-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-1501 JPCERT/CC 2009-04-15 <<< JPCERT/CC WEEKLY REPORT 2009-04-15 >>> ―――――――――――――――――――――――――――――――――――――― ■04/05(日)〜04/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Cisco PIX および ASA に複数の脆弱性 【2】一太郎シリーズにバッファオーバーフローの脆弱性 【3】複数の VMware 製品に脆弱性 【4】地方自治情報センターがウェブ健康診断の仕様資料を公開 【5】第21回 FIRST Annual Conference 京都のご案内 【今週のひとくちメモ】担当ノート: 21st FIRST Annual Conference Kyoto ※本号より JPCERT/CC WEEKLY REPORT に名称を変更しました。 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2009/wr091501.html http://www.jpcert.or.jp/wr/2009/wr091501.xml ============================================================================ 【1】Cisco PIX および ASA に複数の脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Security Advisory for ASA Adaptive Security Appliance and PIX Security Appliances http://www.us-cert.gov/current/archive/2009/04/09/archive.html#cisco_releases_security_advisory_for9 DOE-CIRC Technical Bulletin T-098 Multiple Vulnerabilities in Cisco ASA Adaptive Security Appliance and Cisco PIX Security Appliances http://www.doecirc.energy.gov/ciac/bulletins/t-098.shtml 概要 Cisco PIX Series Security Appliance (PIX) および Cisco 5500 Series Adaptive Security Appliance (ASA) には、複数の脆弱性があ ります。結果として、遠隔の第三者が VPN の認証を回避したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Cisco が提供する情報 を参照してください。 関連文書 (英語) Cisco Security Advisory 109974 Multiple Vulnerabilities in Cisco ASA Adaptive Security Appliance and Cisco PIX Security Appliances http://www.cisco.com/warp/public/707/cisco-sa-20090408-asa.shtml 【2】一太郎シリーズにバッファオーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVN#33846134 一太郎シリーズにおけるバッファオーバーフローの脆弱性 http://jvn.jp/jp/JVN33846134/index.html 概要 ジャストシステムの一太郎シリーズには、バッファオーバーフローの脆 弱性があります。結果として、遠隔の第三者が細工したファイルをユー ザに開かせることで、ユーザの権限で任意のコードを実行する可能性が あります。 対象となる製品は以下の通りです。 - 一太郎2009 - 一太郎ガバメント2009 - 一太郎2009 体験版 - 一太郎2008 - 一太郎ガバメント2008 - 一太郎2007 - 一太郎ガバメント2007 - 一太郎2006 - 一太郎ガバメント2006 - 一太郎2005 - 一太郎文藝 - 一太郎2004 - 一太郎13 - 一太郎ビューア2009 バージョン 19.0.1.0 およびそれ以前 この問題は、ジャストシステムが提供するアップデートモジュールを該 当する製品に適用することで解決します。詳細についてはジャストシス テムが提供する情報を参照してください。 関連文書 (日本語) ジャストシステム セキュリティ情報 JS09002 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について http://www.justsystems.com/jp/info/js09002.html 独立行政法人 情報処理推進機構 セキュリティセンター 「一太郎シリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/security/vuln/documents/2009/200904_ichitaro.html @police ジャストシステム社ワープロソフト一太郎の脆弱性について (4/8) http://www.cyberpolice.go.jp/important/2009/20090408_100923.html 【3】複数の VMware 製品に脆弱性 情報源 VMware Security Advisories (VMSAs) VMSA-2009-0006 http://www.vmware.com/security/advisories/VMSA-2009-0006.html 概要 複数の VMware 製品には脆弱性があります。結果として、ゲスト OS 上 のユーザが、ホスト OS 上で任意のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - VMware Workstation 6.5.1 およびそれ以前 - VMware Player 2.5.1 およびそれ以前 - VMware ACE 2.5.1 およびそれ以前 - VMware Server 2.0 - VMware Server 1.0.8 およびそれ以前 - VMware Fusion 2.0.3 およびそれ以前 - VMware ESXi 3.5 without patch ESXe350-200904201-O-SG - VMware ESX 3.5 without patch ESX350-200904201-SG - VMware ESX 3.0.3 without patch ESX303-200904403-SG - VMware ESX 3.0.2 without patch ESX-1008421 この問題は、VMware が提供する修正済みのバージョンに該当する製品 を更新することで解決します。