-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-1201 JPCERT/CC 2009-03-25 <<< JPCERT/CC REPORT 2009-03-25 >>> ―――――――――――――――――――――――――――――――――――――― ■03/15(日)〜03/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報 【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報 【3】BIND の DLV (DNSSEC Lookaside Validation) の処理に脆弱性 【4】Autonomy KeyView SDK にバッファオーバーフローの脆弱性 【5】futomi's CGI Cafe の高機能アクセス解析 CGI にクロスサイトスクリプティングの脆弱性 【6】古いソフトウェア製品を利用しているウェブサイトへの注意喚起 【今週のひとくちメモ】担当ノート: CanSecWest 2009 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2009/wr091201.html http://www.jpcert.or.jp/wr/2009/wr091201.xml ============================================================================ 【1】「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報 情報源 US-CERT Current Activity Archive Adobe Releases Security Bulletin http://www.us-cert.gov/current/archive/2009/03/19/archive.html#adobe_releases_security_advisory 概要 JPCERT/CC REPORT 2009-02-25 号【1】および JPCERT/CC REPORT 2009-03-18 号【2】で紹介した「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報です。 Adobe Reader 8 および Acrobat 8 と Adobe Reader 7 および Acrobat 7 の修正済みのバージョンが提供されました。詳細については、Adobe が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC REPORT 2009-02-25 【1】Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性 http://www.jpcert.or.jp/wr/2009/wr090801.html#1 JPCERT/CC REPORT 2009-03-18 【2】「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報 http://www.jpcert.or.jp/wr/2009/wr091101.html#2 JPCERT/CC Alert 2009-03-11 Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2009/at090006.txt 関連文書 (英語) Adobe Security Bulletin APSB09-04 Security Updates available for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb09-04.html 【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報 情報源 DOE-CIRC Technical Bulletin T-085 Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2009 -07 -08 -09 and -11 Multiple Remote Vulnerabilities http://www.doecirc.energy.gov/ciac/bulletins/t-085.shtml 概要 JPCERT/CC REPORT 2009-03-11【1】で紹介した「Mozilla 製品群に複数 の脆弱性」に関する追加情報です。 Thunderbird および SeaMonkey の修正済みのバージョンが提供されま した。詳細については、下記関連文書が提供する情報を参照してくださ い。 関連文書 (日本語) Mozilla Japan Mozilla Thunderbird 2.0.0.21 リリースノート http://mozilla.jp/thunderbird/2.0.0.21/releasenotes/ JPCERT/CC REPORT 2009-03-11 【1】Mozilla 製品群に複数の脆弱性 http://www.jpcert.or.jp/wr/2009/wr091001.html#1 関連文書 (英語) SeaMonkey Project SeaMonkey 1.1.15 Security Release http://www.seamonkey-project.org/news#2009-03-18 【3】BIND の DLV (DNSSEC Lookaside Validation) の処理に脆弱性 情報源 ISC | Internet System Consortium Security Patch for Users of BIND version 9.5.x or 9.4.x AND DLV https://www.isc.org/node/437 概要 BIND の DLV (DNSSEC Lookaside Validation) の処理には脆弱性があり ます。未知の署名アルゴリズムが使用されている場合に、署名なしと同 等に処理するべきところ、検証失敗として処理してしまう問題がありま す。 ISC からは、この問題の対策として以下のバージョンがリリースされて います。 - BIND 9.4.3-P2 - BIND 9.5.1-P2 - BIND 9.6.1b1 この問題は、ISC が提供する修正済のバージョンに、BIND を更新する ことで解決します。なお、この問題は DNSSEC を使用していない場合は 影響を受けません。 関連文書 (英語) ISC | Internet System Consortium BIND https://www.isc.org/downloadables/11 【4】Autonomy KeyView SDK にバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#276563 Autonomy KeyView SDK buffer overflow vulnerability http://www.kb.cert.org/vuls/id/276563 US-CERT Current Activity Archive Autonomy KeyView SDK Vulnerability http://www.us-cert.gov/current/archive/2009/03/19/archive.html#autonomy_keyview_sdk_vulnerability 概要 Autonomy KeyView SDK には、Word Perfect 文書の処理に起因するバッ ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が 細工した Word Perfect 文書を処理させることで、任意のコードを実行 したり、システムをクラッシュさせたりする可能性があります。 