-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-1001 JPCERT/CC 2009-03-11 <<< JPCERT/CC REPORT 2009-03-11 >>> ―――――――――――――――――――――――――――――――――――――― ■03/01(日)〜03/07(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla 製品群に複数の脆弱性 【2】Opera ブラウザに複数の脆弱性 【3】libpng に脆弱性 【4】Novell eDirectory の管理コンソールにバッファオーバーフローの脆弱性 【5】「技術メモ−クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜」公開のお知らせ 【6】「重要インフラ情報セキュリティフォーラム2009」資料公開のお知らせ 【今週のひとくちメモ】JDK/JRE のサポート状況 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2009/wr091001.html http://www.jpcert.or.jp/wr/2009/wr091001.xml ============================================================================ 【1】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Mozilla Foundation Releases Firefox 3.0.7 http://www.us-cert.gov/current/archive/2009/03/05/archive.html#mozilla_foundation_releases_firefox_3 DOE-CIRC Technical Bulletin T-074 XML Data Theft Via RDFXML DataSource and Cross-Domain Redirect http://www.doecirc.energy.gov/ciac/bulletins/t-074.shtml 概要 Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書をユーザ に閲覧させることで任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、機密情報を取得したりするなどの可能性があり ます。 対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.7 なお、2009年3月10日現在、SeaMonkey および Thunderbird の修正プロ グラムは提供されていません。詳細については、OS のベンダや配布元 が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Firefox 3 リリースノート - バージョン 3.0.7 - 2009/03/04 リリース http://mozilla.jp/firefox/3.0.7/releasenotes/ Mozilla Japan Mozilla Foundation セキュリティアドバイザリ http://www.mozilla-japan.org/security/announce/ 関連文書 (英語) Red Hat Security Advisory RHSA-2009:0315-4 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2009-0315.html Red Hat Security Advisory RHSA-2009:0325-4 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2009-0325.html 【2】Opera ブラウザに複数の脆弱性 情報源 US-CERT Current Activity Archive Opera Software Releases Opera Browser 9.64 http://www.us-cert.gov/current/archive/2009/03/05/archive.html#opera_software_releases_opera_9 概要 Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、ユーザのブラウザ上で任意のスクリ プトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 9.64 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Opera ブラウザを更新することで解決します。 関連文書 (日本語) Opera Software Opera ブラウザ http://jp.opera.com/ Opera Software Opera 9.64 for Windows 更新履歴 http://jp.opera.com/docs/changelogs/windows/964/ 関連文書 (英語) Opera Software - Knowledge Base Advisory: Specially crafted JPEG images can be used to execute arbitrary code http://www.opera.com/support/kb/view/926/ 【3】libpng に脆弱性 情報源 US-CERT Vulnerability Note VU#649212 libpng fails to properly initialize element pointers http://www.kb.cert.org/vuls/id/649212 概要 libpng には、エレメントポインタが適切に初期化されないことに起因 する脆弱性があります。結果として、遠隔の第三者が細工した PNG ファ イルを処理させることで任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - libpng-1.0.43 より前のバージョン - libpng-1.2.35 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに libpng を更新することで解決します。