JPCERT-WR-2009-07012009-02-182009-02-082009-02-142009年2月 Microsoft セキュリティ情報について
Microsoft Windows、Internet Explorer、Exchange Server、SQL
Server、Office および関連コンポーネントには、複数の脆弱性があり
ます。結果として、遠隔の第三者が任意のコードを実行したり、権限を
昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ
ります。
詳細については、Microsoft が提供する情報を参照してください。
この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。なお、JPCERT/CC REPORT
2009-01-07【1】「Microsoft SQL Server に脆弱性」で紹介した問題に
対する修正も含まれます。2009 年 2 月のセキュリティ情報http://www.microsoft.com/japan/technet/security/bulletin/ms09-feb.mspxマイクロソフト セキュリティ情報 MS09-002 - 緊急Internet Explorer 用の累積的なセキュリティ更新プログラム (961260)http://www.microsoft.com/japan/technet/security/bulletin/ms09-002.mspxマイクロソフト セキュリティ情報 MS09-003 - 緊急Microsoft Exchange の脆弱性により、リモートでコードが実行される (959239)http://www.microsoft.com/japan/technet/security/bulletin/ms09-003.mspxマイクロソフト セキュリティ情報 MS09-004 - 重要SQL Server の脆弱性により、リモートでコードが実行される (959420)http://www.microsoft.com/japan/technet/security/bulletin/ms09-004.mspxマイクロソフト セキュリティ情報 MS09-005 - 重要Microsoft Office Visio の脆弱性により、リモートでコードが実行される (957634)http://www.microsoft.com/japan/technet/security/bulletin/ms09-005.mspxJapan Vulnerability Notes JVNTA09-041AMicrosoft 製品における複数の脆弱性に対するアップデートhttp://jvn.jp/cert/JVNTA09-041A/index.html@policeマイクロソフト社のセキュリティ修正プログラムについて (MS09-002,003,004,005)http://www.cyberpolice.go.jp/important/2009/20090211_110342.htmlJPCERT/CC Alert 2009-02-112009年2月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起http://www.jpcert.or.jp/at/2009/at090003.txtJPCERT/CC REPORT 2009-01-07【1】Microsoft SQL Server に脆弱性http://www.jpcert.or.jp/wr/2009/wr090101.html#1Apple の複数の製品に脆弱性
Mac OS X、Mac OS X Server、Java for Mac OS X、Safari for Windows
には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行したり、権限を昇格したり、ユーザのブラウザ上で任意のスク
リプトを実行したりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Mac OS X 10.4.11
- Mac OS X Server 10.4.11
- Mac OS X 10.5.6
- Mac OS X Server 10.5.6
- Java for Mac OS X 10.4, Release 7
- Java for Mac OS X 10.5 Update 2
- Safari 3.2.2 for Windows より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。Apple Support HT3436Java for Mac OS X 10.4, Release 8 のセキュリティコンテンツについてhttp://support.apple.com/kb/HT3436?viewlocale=ja_JPApple Support HT3437Java for Mac OS X 10.5 Update 3 のセキュリティコンテンツについてhttp://support.apple.com/kb/HT3437?viewlocale=ja_JPApple Support HT3438Security Update 2009-001 のセキュリティコンテンツについてhttp://support.apple.com/kb/HT3438?viewlocale=ja_JPApple Support HT3439Safari 3.2.2 for Windows のセキュリティコンテンツについてhttp://support.apple.com/kb/HT3439?viewlocale=ja_JPBecky! Internet Mail にバッファオーバーフローの脆弱性
Becky! Internet Mail には、メール閲覧時の開封確認処理にバッファ
オーバーフローの脆弱性があります。結果として、遠隔の第三者が細工
したメールを送信し、受信者に開封確認を送付させることで任意のコー
ドを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Becky! Internet Mail Ver.2.48.02 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに Becky!
Internet Mail を更新することで解決します。有限会社リムアーツセキュリティアップデート(2009/02/11)http://www.rimarts.co.jp/index-j.html独立行政法人 情報処理推進機構 セキュリティセンター「Becky! Internet Mail」におけるセキュリティ上の弱点(脆弱性)の注意喚起http://www.ipa.go.jp/security/vuln/documents/2009/200902_becky.htmlHP の複数のプリンタに脆弱性
HP LaserJet、HP Color LaserJet および HP Digital Senders には、
脆弱性があります。結果として、遠隔の第三者がファイルにアクセスす
る可能性があります。
対象となる製品およびバージョンは以下の通りです。
- バージョン 20080819 SPCL112A より前のファームウェアを搭載した
以下の製品
- HP LaserJet 2410
- HP LaserJet 2420
- HP LaserJet 2430
- バージョン 20080819 SPCL015A より前のファームウェアを搭載した
以下の製品
- HP LaserJet 4250
- HP LaserJet 4350
- バージョン 20080819 SPCL110A より前のファームウェアを搭載した
以下の製品
- HP LaserJet 9040
- HP LaserJet 9050
- バージョン 09.120.9 より前のファームウェアを搭載した以下の製品
- HP LaserJet 4345mfp
- HP 9200C Digital Sender
- バージョン 46.200.9 より前のファームウェアを搭載した以下の製品
