<<< JPCERT/CC WEEKLY REPORT 2009-05-13 >>>
■04/26(日)〜05/09(土) のセキュリティ関連情報
目 次
【1】Adobe Reader および Acrobat に脆弱性
【2】Adobe Flash Media Server に脆弱性
【3】Linux カーネルに複数の脆弱性
【4】CGI RESCUE の複数の製品に脆弱性
【5】Mort Bay Jetty にディレクトリトラバーサルの脆弱性
【6】C/C++ セキュアコーディングセミナー資料公開
【7】第7回迷惑メール対策カンファレンス
【今週のひとくちメモ】クロスサイトスクリプティング
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr091801.txt
https://www.jpcert.or.jp/wr/2009/wr091801.xml
【1】Adobe Reader および Acrobat に脆弱性
情報源
US-CERT Vulnerability Note VU#970180
Adobe Reader and Acrobat customDictionaryOpen() and getAnnots() JavaScript vulnerabilities
http://www.kb.cert.org/vuls/id/970180DOE-CIRC Technical Bulletin T-120
Adobe Reader 'spell.customDictionaryOpen()' JavaScript Function Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-120.shtml
概要
Adobe Reader および Acrobat の JavaScript の処理に脆弱性がありま す。結果として、遠隔の第三者が細工した PDF ファイルをユーザに閲 覧させることで任意のコードを実行する可能性があります。なお、攻撃 コードが公開されていることが確認されています。 対象となる製品およびバージョンは以下のとおりです。 - Adobe Reader および Acrobat (Pro、Pro Extended、および Standard) 9.1 およびそれ以前 - Adobe Reader および Acrobat (Pro、Pro Extended、および Standard) 8.1.4 およびそれ以前 - Adobe Reader および Acrobat (Pro、Pro Extended、および Standard) 7.1.1 およびそれ以前 また、PDF ドキュメントを閲覧するためのプラグインも影響を受ける可 能性があります。 2009年5月12日現在、この問題に対する解決策は提供されていません。 回避策としては、Adobe Reader および Acrobat で JavaScript を無効 化するなどの方法があります。なお、Adobe は 米国時間 2009年5月12 日に対策版の公開を予定しています。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#970180
Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性
http://jvn.jp/cert/JVNVU970180/index.html
関連文書 (英語)
Adobe Security bulletin APSA09-02
Buffer overflow issues in Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa09-02.htmlAdobe Product Security Incident Response Team (PSIRT)
Adobe Reader Issue Update
http://blogs.adobe.com/psirt/2009/05/adobe_reader_issue_update.html
【2】Adobe Flash Media Server に脆弱性
情報源
US-CERT Current Activity Archive
Adobe Releases Security Bulletin for Flash Media Server
http://www.us-cert.gov/current/archive/2009/05/08/archive.html#adobe_releases_security_bulletin_for3DOE-CIRC Technical Bulletin T-128
Adobe Flash Media Server Unspecified RPC Call Privilege Escalation Vulnerability
http://www.doecirc.energy.gov/bulletins/t-128.shtml
概要
Adobe Flash Media Server には、脆弱性があります。結果として、遠 隔の第三者がリモートプロシージャを実行する可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - Adobe Flash Media Streaming Server 3.5.1 およびそれ以前 - Adobe Flash Media Interactive Server 3.5.1 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Adobe が提供する情報 を参照してください。
関連文書 (英語)
Adobe Security bulletin APSB09-05
Updates available to address Flash Media Server privilege escalation issue
http://www.adobe.com/support/security/bulletins/apsb09-05.html
【3】Linux カーネルに複数の脆弱性
情報源
DOE-CIRC Technical Bulletin T-124
Linux Kernel 'FWD-TSN' Chunk Remote Buffer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-124.shtml
概要
Linux カーネルには、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Linux カーネルを更新することで解決します。詳細につ いては、ベンダや配布元が提供する情報を参照してください。
関連文書 (英語)
Red Hat Security Advisory RHSA-2009:0451-2
Important: kernel-rt security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-0451.htmlRed Hat Security Advisory RHSA-2009:0473-1
Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-0473.htmlDSA-1794-1
linux-2.6 -- denial of service/privilege escalation/information leak
http://www.debian.org/security/2009/dsa-1794
【4】CGI RESCUE の複数の製品に脆弱性
情報源
