「Mozilla 製品群に複数の脆弱性」に関する追加情報
JPCERT/CC REPORT 2008-12-25 号【3】で紹介した「Mozilla 製品群に
複数の脆弱性」に関する追加情報です。
Thunderbird の修正済みのバージョン 2.0.0.19 が提供されました。詳
細については、OS のベンダや配布元が提供する情報を参照してくださ
い。
JPCERT/CC REPORT 2008-12-25
【3】Mozilla 製品群に複数の脆弱性
https://www.jpcert.or.jp/wr/2008/wr085001.html#3
Samba にルートディレクトリへのアクセスを許す脆弱性
Samba にはルートディレクトリへのアクセスを許す脆弱性があります。
結果として、遠隔の第三者が許可されていないファイルやディレクトリ
にアクセスする可能性があります。
対象となるバージョンは以下の通りです。
- Samba 3.2.0 から 3.2.6
レジストリ共有 (registry shares) の設定を有効にしていない場合、
本脆弱性の影響は受けません。この機能は 3.2.0 でサポートされ、デ
フォルトでは無効になっています。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Samba を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。
脆弱性検証レポート|NTTデータ・セキュリティ株式会社
Sambaのルートアクセスの脆弱性に関する検証レポート
http://www.nttdata-sec.co.jp/article/vulner/pdf/report20090108.pdf
Ruby の XML 解析処理に脆弱性
Ruby には、XML 文書の解析処理に起因する脆弱性があります。結果と
して、遠隔の第三者が細工した XML 文書をユーザに解析させることで、
サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、本件に
関しては攻撃方法に関する情報が公開されています。
対象となるバージョンは以下の通りです。
- Ruby 1.8 系の以下のバージョン
- 1.8.6-p286 およびそれ以前のバージョン
- 1.8.7-p71 およびそれ以前のバージョン
- Ruby 1.9 系の以下のバージョン
- Ruby 1.9 r18423 およびそれ以前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Ruby を更新することで解決します。詳細については、各
ベンダや配布元が提供する情報を参照してください。
なお、この問題は 2008年8月23日に Ruby 開発者から既に報告がなされ
ており、今回 Debian 向け修正パッチが提供されました。
オブジェクト指向スクリプト言語 Ruby
REXMLのDoS脆弱性
http://www.ruby-lang.org/ja/news/2008/08/23/dos-vulnerability-in-rexml/
Debian セキュリティ勧告 DSA-1695-1
ruby1.8, ruby1.9 -- メモリリーク
http://www.debian.org/security/2009/dsa-1695.ja.html
Red Hat Security Advisory RHSA-2008:0897-12
Moderate: ruby security update
https://rhn.redhat.com/errata/RHSA-2008-0897.html
Cisco GSS に脆弱性
Cisco Application Control Engine Global Site Selector (GSS) には、
DNS リクエストの処理に起因する脆弱性があります。結果として、遠隔
の第三者が細工した DNS リクエストを処理させることで、サービス運
用妨害 (DoS) 攻撃を行う可能性があります。
対象となる製品は以下の通りです。
- Cisco GSS 4480 Global Site Selector
- Cisco GSS 4490 Global Site Selector
- Cisco GSS 4491 Global Site Selector
- Cisco GSS 4492R Global Site Selector
この問題は、Cisco が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Cisco が提供する情報
を参照してください。
Cisco Security Advisory 109384
Cisco Global Site Selector Appliances DNS Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090107-gss.shtml
MyNETS にクロスサイトスクリプティングの脆弱性
オープンソースの SNS ソフトウェア MyNETS には、クロスサイトスク
リプティングの脆弱性があります。結果として、遠隔の第三者がユーザ
のブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- MyNETS 1.2.0.1 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに MyNETS を更新
することで解決します。
Usagi Project
MyNETS脆弱性情報
http://usagi-project.org/PRESS/archives/57
MODx に複数の脆弱性
コンテンツ管理システムの MODx には、複数の脆弱性があります。結果
として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行
したり、Web ページを編集したりする可能性があります。
対象となるバージョンは以下の通りです。
- MODx 0.9.6.2 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに MODx を更新す
ることで解決します。
MODxCMS
0.9.6.2 HTTP_REFERER Checks and Potential CSRF Vulnerabilities
http://modxcms.com/forums/index.php/topic,28881.0.html
MODxCMS
MODx 0.9.6.3 released
http://modxcms.com/forums/index.php/topic,31657.0.html
MODxCMS
Changelog
http://svn.modxcms.com/svn/tattoo/tattoo/releases/0.9.6.3/install/changelog.txt
個人情報のダミーデータを利用する
個人情報を扱うアプリケーションの開発時にはテストデータの取扱いに
注意する必要があります。実際の個人情報をテストに使用して開発委託
先などから情報が漏洩するケースが発生しています。
このような危険を防ぎ、安全に開発をすすめるためにダミーデータを活
用する方法があります。現実のデータに近いダミーデータを作成するサー
ビスやアプリケーションが利用可能です。
窓の杜
【NEWS】プログラムの動作テスト用のダミーデータを簡単に大量作成「プラデータ」
http://www.forest.impress.co.jp/article/2008/04/22/pladata.html
People to People Communications 株式会社
疑似個人情報をテスト用データとして使う
http://www.start-ppd.jp/howto1.html
CPAN
Data::Faker - Perl extension for generating fake data
http://search.cpan.org/~jasonk/Data-Faker-0.07/lib/Data/Faker.pm