<<< JPCERT/CC WEEKLY REPORT 2009-02-12 >>>
■02/01(日)〜02/07(土) のセキュリティ関連情報
目 次
【1】Mozilla 製品群に複数の脆弱性
【2】Cisco のワイヤレス製品群に複数の脆弱性
【3】Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge の Web インタフェースに複数の脆弱性
【4】GoAhead Web サーバに脆弱性
【5】AREVA e-terra habitat に複数の脆弱性
【今週のひとくちメモ】Windows Service Pack ブロッカーツールキット期限終了
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr090601.txt
https://www.jpcert.or.jp/wr/2009/wr090601.xml
【1】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Mozilla Releases Firefox Updates
http://www.us-cert.gov/current/archive/2009/02/05/archive.html#mozilla_releases_firefox_updatesDOE-CIRC Technical Bulletin T-054
Mozilla Firefox/Thunderbird/SeaMonkey Multiple Remote Vulnerabilities Bypass Same-Origin Restrictions
http://www.doecirc.energy.gov/ciac/bulletins/t-054.shtml
概要
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書をユーザ に閲覧させることで任意のコードを実行したり、権限を昇格したり、サー ビス運用妨害 (DoS) 攻撃やクロスサイトスクリプティング攻撃を行っ たりするなどの可能性があります。 対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.6 なお、2009年2月10日現在、SeaMonkey および Thunderbird の修正プロ グラムは提供されていません。詳細については、OS のベンダや配布元 が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.6 - 2009/02/03 リリース
http://mozilla.jp/firefox/3.0.6/releasenotes/Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
関連文書 (英語)
Red Hat Security Advisory RHSA-2009:0256-6
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-0256.htmlRed Hat Security Advisory RHSA-2009:0257-4
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-0257.html
【2】Cisco のワイヤレス製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Cisco Releases Security Advisory for Cisco Wireless LAN Controllers
http://www.us-cert.gov/current/archive/2009/02/05/archive.html#cisco_releases_security_advisory_for7
概要
Cisco のワイヤレス製品群には、複数の脆弱性があります。結果として、 遠隔の第三者が細工したリクエストやパケットを処理させることで、権 限を昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品は以下の通りです。 - 以下のプラットフォームで動作するバージョン 4.1 以降のソフトウェ ア - 全ての Cisco Wireless LAN Controller - Cisco Catalyst 6500 Series/7600 Series Wireless Services Module - Cisco Catalyst 3750 Series Integrated Wireless LAN Controller この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 のソフトウェアを更新することで解決します。詳細については Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory 108336
Multiple Vulnerabilities in Cisco Wireless LAN Controllers
http://www.cisco.com/warp/public/707/cisco-sa-20090204-wlc.shtml
【3】Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge の Web インタフェースに複数の脆弱性
情報源
US-CERT Vulnerability Note VU#882619
Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/882619US-CERT Vulnerability Note VU#619499
Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge URL redirection vulnerability
http://www.kb.cert.org/vuls/id/619499
概要
Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge の Web インタフェースには、複数の脆弱性があります。結果として、 遠隔の第三者が機密情報を取得したり、ユーザのブラウザ上で任意のス クリプトを実行したり、細工した URL でユーザを意図しないサイトに 誘導したりする可能性があります。 2009年2月10日現在、この問題に対する解決策は提供されていません。 回避策としては、リモートアクセスを許可しないなどの方法があります。 なお、Rockwell Automation によれば、修正済みのファームウェアが 2009年7月に提供される予定です。詳細については、Rockwell Automation が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#619499
Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge に URL リダイレクションの脆弱性
http://jvn.jp/cert/JVNVU619499/index.htmlJapan Vulnerability Notes JVNVU#882619
Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge にクロスサイトスクリプティングの脆弱性
http://jvn.jp/cert/JVNVU882619/index.html
関連文書 (英語)
Rockwell Automation, Inc.
