JPCERT-WR-2009-1201
2009-03-25
2009-03-15
2009-03-21
「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報
JPCERT/CC REPORT 2009-02-25 号【1】および JPCERT/CC REPORT
2009-03-18 号【2】で紹介した「Adobe Reader および Adobe Acrobat
にバッファオーバーフローの脆弱性」に関する追加情報です。
Adobe Reader 8 および Acrobat 8 と Adobe Reader 7 および Acrobat
7 の修正済みのバージョンが提供されました。詳細については、Adobe
が提供する情報を参照してください。
JPCERT/CC REPORT 2009-02-25
【1】Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2009/wr090801.html#1
JPCERT/CC REPORT 2009-03-18
【2】「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報
http://www.jpcert.or.jp/wr/2009/wr091101.html#2
JPCERT/CC Alert 2009-03-11
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090006.txt
Adobe Security Bulletin APSB09-04
Security Updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-04.html
「Mozilla 製品群に複数の脆弱性」に関する追加情報
JPCERT/CC REPORT 2009-03-11【1】で紹介した「Mozilla 製品群に複数
の脆弱性」に関する追加情報です。
Thunderbird および SeaMonkey の修正済みのバージョンが提供されま
した。詳細については、下記関連文書が提供する情報を参照してくださ
い。
Mozilla Japan
Mozilla Thunderbird 2.0.0.21 リリースノート
http://mozilla.jp/thunderbird/2.0.0.21/releasenotes/
JPCERT/CC REPORT 2009-03-11
【1】Mozilla 製品群に複数の脆弱性
http://www.jpcert.or.jp/wr/2009/wr091001.html#1
SeaMonkey Project
SeaMonkey 1.1.15 Security Release
http://www.seamonkey-project.org/news#2009-03-18
BIND の DLV (DNSSEC Lookaside Validation) の処理に脆弱性
BIND の DLV (DNSSEC Lookaside Validation) の処理には脆弱性があり
ます。未知の署名アルゴリズムが使用されている場合に、署名なしと同
等に処理するべきところ、検証失敗として処理してしまう問題がありま
す。
ISC からは、この問題の対策として以下のバージョンがリリースされて
います。
- BIND 9.4.3-P2
- BIND 9.5.1-P2
- BIND 9.6.1b1
この問題は、ISC が提供する修正済のバージョンに、BIND を更新する
ことで解決します。なお、この問題は DNSSEC を使用していない場合は
影響を受けません。
ISC | Internet System Consortium
BIND
https://www.isc.org/downloadables/11
Autonomy KeyView SDK にバッファオーバーフローの脆弱性
Autonomy KeyView SDK には、Word Perfect 文書の処理に起因するバッ
ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が
細工した Word Perfect 文書を処理させることで、任意のコードを実行
したり、システムをクラッシュさせたりする可能性があります。
対象となるバージョンは以下の通りです。
- Autonomy KeyView SDK 10.4 およびそれ以前
なお、この問題は、Autonomy KeyView SDK を使用する IBM Lotus Notes
および Symantec の複数の製品にも影響します。詳細については、下記
関連文書を参照してください。
この問題は、各ベンダが提供する修正済みのバージョンに、該当する製
品を更新することで解決します。
Autonomy Corporation
KeyView IDOL Filter SDK
http://www.autonomy.com/content/Products/idol-modules-keyview-filter/index.en.html
IBM
Potential Security Issue with Lotus Notes File Viewer for WordPerfect
http://www-01.ibm.com/support/docview.wss?uid=swg21377573
Symantec Security Advisory SYM09-004
Symantec Products Update Vulnerable Autonomy KeyView Module
http://www.symantec.com/avcenter/security/Content/2009.03.17a.html
futomi's CGI Cafe の高機能アクセス解析 CGI にクロスサイトスクリプティングの脆弱性
futomi's CGI Cafe の高機能アクセス解析 CGI には、クロスサイトス
クリプティングの脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- 高機能アクセス解析 CGI Standard 版 Ver 3.8.1 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに高機能アクセス
解析 CGI を更新することで解決します。
futomi's CGI Cafe
高機能アクセス解析CGI Standard版(Ver 3.x系)におけるクロスサイトスクリプティングの脆弱性について
http://www.futomi.com/library/info/2009/20090316.html
古いソフトウェア製品を利用しているウェブサイトへの注意喚起
IPA は、既に公開されている脆弱性対策を適用していないとみられるウェ
ブサイトに関する届出が増加している状況をうけ、3月17日に、ウェブ
サイト運営者を対象として注意喚起を公開しました。
具体的には、2004年12月に公表された Namazu に関する脆弱性や 2005
年10月に公表された OpenSSL の脆弱性に関する届出が増加していると
のことです。
これらの製品に限らず、自組織のウェブサイトが使用しているソフトウ
エアの脆弱性対策情報を収集し、パッチの迅速な適用をこころがけるよ
う勧めています。
Japan Vulnerability Notes JVN#904429FE
Namazu におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN904429FE/
Japan Vulnerability Notes JVN#23632449
OpenSSL におけるバージョン・ロールバックの脆弱性
http://jvn.jp/jp/JVN23632449/
担当ノート: CanSecWest 2009
普段の JPCERT/CC REPORT ではとりあげてこなかったセキュリティ関連
のコミュニティの活動やちょっとした豆知識についても今後は範囲をひ
ろげ、「担当ノート」と称して不定期にお送りしていきます。
今回は、当レポート担当者が参加したセキュリティカンファレンス
CanSecWest 2009 についての報告をお送りします。
◇ ◇ ◇
昨年に続き、先週カナダのバンクーバーで行われた CanSecWest という
カンファレンスに参加してきました。海外のセキュリティカンファレン
スというと規模と歴史から米国の BlackHat や DEFCON が有名ですが、
CanSecWest も今年で 10回目を迎える人気のカンファレンスです。
通常大規模なカンファレンスでは並行して幾つかの発表が行われ、参加
者は自分の聞きたいセッションを選びますが、CanSecWest では発表が
ひとつの部屋で行われます。全ての参加者が全日程同じ発表を聞くため
でしょうか、アットホームな雰囲気で参加者同士の交流もさかんです。
ここ数年 CanSecWest では PWN2OWN というコンテストを行っています。
PWN2OWN は最新のセキュリティパッチをあてたブラウザやスマートフォ
ンの脆弱性を最初に見つけた参加者に、そのノートパソコンやスマート
フォンを贈るというコンテストです。有名セキュリティベンダーがスポ
ンサーし、脆弱性の内容によって賞金も与えられます。脆弱性に値段が
付けられ、高額で取引される時代を象徴するコンテストといえます。
今年の PWN2OWN では、昨年 MacBook を獲得した研究者がわずか数秒で
Safari への攻撃を成功させたことと、別の研究者が Windows 7 上の
IE8 と Firefox と Safari の全てを攻略したことが会場での話題とな
りました。
また Twitter での CanSecWest に関する発言は常時会場横のスクリー
ンに表示されており、発表中に参加者から Twitter を使って鋭く指摘
がされるなど、発表者と参加者の新しいコミュニケーションの形がみら
れました。
CanSecWest Applied Security Conference
http://cansecwest.com/