なお、本脆弱性の 影響は、libpng を利用しているアプリケーションにもおよぶので注意 してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#649212 libpng が適切にエレメントポインタを初期化しない脆弱性 http://jvn.jp/cert/JVNVU649212/index.html 関連文書 (英語) libpng Home Page Vulnerability Warning http://www.libpng.org/pub/png/libpng.html Red Hat Security Advisory RHSA-2009:0333-7 Moderate: libpng security update https://rhn.redhat.com/errata/RHSA-2009-0333.html 【4】Novell eDirectory の管理コンソールにバッファオーバーフローの脆弱性 情報源 DOE-CIRC Technical Bulletin T-071 Novell eDirectory Management Console Accept-Language Buffer Overflow http://www.doecirc.energy.gov/ciac/bulletins/t-071.shtml 概要 Novell eDirectory の管理コンソールには、バッファオーバーフローの 脆弱性があります。結果として、遠隔の第三者が細工した HTTP リクエ ストを処理させることで、SYSTEM または root の権限で任意のコード を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。 対象となるバージョンは以下の通りです。 - Novell eDirectory 8.8 SP3 FTF2 - Novell eDirectory 8.7.3 この問題は、Novell が提供するパッチを eDirectory に適用すること で解決します。詳細については、Novell が提供する情報を参照してく ださい。 関連文書 (英語) Novell Novell Downloads http://download.novell.com/index.jsp?product_id=&search=Search&tab=patches&families=2597&version=&date_range=&keywords=&sort_by=&x=42&y=14 Novell eDirectory 8.8 SP3 FTF3 for Windows http://download.novell.com/Download?buildid=Cf15mVyA3GI~ Novell eDirectory 8.8 SP3 FTF3 for NetWare http://download.novell.com/Download?buildid=lXrwD8NOc90~ Novell eDirectory 8.8 SP3 FTF3 for Linux & Unix http://download.novell.com/Download?buildid=ZEya4WZ613k~ 【5】「技術メモ−クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜」公開のお知らせ 情報源 JPCERT Coordination Center 技術メモ−クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜 http://www.jpcert.or.jp/ed/2009/ed090001.pdf 概要 2009年3月3日、JPCERT/CC は「技術メモ − クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜」を公開しました。 本文書は、Webサイト制作者及び運営者を対象に、クリックジャッキン グ攻撃の概要とその対策の一つとして X-FRAME-OPTIONS の概要、記述 方法、設定値による挙動の違いについて解説します。 【6】「重要インフラ情報セキュリティフォーラム2009」資料公開のお知らせ 情報源 JPCERT Coordination Center 公開プレゼンテーション資料 http://www.jpcert.or.jp/present/ 概要 JPCERT コーディネーションセンターは、2009年2月20日に東京ベルサー ル八重洲において開催した重要インフラ情報セキュリティフォーラム 2009 の講演資料を公開しました。本フォーラムは、重要インフラ事業 者 (情報通信、金融、電力、航空、鉄道、ガス、政府・行政サービス、 医療、水道、物流等の事業に係わる方)及び重要インフラ事業者にシス テムを提供するベンダー等を主な対象として、情報セキュリティ上の課 題や対策等に関する講演を中心に実施したものです。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JDK/JRE のサポート状況 現在サポートされている JDK/JRE の最新バージョンは以下の通りです。 - JDK/JRE 6 Update 12 (1.6.0 update 12) - JDK/JRE 5.0 Update 17 (1.5.0 update 17) 2009年10月30日まで EOL transition 期間中です。 その後 EOSL (End Of Service Life) となる予定です。 Java AutoUpdate では、セキュリティ対策が含まれていない場合などに は、最新のバージョンが配布されるわけではありません。実際に update 12 をインストールする場合にはマニュアルでダウンロードとイ ンストールを行う必要があります。 Sun によると 2009年第一四半期に予定されているアップデートではセ キュリティ対策を取り込んだリリースとなる予定です。 参考文献 (英語) JDK 6 Project jdk6: Java SE 6 https://jdk6.dev.java.net/ Sun Developer Network (SDN) Java SE 6 Update 12 Release Notes http://java.sun.com/javase/6/webnotes/6u12.html Sun Developer Network (SDN) Java SE & Java SE for Business Support Road Map http://java.sun.com/products/archive/eol.policy.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSbcVGIx1ay4slNTtAQjYvQP/TWQBeep2UjJEBRTMPGTpgqdpOQdN/nR8 vXRPJqCkTTOQworjBOwK9ZtLjU3X2kmHpLx/6WRGeBXSF1JgTF3zQY4lsmnjhZJT ogA61DgzPfT4+PN5ONlERI5uxkx47MzmbHyupt7YsPbWthYXzhoTpP6+WEIPJQoK RVQkLG3cx8s= =TGxt -----END PGP SIGNATURE-----