詳細については VMware が提供する情報 を参照してください。 【4】地方自治情報センターがウェブ健康診断の仕様資料を公開 情報源 財団法人 地方自治情報センター (LASDEC) ウェブ健康診断 http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html 概要 2009年4月6日、財団法人地方自治情報センターはウェブ健康診断事業 (地方公共団体が運営する Web アプリケーションのセキュリティ状況を 診断する事業) の診断仕様を公開しました。地方公共団体向け Webアプ リケーションの開発・運用・検査及び利用に関わるすべての方々のため の参考資料として提供しています。 内容は、地方公共団体向けだけに限らず、一般的な Web アプリケーショ ンにも役に立つ内容になっています。自サイトのセキュリティ状況の認 識の第一歩、きっかけの一つとしてご活用されてはいかがでしょうか。 【5】第21回 FIRST Annual Conference 京都のご案内 情報源 FIRST 21st Annual FIRST Conference Kyoto http://conference.first.org/ 概要 − 災害復旧・事業継続性・セキュリティ情報の共有 − 日本で初めて開催される、本カンファレンスは「余波:インシデント復 旧の技術と教訓」をテーマに、世界各国から集結する専門家やセキュリ ティ対応チームが、災害復旧から学ぶインシデント対応などについて議 論を深めます。基調講演では、JR西日本 代表取締役副社長兼執行役員 佐々木隆之氏に、阪神・淡路大震災 (1995年) の復興、震災が鉄道シス テムに与えた影響と復旧作業、そこで得た教訓をどのように対策に反映 したかについてお話しいただくほか、山口英氏や、ブルース・シュナイ ヤー氏といった、著名なセキュリティ専門家による基調講演も予定され ています。 また、その他セッションでは、有害サイトやマルウェアの動向、攻撃者 の手口、ネットワーク監視の方法、リスクマネジメント、インシデント 対応のベストプラクティスといった、エンジニア、セキュリティ担当者、 経営者等の様々な層に向けた幅広い展開になっています。 日本において、世界各地域におけるサイバーインシデントや脅威、対策 の傾向を把握し、各国のインシデント対応関係者とのネットワークを構 築することのできる絶好の機会となります。 本カンファレンスは、FIRST メンバ以外の方々もご参加いただけますの で、この機会に是非、ご参加いただけますようお願いいたします。 開催日時:2009年6月28日(日)〜7月3日(金) 会場:ホテルグランヴィア京都 (京都駅、京都市) http://www.granvia-kyoto.co.jp/index.html 費用:早期参加登録料 (4月25日 18:00 GMT まで) $1900 USD FIRST メンバ早期参加登録料 (4月25日18:00 GMT まで) $1500 USD 一日参加登録料 $800 USD 申込み方法:ウェブからの事前申し込み登録が必要です。 https://reg.first.org/conference/ 申込み及びお問い合わせ先:日本語対応・国内開催実行委員会事務局 first-2009-office@e-side.co.jp 関連文書 (日本語) JPCERT/CC 第21回 FIRST 年次会合を京都で開催することが決定 https://www.jpcert.or.jp/press/2008/PRL080715_FIRST.pdf ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○担当ノート: 21st FIRST Annual Conference Kyoto 上記でも紹介している FIRST Conference 2009 ですが、アジアで開催 されるのはこれで 2回めとなります。はじめてアジア地域で開催された のは、2005年シンガポールでのことでした。 FIRST カンファレンスの構成は、参加登録すれば誰でも参加できる一般 セッションと、FIRST 加盟チームのメンバのみとされる AGM (Annual General Meeting) からなります。この他、FIRST には SIG (Special Interest Group) という仕組みがあって、SIG の会合では、FIRST 加盟 チームでなくとも、SIG の許可があれば参加できます。 FIRST カンファレンスは、日曜日夜の Ice Breaker レセプションから 始まります。互いの状況を報告しあうグループがいたり、共通の知人を 通じて初めて顔を合せてこれからもよろしくと握手する姿が見られます。 カンファレンスでは、セッションの合間の休憩時間も貴重な情報交換の 場です。セッションの合間の休憩時間やランチタイムが長めに設定され ているのは、このような時間を使ってたっぷり情報交換してくださいと いう意図なのです。 興味深いトピックを提供してくれたスピーカに話しかけてみたり、日頃 気になっていたチームと顔合わせしたり、またランチタイムには、同じ テーブルについた同士で互いの自己紹介をするなど、他チームとの情報 交換のチャンスが多数あります。 今回は、海外出張の費用をかけずに参加するまたとないチャンスです。 ぜひ参加をご検討ください。 参考文献 (日本語) JPCERT/CC REPORT ひとくちメモコンテンツ(キーワード別) FIRST (Forum of Incident Response and Security Teams) とは https://www.jpcert.or.jp/wr/keyword_c.html#key_c155 参考文献 (英語) FIRST 21st Annual FIRST Conference Kyoto http://conference.first.org/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSeU43Yx1ay4slNTtAQidkAP9FxGgBUGtAVOi+1DuQy4geJdI6SI09N2I 39HxHnw5hvgr6xx/DCqPFuVc7+mI0ioGjUbTxm12D081Z9waOegmXPrYGtFsUqio pqMkNWS3yWptvuWHL1RdUET1ylDDVhOBmXZs8Ek7Or2BOS67eKYMh525HAZA8XaU 6bPPelF6zhI= =T1Eu -----END PGP SIGNATURE-----