<<< JPCERT/CC WEEKLY REPORT 2009-03-11 >>>
■03/01(日)〜03/07(土) のセキュリティ関連情報
目 次
【1】Mozilla 製品群に複数の脆弱性
【2】Opera ブラウザに複数の脆弱性
【3】libpng に脆弱性
【4】Novell eDirectory の管理コンソールにバッファオーバーフローの脆弱性
【5】「技術メモ−クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜」公開のお知らせ
【6】「重要インフラ情報セキュリティフォーラム2009」資料公開のお知らせ
【今週のひとくちメモ】JDK/JRE のサポート状況
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr091001.txt
https://www.jpcert.or.jp/wr/2009/wr091001.xml
【1】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Mozilla Foundation Releases Firefox 3.0.7
http://www.us-cert.gov/current/archive/2009/03/05/archive.html#mozilla_foundation_releases_firefox_3DOE-CIRC Technical Bulletin T-074
XML Data Theft Via RDFXML DataSource and Cross-Domain Redirect
http://www.doecirc.energy.gov/ciac/bulletins/t-074.shtml
概要
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書をユーザ に閲覧させることで任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、機密情報を取得したりするなどの可能性があり ます。 対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.7 なお、2009年3月10日現在、SeaMonkey および Thunderbird の修正プロ グラムは提供されていません。詳細については、OS のベンダや配布元 が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.7 - 2009/03/04 リリース
http://mozilla.jp/firefox/3.0.7/releasenotes/Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
関連文書 (英語)
Red Hat Security Advisory RHSA-2009:0315-4
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-0315.htmlRed Hat Security Advisory RHSA-2009:0325-4
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-0325.html
【2】Opera ブラウザに複数の脆弱性
情報源
US-CERT Current Activity Archive
Opera Software Releases Opera Browser 9.64
http://www.us-cert.gov/current/archive/2009/03/05/archive.html#opera_software_releases_opera_9
概要
Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、ユーザのブラウザ上で任意のスクリ プトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 9.64 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Opera ブラウザを更新することで解決します。
関連文書 (日本語)
Opera Software
Opera ブラウザ
http://jp.opera.com/Opera Software
Opera 9.64 for Windows 更新履歴
http://jp.opera.com/docs/changelogs/windows/964/
関連文書 (英語)
Opera Software - Knowledge Base
Advisory: Specially crafted JPEG images can be used to execute arbitrary code
http://www.opera.com/support/kb/view/926/
【3】libpng に脆弱性
情報源
US-CERT Vulnerability Note VU#649212
libpng fails to properly initialize element pointers
http://www.kb.cert.org/vuls/id/649212
概要
libpng には、エレメントポインタが適切に初期化されないことに起因 する脆弱性があります。結果として、遠隔の第三者が細工した PNG ファ イルを処理させることで任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - libpng-1.0.43 より前のバージョン - libpng-1.2.35 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに libpng を更新することで解決します。なお、本脆弱性の 影響は、libpng を利用しているアプリケーションにもおよぶので注意 してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#649212
libpng が適切にエレメントポインタを初期化しない脆弱性
http://jvn.jp/cert/JVNVU649212/index.html
関連文書 (英語)
libpng Home Page
Vulnerability Warning
http://www.libpng.org/pub/png/libpng.htmlRed Hat Security Advisory RHSA-2009:0333-7
Moderate: libpng security update
https://rhn.redhat.com/errata/RHSA-2009-0333.html
【4】Novell eDirectory の管理コンソールにバッファオーバーフローの脆弱性
情報源
DOE-CIRC Technical Bulletin T-071
Novell eDirectory Management Console Accept-Language Buffer Overflow
http://www.doecirc.energy.gov/ciac/bulletins/t-071.shtml
概要
Novell eDirectory の管理コンソールには、バッファオーバーフローの 脆弱性があります。結果として、遠隔の第三者が細工した HTTP リクエ ストを処理させることで、SYSTEM または root の権限で任意のコード を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。 対象となるバージョンは以下の通りです。 - Novell eDirectory 8.8 SP3 FTF2 - Novell eDirectory 8.7.3 この問題は、Novell が提供するパッチを eDirectory に適用すること で解決します。詳細については、Novell が提供する情報を参照してく ださい。
関連文書 (英語)
Novell
Novell Downloads
http://download.novell.com/index.jsp?product_id=&search=Search&tab=patches&families=2597&version=&date_range=&keywords=&sort_by=&x=42&y=14Novell
eDirectory 8.8 SP3 FTF3 for Windows
http://download.novell.com/Download?buildid=Cf15mVyA3GI~Novell
eDirectory 8.8 SP3 FTF3 for NetWare
http://download.novell.com/Download?buildid=lXrwD8NOc90~Novell
eDirectory 8.8 SP3 FTF3 for Linux & Unix
http://download.novell.com/Download?buildid=ZEya4WZ613k~
【5】「技術メモ−クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜」公開のお知らせ
情報源
JPCERT Coordination Center
技術メモ−クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜
http://www.jpcert.or.jp/ed/2009/ed090001.pdf
概要
2009年3月3日、JPCERT/CC は「技術メモ − クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜」を公開しました。 本文書は、Webサイト制作者及び運営者を対象に、クリックジャッキン グ攻撃の概要とその対策の一つとして X-FRAME-OPTIONS の概要、記述 方法、設定値による挙動の違いについて解説します。
【6】「重要インフラ情報セキュリティフォーラム2009」資料公開のお知らせ
情報源
JPCERT Coordination Center
公開プレゼンテーション資料
http://www.jpcert.or.jp/present/
概要
JPCERT コーディネーションセンターは、2009年2月20日に東京ベルサー ル八重洲において開催した重要インフラ情報セキュリティフォーラム 2009 の講演資料を公開しました。本フォーラムは、重要インフラ事業 者 (情報通信、金融、電力、航空、鉄道、ガス、政府・行政サービス、 医療、水道、物流等の事業に係わる方)及び重要インフラ事業者にシス テムを提供するベンダー等を主な対象として、情報セキュリティ上の課 題や対策等に関する講演を中心に実施したものです。
■今週のひとくちメモ
○JDK/JRE のサポート状況
現在サポートされている JDK/JRE の最新バージョンは以下の通りです。 - JDK/JRE 6 Update 12 (1.6.0 update 12) - JDK/JRE 5.0 Update 17 (1.5.0 update 17) 2009年10月30日まで EOL transition 期間中です。 その後 EOSL (End Of Service Life) となる予定です。 Java AutoUpdate では、セキュリティ対策が含まれていない場合などに は、最新のバージョンが配布されるわけではありません。実際に update 12 をインストールする場合にはマニュアルでダウンロードとイ ンストールを行う必要があります。 Sun によると 2009年第一四半期に予定されているアップデートではセ キュリティ対策を取り込んだリリースとなる予定です。
参考文献 (英語)
JDK 6 Project
jdk6: Java SE 6
https://jdk6.dev.java.net/Sun Developer Network (SDN)
Java SE 6 Update 12 Release Notes
http://java.sun.com/javase/6/webnotes/6u12.htmlSun Developer Network (SDN)
Java SE & Java SE for Business Support Road Map
http://java.sun.com/products/archive/eol.policy.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/