対象となるバージョンは以下の通りです。 - Autonomy KeyView SDK 10.4 およびそれ以前 なお、この問題は、Autonomy KeyView SDK を使用する IBM Lotus Notes および Symantec の複数の製品にも影響します。詳細については、下記 関連文書を参照してください。 この問題は、各ベンダが提供する修正済みのバージョンに、該当する製 品を更新することで解決します。 関連文書 (英語) Autonomy Corporation KeyView IDOL Filter SDK http://www.autonomy.com/content/Products/idol-modules-keyview-filter/index.en.html IBM Potential Security Issue with Lotus Notes File Viewer for WordPerfect http://www-01.ibm.com/support/docview.wss?uid=swg21377573 Symantec Security Advisory SYM09-004 Symantec Products Update Vulnerable Autonomy KeyView Module http://www.symantec.com/avcenter/security/Content/2009.03.17a.html 【5】futomi's CGI Cafe の高機能アクセス解析 CGI にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#23558374 futomi's CGI Cafe 製高機能アクセス解析CGI Standard 版 (Ver. 3.x 系) におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN23558374/index.html 概要 futomi's CGI Cafe の高機能アクセス解析 CGI には、クロスサイトス クリプティングの脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - 高機能アクセス解析 CGI Standard 版 Ver 3.8.1 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに高機能アクセス 解析 CGI を更新することで解決します。 関連文書 (日本語) futomi's CGI Cafe 高機能アクセス解析CGI Standard版(Ver 3.x系)におけるクロスサイトスクリプティングの脆弱性について http://www.futomi.com/library/info/2009/20090316.html 【6】古いソフトウェア製品を利用しているウェブサイトへの注意喚起 情報源 独立行政法人 情報処理推進機構 セキュリティセンター 古いソフトウェア製品を利用しているウェブサイトへの注意喚起 http://www.ipa.go.jp/security/vuln/documents/2009/200903_update.html 概要 IPA は、既に公開されている脆弱性対策を適用していないとみられるウェ ブサイトに関する届出が増加している状況をうけ、3月17日に、ウェブ サイト運営者を対象として注意喚起を公開しました。 具体的には、2004年12月に公表された Namazu に関する脆弱性や 2005 年10月に公表された OpenSSL の脆弱性に関する届出が増加していると のことです。 これらの製品に限らず、自組織のウェブサイトが使用しているソフトウ エアの脆弱性対策情報を収集し、パッチの迅速な適用をこころがけるよ う勧めています。 関連文書 (日本語) Japan Vulnerability Notes JVN#904429FE Namazu におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN904429FE/ Japan Vulnerability Notes JVN#23632449 OpenSSL におけるバージョン・ロールバックの脆弱性 http://jvn.jp/jp/JVN23632449/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○担当ノート: CanSecWest 2009 普段の JPCERT/CC REPORT ではとりあげてこなかったセキュリティ関連 のコミュニティの活動やちょっとした豆知識についても今後は範囲をひ ろげ、「担当ノート」と称して不定期にお送りしていきます。 今回は、当レポート担当者が参加したセキュリティカンファレンス CanSecWest 2009 についての報告をお送りします。 ◇ ◇ ◇ 昨年に続き、先週カナダのバンクーバーで行われた CanSecWest という カンファレンスに参加してきました。海外のセキュリティカンファレン スというと規模と歴史から米国の BlackHat や DEFCON が有名ですが、 CanSecWest も今年で 10回目を迎える人気のカンファレンスです。 通常大規模なカンファレンスでは並行して幾つかの発表が行われ、参加 者は自分の聞きたいセッションを選びますが、CanSecWest では発表が ひとつの部屋で行われます。全ての参加者が全日程同じ発表を聞くため でしょうか、アットホームな雰囲気で参加者同士の交流もさかんです。 ここ数年 CanSecWest では PWN2OWN というコンテストを行っています。 PWN2OWN は最新のセキュリティパッチをあてたブラウザやスマートフォ ンの脆弱性を最初に見つけた参加者に、そのノートパソコンやスマート フォンを贈るというコンテストです。有名セキュリティベンダーがスポ ンサーし、脆弱性の内容によって賞金も与えられます。脆弱性に値段が 付けられ、高額で取引される時代を象徴するコンテストといえます。 今年の PWN2OWN では、昨年 MacBook を獲得した研究者がわずか数秒で Safari への攻撃を成功させたことと、別の研究者が Windows 7 上の IE8 と Firefox と Safari の全てを攻略したことが会場での話題とな りました。 また Twitter での CanSecWest に関する発言は常時会場横のスクリー ンに表示されており、発表中に参加者から Twitter を使って鋭く指摘 がされるなど、発表者と参加者の新しいコミュニケーションの形がみら れました。 参考文献 (英語) CanSecWest Applied Security Conference http://cansecwest.com/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBScmFCYx1ay4slNTtAQhsYgP/TqbsOKnavhfDzNSb5qGovFVhY/UThNhw P98p4RWxYsNvwwD0WWIS+zZT4A45rB04lSfZcrRKANjVzL/WjDjS5eqjpA888NTa 6aI1k+4mvHELUqYjiRmL6NtOOMiLiX1smsTH5pOrH4JxywE5mjClqyhsmdYi/2pm SuyYMTVBjb4= =jLqX -----END PGP SIGNATURE-----