JPCERT-WR-2009-0601
2009-02-12
2009-02-01
2009-02-07
Mozilla 製品群に複数の脆弱性
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書をユーザ
に閲覧させることで任意のコードを実行したり、権限を昇格したり、サー
ビス運用妨害 (DoS) 攻撃やクロスサイトスクリプティング攻撃を行っ
たりするなどの可能性があります。
対象となる製品は以下の通りです。
- Firefox
- Thunderbird
- SeaMonkey
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。
- Firefox 3.0.6
なお、2009年2月10日現在、SeaMonkey および Thunderbird の修正プロ
グラムは提供されていません。詳細については、OS のベンダや配布元
が提供する情報を参照してください。
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.6 - 2009/02/03 リリース
http://mozilla.jp/firefox/3.0.6/releasenotes/
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
Red Hat Security Advisory RHSA-2009:0256-6
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-0256.html
Red Hat Security Advisory RHSA-2009:0257-4
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-0257.html
Cisco のワイヤレス製品群に複数の脆弱性
Cisco のワイヤレス製品群には、複数の脆弱性があります。結果として、
遠隔の第三者が細工したリクエストやパケットを処理させることで、権
限を昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性
があります。
対象となる製品は以下の通りです。
- 以下のプラットフォームで動作するバージョン 4.1 以降のソフトウェ
ア
- 全ての Cisco Wireless LAN Controller
- Cisco Catalyst 6500 Series/7600 Series Wireless Services
Module
- Cisco Catalyst 3750 Series Integrated Wireless LAN Controller
この問題は、Cisco が提供する修正済みのバージョンに、該当する製品
のソフトウェアを更新することで解決します。詳細については Cisco
が提供する情報を参照してください。
Cisco Security Advisory 108336
Multiple Vulnerabilities in Cisco Wireless LAN Controllers
http://www.cisco.com/warp/public/707/cisco-sa-20090204-wlc.shtml
Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge の Web インタフェースに複数の脆弱性
Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge
の Web インタフェースには、複数の脆弱性があります。結果として、
遠隔の第三者が機密情報を取得したり、ユーザのブラウザ上で任意のス
クリプトを実行したり、細工した URL でユーザを意図しないサイトに
誘導したりする可能性があります。
2009年2月10日現在、この問題に対する解決策は提供されていません。
回避策としては、リモートアクセスを許可しないなどの方法があります。
なお、Rockwell Automation によれば、修正済みのファームウェアが
2009年7月に提供される予定です。詳細については、Rockwell
Automation が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#619499
Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge に URL リダイレクションの脆弱性
http://jvn.jp/cert/JVNVU619499/index.html
Japan Vulnerability Notes JVNVU#882619
Rockwell Automation ControlLogix 1756-ENBT/A EtherNet/IP Bridge にクロスサイトスクリプティングの脆弱性
http://jvn.jp/cert/JVNVU882619/index.html
Rockwell Automation, Inc.
ControlLogix 1756-ENTB/A Ethernet/IP Bridge - Potential Security Vulnerabilities
http://rockwellautomation.custhelp.com/cgi-bin/rockwellautomation.cfg/php/enduser/std_adp.php?p_faqid=57729
GoAhead Web サーバに脆弱性
GoAhead Web サーバには、脆弱性があります。結果として、遠隔の第三
者が細工した URL を処理させることで、Web サーバが設置されている
システム内の任意のファイルを閲覧する可能性があります。なお、
GoAhead Web サーバを組み込んでいる他のベンダの製品も影響を受ける
可能性があります。
2009年2月10日現在、この問題に対する解決策は提供されていません。
回避策としては、ネットワーク経由でのアクセスを限定するなどの方法
があります。また、影響を受ける各社の製品については、各社が提供す
る情報を参照しくてださい。
Japan Vulnerability Notes JVNVU#124059
GoAhead WebServer に情報漏えいの脆弱性
http://jvn.jp/cert/JVNVU124059/index.html
GoAhead Software Inc.
GoAhead WebServer Overview
http://www.goahead.com/products/webserver/default.aspx
GoAhead Software Inc.
GoAhead WebServer 2.1.8 Release Notes
http://data.goahead.com/Software/Webserver/2.1.8/release.htm#security-features-can-be-bypassed-by-adding-an-extra-slash-in-the-url-bug01518
GoAhead Software Inc.
GoAhead WebServer 2.1.8 Release Notes
http://data.goahead.com/Software/Webserver/2.1.8/release.htm#bug-with-urls-like-asp
AREVA e-terra habitat に複数の脆弱性
AREVA e-terra habitat には、複数の脆弱性があります。結果として、
遠隔の第三者が任意のコマンドを実行したり、権限を昇格したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- e-terra habitat 5.7 およびそれ以前のバージョン
この問題は、AREVA が提供する修正済みのバージョンに更新するか、パッ
チを適用することで解決します。詳細については、AREVA が提供する情
報を参照してください。
Japan Vulnerability Notes JVNVU#337569
AREVA e-terra habitat に複数の脆弱性
http://jvn.jp/cert/JVNVU337569/index.html
AREVA T&D
http://www.areva-td.com/
AREVA T&D
Energy Management Systems
http://www.areva-td.com/solutions/US_660_Energy+Management+Systems.html
Windows Service Pack ブロッカーツールキット期限終了
Microsoft は、Windows Service Pack の対応が完了していない業務ア
プリケーションなどの利用者や管理者のために、Windows Update など
の自動更新で Service Pack を適用しないようにする SP ブロッカーツー
ルキットを提供しています。
The Windows Blog において、2009年4月28日に Windows Vista SP1、
2009年5月19日に Windows XP SP3 の SP ブロッカーツールキットの有
効期限が切れることがアナウンスされています。
この期限を過ぎると、SP ブロッカーツールを使用していても Windows
Update 経由で Service Pack が配布されます。
SP ブロッカーツールキットを利用している方は、期限までに Service
Pack への対応を行っておくことをおすすめします。
Microsoft ダウンロードセンター
Windows Service Pack ブロッカー ツール キット
http://www.microsoft.com/downloads/details.aspx?familyid=EC662F0F-4167-44E7-BA79-766679892BA2&displaylang=ja
The Windows Blog
Expiration of Service Pack Blocker Tool for Windows Vista & Windows XP
http://windowsteamblog.com/blogs/windowsvista/archive/2009/01/29/expiration-of-service-pack-blocker-tool-for-windows-vista-amp-windows-xp.aspx