ControlLogix 1756-ENTB/A Ethernet/IP Bridge - Potential Security Vulnerabilities
http://rockwellautomation.custhelp.com/cgi-bin/rockwellautomation.cfg/php/enduser/std_adp.php?p_faqid=57729
【4】GoAhead Web サーバに脆弱性
情報源
US-CERT Vulnerability Note VU#124059
GoAhead Webserver information disclosure vulnerability
http://www.kb.cert.org/vuls/id/124059
概要
GoAhead Web サーバには、脆弱性があります。結果として、遠隔の第三 者が細工した URL を処理させることで、Web サーバが設置されている システム内の任意のファイルを閲覧する可能性があります。なお、 GoAhead Web サーバを組み込んでいる他のベンダの製品も影響を受ける 可能性があります。 2009年2月10日現在、この問題に対する解決策は提供されていません。 回避策としては、ネットワーク経由でのアクセスを限定するなどの方法 があります。また、影響を受ける各社の製品については、各社が提供す る情報を参照しくてださい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#124059
GoAhead WebServer に情報漏えいの脆弱性
http://jvn.jp/cert/JVNVU124059/index.html
関連文書 (英語)
GoAhead Software Inc.
GoAhead WebServer Overview
http://www.goahead.com/products/webserver/default.aspxGoAhead Software Inc.
GoAhead WebServer 2.1.8 Release Notes
http://data.goahead.com/Software/Webserver/2.1.8/release.htm#security-features-can-be-bypassed-by-adding-an-extra-slash-in-the-url-bug01518GoAhead Software Inc.
GoAhead WebServer 2.1.8 Release Notes
http://data.goahead.com/Software/Webserver/2.1.8/release.htm#bug-with-urls-like-asp
【5】AREVA e-terra habitat に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#337569
AREVA e-terrahabitat SCADA systems vulnerabilities
http://www.kb.cert.org/vuls/id/337569
概要
AREVA e-terra habitat には、複数の脆弱性があります。結果として、 遠隔の第三者が任意のコマンドを実行したり、権限を昇格したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - e-terra habitat 5.7 およびそれ以前のバージョン この問題は、AREVA が提供する修正済みのバージョンに更新するか、パッ チを適用することで解決します。詳細については、AREVA が提供する情 報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#337569
AREVA e-terra habitat に複数の脆弱性
http://jvn.jp/cert/JVNVU337569/index.html
関連文書 (英語)
AREVA T&D
http://www.areva-td.com/AREVA T&D
Energy Management Systems
http://www.areva-td.com/solutions/US_660_Energy+Management+Systems.html
■今週のひとくちメモ
○Windows Service Pack ブロッカーツールキット期限終了
Microsoft は、Windows Service Pack の対応が完了していない業務ア プリケーションなどの利用者や管理者のために、Windows Update など の自動更新で Service Pack を適用しないようにする SP ブロッカーツー ルキットを提供しています。 The Windows Blog において、2009年4月28日に Windows Vista SP1、 2009年5月19日に Windows XP SP3 の SP ブロッカーツールキットの有 効期限が切れることがアナウンスされています。 この期限を過ぎると、SP ブロッカーツールを使用していても Windows Update 経由で Service Pack が配布されます。 SP ブロッカーツールキットを利用している方は、期限までに Service Pack への対応を行っておくことをおすすめします。
参考文献 (日本語)
Microsoft ダウンロードセンター
Windows Service Pack ブロッカー ツール キット
http://www.microsoft.com/downloads/details.aspx?familyid=EC662F0F-4167-44E7-BA79-766679892BA2&displaylang=ja
参考文献 (英語)
The Windows Blog
Expiration of Service Pack Blocker Tool for Windows Vista & Windows XP
http://windowsteamblog.com/blogs/windowsvista/archive/2009/01/29/expiration-of-service-pack-blocker-tool-for-windows-vista-amp-windows-xp.aspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/