Japan Vulnerability Notes JVN#36982346
CGI RESCUE 製簡易BBS22 におけるメールの不正送信が可能な脆弱性
http://jvn.jp/jp/JVN36982346/index.htmlJapan Vulnerability Notes JVN#11396739
CGI RESCUE 製簡易BBS におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN11396739/index.htmlJapan Vulnerability Notes JVN#76370393
CGI RESCUE 製フォームメールにおけるメールの不正送信が可能な脆弱性
http://jvn.jp/jp/JVN76370393/index.htmlJapan Vulnerability Notes JVN#28020230
CGI RESCUE 製 Webメーラーにおける HTTP ヘッダインジェクションの脆弱性
http://jvn.jp/jp/JVN28020230/index.html
概要
CGI RESCUE の複数の製品には、脆弱性があります。結果として、遠隔 の第三者が任意の宛先へ不正にメールを送信したり、ユーザのブラウザ 上で任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - 簡易BBS22 v.1.00 - 簡易BBS v10系 10.31 およびそれ以前のバージョン - 簡易BBS v9系 9.07 およびそれ以前のバージョン - 簡易BBS v8系 8.94 およびそれ以前のバージョン - 簡易BBS v8t系 8.93t およびそれ以前のバージョン - フォームメール v.1.41 およびそれ以前 - Webメーラー v1.03 およびそれ以前 この問題は CGI RESCUE が提供する修正済みのバージョンに、該当する 製品を更新することで解決します。
関連文書 (日本語)
CGI RESCUE
フォームメール、簡易BBS22、簡易BBS(普及版)の脆弱性情報
http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20081213132937CGI RESCUE
Webメーラー v1.04 セキュリティ修正版
http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20090209180123
【5】Mort Bay Jetty にディレクトリトラバーサルの脆弱性
情報源
US-CERT Vulnerability Note VU#402580
Jetty HTTP server directory traversal vulnerability
http://www.kb.cert.org/vuls/id/402580
概要
Java ベースの Web サーバ Jetty には、ディレクトリトラバーサルの 脆弱性があります。結果として、遠隔の第三者が細工した URL を処理 させることで、機密情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Jetty 6.1.16 およびそれ以前 - Jetty 7.0.0.M2 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに Jetty を更新 することで解決します。
関連文書 (英語)
Mort Bay Consulting
Jetty
http://jetty.mortbay.org/jetty/Mort Bay Consulting
Vulnerability in ResourceHandler and DefaultServlet with aliases
http://jira.codehaus.org/browse/JETTY-1004
【6】C/C++ セキュアコーディングセミナー資料公開
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー資料
https://www.jpcert.or.jp/research/materials.html
概要
2008年度に「C/C++ セキュアコーディング トワイライトセミナー」お よび「C/C++ セキュアコーディング ハーフデイキャンプ」と題して開 催した C/C++ セキュアコーディングセミナーの講義資料 (2008年度版) を公開しました。 全7回 (文字列、整数、動的メモリ管理、File I/O part1、File I/O part2、File I/O part3、書式指定文字列) の資料を各回ごとにまとめ たものです。 書籍「C/C++ セキュアコーディング」とともに、セキュアコーディング の自習や社内セミナーの資料としてご活用ください。
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディング
https://www.jpcert.or.jp/securecoding_book.html
【7】第7回迷惑メール対策カンファレンス
情報源
財団法人インターネット協会事務局
IAjapan 第7回迷惑メール対策カンファレンス
http://www.iajapan.org/anti_spam/event/2009/conf0519/
概要
5/19 コクヨホールにて「第7回迷惑メール対策カンファレンス」が開 催されます。今回のカンファレンスでは、前回 11月のカンファレンス での主題だった昨年 12月の改正法施行以降の最新の状況や、送信ドメ イン認証技術に関する話題がとりあげられます。 皆さまのご参加をお待ちしております。
関連文書 (日本語)
財団法人インターネット協会事務局
迷惑メール対策委員会
http://www.iajapan.org/anti_spam/index.html
■今週のひとくちメモ
○クロスサイトスクリプティング
クロスサイトスクリプティングは、攻撃者がスクリプトをウェブページ に埋め込むこと等により、そのウェブ管理者の意図しない動作をユーザ のウェブブラウザ上で実行させる手法のひとつです。 攻撃者は、外部からスクリプトを埋め込むことのできるウェブページを 踏み台として使用することで、ユーザのウェブブラウザ上で悪意あるス クリプトを実行させることが可能になります。結果として、ユーザの認 証情報や入力内容を第三者のサイトに送信してしまうなどの可能性があ ります。 ウェブ管理者は、自身が管理するコンテンツにクロスサイトスクリプティ ングの脆弱性が潜んでいないか注意し、新しいコンテンツを公開する際 には事前にチェックしましょう。
参考文献 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
「安全なウェブサイトの作り方 改訂第3版」を公開
http://www.ipa.go.jp/security/vuln/websecurity.html財団法人 地方自治情報センター (LASDEC)
ウェブ健康診断
http://www.lasdec.nippon-net.ne.jp/cms/12,1284.htmlJPCERT/CC
ウェブサイト運営者のための脆弱性対応ガイド 付録6抜粋編
https://www.jpcert.or.jp/vh/vuln_website_guide.pdfJPCERT/CC
技術メモ - 安全な Web ブラウザの使い方
https://www.jpcert.or.jp/ed/2008/ed080002_1104.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/