- HP Color LaserJet 4730mfp
- バージョン 08.110.9 より前のファームウェアを搭載した以下の製品
- HP LaserJet 9040mfp
- HP LaserJet 9050mfp
- HP Color LaserJet 9500mfp
この問題は、HP が提供する修正済みのバージョンに、該当する製品の
ファームウェアを更新することで解決します。詳細については HP が提
供する情報を参照してください。HP Support document c01623905HPSBPI02398 SSRT080166 rev.2 - Certain HP LaserJet Printers, HP Color LaserJet Printers, and HP Digital Senders, Remote Unauthorized Access to Fileshttp://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01623905HP OpenView Network Node Manager に脆弱性
HP OpenView Network Node Manager (OV NNM) には、脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- HP-UX、Linux、Solaris および Windows 上で動作する以下のバージョ
ン
- HP OpenView Network Node Manager v7.01、v7.51、v7.53
この問題は、HP が提供するパッチを HP OpenView Network Node
Manager に適用することで解決します。詳細については、HP が提供す
る情報を参照してください。HP Support document c01661610HPSBMA02406 SSRT080100 rev.1 - HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Codehttp://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01661610GE Fanuc の iFIX に複数の脆弱性
GE Fanuc の iFIX には、複数の脆弱性があります。結果として、遠隔
の第三者が認証情報を含んだファイルにアクセスしたり、ネットワーク
トラフィックを傍受したりするなどの可能性があります。
対象となるバージョンは以下の通りです。
- HMI/SCADA - iFIX 5.0 およびそれ以前
2009年2月17日現在、この問題に対する解決策は提供されていません。
詳細については、GE Fanuc が提供する情報を参照してください。
GEファナック・インテリジェント・プラットフォームス株式会社自動化ソフトウェア・生産用ソフトウェア 監視制御ソフトウェア(SCADA) iFIXファミリhttp://www.gefanucautomation.co.jp/ifix-ta.htmlGEファナック・インテリジェント・プラットフォームス株式会社サポートhttp://www.gefanucautomation.co.jp/support.htmlJapan Vulnerability Notes JVNVU#310355GE Fanuc Proficy HMI/SCADA iFIX の認証機能における脆弱性http://jvn.jp/cert/JVNVU310355/index.htmlGeneral Electric CompanySecurity Issue: CERT Reported Vulnerabilities in iFIX Securityhttp://support.gefanuc.com/support/index?page=kbchannel&id=S:KB13253&actp=searchFAST ESP にクロスサイトスクリプティングの脆弱性
Microsoft の検索プラットフォーム FAST ESP の管理画面には、クロス
サイトスクリプティングの脆弱性があります。結果として、遠隔の第三
者がユーザのブラウザ上で任意のスクリプトを実行する可能性がありま
す。
対象となるバージョンは以下の通りです。
- FAST ESP 5.1.5 およびそれ以前
この問題は、ベンダが提供する修正済みのバージョンに FAST ESP を更
新することで解決します。FASTFAST ESPhttp://www.fastsearch.co.jp/product/list.html#l1FASTFAST Technical Supporthttp://www.fastsearch.com/l3a.aspx?m=991「C/C++ セキュアコーディングハーフデイキャンプ part2 <File I/O part1,part2,part3>」参加者募集のお知らせ
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を作り込
まない安全なプログラムをコーディングする具体的なテクニックとノウ
ハウを学んでいただくためのセミナー「C/C++ セキュアコーディング
ハーフデイキャンプ」を 1月、2月、3月の三回にわたり開催しています。
参加費は無料です。
ご好評につき多数のご応募をいただき、第2回セミナーの空席も残りわ
ずかとなりました。参加ご希望の方は、お早めにお申し込み下さい。
日時: part2 <File I/O part1,part2,part3>
2009年2月26日 (木) 13:00〜18:00 (受付 12:30〜)
会場: 株式会社インターネットイニシアティブ 大会議室1
東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
受講料: 無料
定員: 80名
インターネットセキュリティの歴史 第27回「サイバー犯罪条約」
「サイバー犯罪に関する条約 (略称: サイバー犯罪条約)」は、サイバー
犯罪から社会を保護することを目的として、コンピュータ・システムに
対する違法なアクセス等一定の行為の犯罪化、コンピュータ・データの
迅速な保全等に係る刑事手続の整備、犯罪人引渡し等に関する国際協力
等につき規定するものです。
2001年11月8日に欧州評議会で採択され、2004年7月1日に発効しました。
現在、23の国が条約加盟国となっており、さらに23の国が同条約に署名
し、加盟手続き中となっています。
日本は、欧州評議会メンバー国ではありませんが、本条約の制定作業に
参加したことから、メンバー国と同様に本条約に署名することを許され、
2001年11月23日に署名を行いました。
その後、本条約については、2004年4月21日に国会承認されましたが、
この条約への対応のための国内法として 2005年10月4日に国会に提出さ
れた「犯罪の国際化及び組織化並びに情報処理の高度化に対処するため
の刑法等の一部を改正する法律案」が未だ継続審議中の扱いとされてい
ることから、今だ加盟には至っていません。外務省サイバー犯罪に関する条約http://www.mofa.go.jp/mofaj/gaiko/treaty/treaty159_4.html経済産業省サイバー刑事法研究会報告書「欧州評議会サイバー犯罪条約と我が国の対応について」の公表http://www.meti.go.jp/kohosys/press/0002626/0/020418cyber.htm法務省犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律(案)http://www.moj.go.jp/HOUAN/KEIHO5/refer02.html日本弁護士連合会サイバー犯罪条約とその国内法化に関するQ&Ahttp://www.nichibenren.or.jp/ja/committee/list/kokusai_keiji/kokusai_keiji_a.htmlCouncil EuropeConvention on Cybercrimehttp://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=7&DF=2/17/2009&CL=ENG